九宫八阵图之天覆阵——防火墙
天覆阵:天阵十六,外方内圆,四为风扬,其形象天,为阵之主,为兵之先。善用三军,其形不偏。
天覆阵是一种防御阵型,同时能降低敌方命中几率和攻击速度,通过增加防御力和抗攻击力以提升整个阵型的防御能力。
防火墙是一种防御边界安全的网关设备,能进行智能状态检测,保护内网不受侵入,同时免受网络黑客、DDos等攻击,是网络防护的第一道屏障,也是所有安全设备包括VPN、IPS、AV、IDS、UTM等阵容之主力。
--------------------------------------------------------------------------------
下一代智能感控防火墙
一、信息2.0时代防火墙面临的威胁
在当今越来越庞大的信息产业中,信息安全迟迟跟不上时代的步伐,与历近数年来发展势头突飞猛进的云计算、新型网络、海量存储等新型技术相比,安全行业的处境则是相当尴尬,而安全产业在不断地发展和投入进入信息2.0时代之后,面对的却是越来越多、越来越麻烦的安全新问题,面对未来防火墙的走向,无论是企业还是最终用户,都不可避免的寄希望于一种对新型防火墙技术需求的向往。正是由于不断扩容的网络设施、快速发展的业务流程、实时变化的部署技术以及隐蔽危险的攻击,正推动对网络安全性的新需求,那么用户所面临的真实威胁到底是什么?
1.1、混合应用的威胁
不断增长的带宽需求和新应用架构,正在改变协议的使用方式和数据的传输方式。基于应用层协议如P2P/IM/网游/炒股等软件已经充斥着整个网络,安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性应用执行程序上;在这种环境中,传统防火墙简单通过五元组强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。
1.2、云计算环境的威胁
以云计算为代表的现代信息体系正变得日益庞大和复杂,对于这类复杂多变的体系,使得云时代的安全防护重心,从用户对防火墙简单的对性能或功能的片面追求,逐步向基于网络之云的智慧感知与灵活应对转移。
1.3、恶意网站威胁
在这个信息爆炸时代,随着网页数量的激增,由于一刀切的关键字分类技术和本地分类数据库的限制,无法实现更高、更准确的覆盖率和更广泛的URL分类控制,间谍 软件 站点和那些存在恶意代码的站点已经成为网络中不可忽视的威胁之一,当今Web2.0时代急切需要一种有效实用且积极主动的收集分类处理技术。
1.4、IPv4地址耗尽威胁
由于我国IPv4地址资源严重不足,除了采用CIDR、VLSM和DHCP技术缓解地址紧张问题,更多的是采用私有IP地址结合网络地址转换(NAT/PAT)技术来解决这个问题,通过NAT技术接入互联网,这不仅大大降低了网络传输的速度,且安全性等方面也难以得到保障,这样使得IPv4网络面临各种威胁, 安全 性支持不够、缺少服务质量保证所带来的挑战前所未有。
1.5、高流量导致的性能威胁
伴随着IT世界进入到另外一个崭新的平台--客户端/服务器到按需云服务的转变--众多企业用户纷纷在思索如何调整或者升级他们的系统以满足互联网时代的处理需求。大量的数据负载也逐渐过渡到越来越多的中小型企业用户业务中来,使得 防火墙 的转发性能和延迟有了更高要求。
1.6、黑客攻击威胁
普通防火墙大多安装在一般的操作系统上,如Linux、Unix等系统。在防火墙主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时,防火墙本身也将受到威胁。此时,任何的防火墙控制机制都可能失效,因为当一个黑客取得了防火墙上的控制权以后,黑客几乎可为所欲为地修改防火墙上的访问规则,进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。
二、防火墙如何防御新时代的威胁
2.1、应用感控技术
应用感控技术不同于传统的基于端口和协议的状态包过滤技术,这种技术能通过流量识别网络上的应用程序,基于应用ID进行智能识别与控制,同时,可以辨别出来自同一网站的不同应用并且可以启用服务质量选项为这些应用优先分配带宽。达到了六元组的新型智能应用过滤技术,既可以进行应用识别,也可以做到对应用的细粒度控制。
2.2、云安全防御技术
云安全防御技术融合了并行处理、 网格计算 、未知病毒行为判断等新兴技术和概念,通过网状的大量 客户端 对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。实现立体全面的防护。
2.3、WEB主动过滤技术
这种技术通常认为是在UTM上实现,但在下一代防火墙中,这种需求也越来越明显,实际上Web过滤是指上网监控功能,具备内容过滤的安全网关通过多重过滤与保护,对内容和网址进行监控,对内容不良的网站实行过滤,从而实现对网络内部人员上网进行监控URL的屏蔽列表。
2.4、IPv6网络的安全技术
虽然IPv6在网络厂商应用较为广泛,但在安全厂商中,支持IPv6的网络安全产品(如防火墙、UTM、IPS等)还是较少,具体功能包括:IPv6环境下的状态包过滤、静态路由、OSPF动态路由、FTP、ALG等基本安全控制,以及IPv6/v4 双协议栈功能;设备在同一信息安全网络中同时支持 IPv4 和IPv6协议的安全控制日渐得到关注。
2.5、高性能多核技术
高性能多核技术为工程师们打开了另一扇门—它是把更多的CPU压在一个芯片当中以提高整个芯片处理交易事务的能力。以8核为例,在一块CPU基板上集成8个处理器核心,通过并行总线将各处理器核心连接起来,一般多核芯片都会集成一些针对比较耗费资源处理的硬件加速引擎。比如XLR内置的网络加速器可以对从网络接口进入XLR的数据包进行高速预处理。拿以太网包举例,XLR的网络加速器可以对以太网包2层、3层、4层的内容进行辨析,提取特征串,自动完成校验和验证,把包DMA(Direct Memory Access)到内存,构造以太网包描述符(Descriptor),然后可以基于多种策略把以太网描述符快速均衡的分流到指定的vCPU。这样,既可以提升网络层处理性能,也可以加速处理应用层检测速率,小包性能以及并发数显著提升,并且多核芯片内建应用加速安全引擎,在硬件层面上就可以支持AES,DES/3DES,SHA-1,SHA-256,MD5算法,最大可提供10Gbps的VPN加密解密运算能力。
2.6、防火墙自身的高安全技术
如果防火墙系统本身被攻击者突破或迂回,对内部系统来说它就毫无意义。因此,保障防火墙自身的安全是实现系统安全的前提。一个防火墙要抵御黑客的攻击必须具有严密的体系结构和安全的网络结构。 不同类型的拒绝服务攻击。理想情况下,防火墙应该采取直截了当的方式,比如将数据包打回或干脆关闭防火墙的方式。#p#
三、防火墙现状与发展趋势
随着互联网新型网络应用、攻击、病毒的出现,以前的老套安全防护技术,迟迟未能得到革命性的进展。就防火墙来说,虽然也经过了几代的发展,从软件到硬件、从百兆到千兆以及万兆,再从单核到多核,但其根本的被动防护原理却基本没有改变,这也使得其面对变幻多端的“云”威胁时,总是捉襟见肘,难以应对。人们不禁要问,新时代的安全出路究竟在哪里?
当前防火墙技术也有一些新的发展趋势。这主要可以从分级过滤技术、防火墙体系结构两方面来体现。
3.1、防火墙分级过滤技术发展趋势
所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
3.2、防火墙的体系架构发展趋势
随着网络应用的增加以及云计算的发展,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。但这也存在很多问题,ASIC主要处理网络层数据,而当今应用层已经占据半壁江山,虽然起到加速作用,但效果甚微,另一方面,由于ASIC对新建并发、最大并发连接并不起多大作用,防火墙的并发瓶颈并未得到真正解决,人们更多的倾向于多核MIPS技术,所以,多核多线程并行处理技术既能解决高并发的问题,也能处理应用层协议,这一方向得到了多数安全厂商的认可。
四、重新定义的下一代防火墙
传统防火墙指的是一个由软件和硬件设备组合而成、在 内部网 和外部网之间、专用网与公共网之间的边界上构造的保护屏障。是一种获取安全性方法的形象说法,使Internet与Intranet之间建立起一个 安全网关 ,从而保护内部网免受非法用户的侵入。
下一代防火墙是一个能辨别新的未知的应用类型,通过实时感知和控制网络流量中动态更新的威胁信息,进行主动应变的智能化综合网关设备;同时能与其他设备联动组成的综合防御阵营体系。具备一种能动态化和智能化收集汇总技术,充分利用“云”进行动态实时的威胁信息集中采样与共享,它可以持续收集威胁的更新信息,这种更新的信息包括互联网上已知威胁的详细信息,连续攻击者、僵尸网络收获者、恶意爆发和黑网等。通过将这些信息实时传递到防火墙中,可以在僵尸网络等恶意攻击者有机会损害重要资产之前及时过滤掉这些攻击者,从而最终实现主动应变的安全堡垒。
未来的防火墙产品由于在功能性上的扩展,以及应用日益丰富、流量日益复杂所提出的更多性能要求,会呈现出更强的处理性能要求,许多产品都会在防火墙处打开数据包进行检测。且如允许数据包通过,设备会将数据包重组,并发送至IPS处,由其在第7层而非第3层进行检测。下一代防火墙的出现使得现有的此类技术如:UTM、防火墙、与IPS间的界线更为模糊,同时,利用下一代防火墙,还可将这些功能都集成到一个单一的CPU中,使用一个时钟周期及一个路径或流量,因此具有低延迟性。同时,因为其取代了多个设备,还具有低成本高效的优点。下一代防火墙不仅具有业务应用感控功能,还具有用户身份识别特性,可提供更多的威胁情报。随着防火墙更新周期的自然到来、带宽需求的增加和攻击的新特性,促使更新防火墙越来越快的出现,大型集团、政府、电信、金融、军队等各行各业将用下一代防火墙替换已有的防火墙。
五、如何选择下一代防火墙
5.1、软件体系方面
首先,判断一款防火墙是否具备前瞻性,是否有能力为用户进行客制化的功能扩展,是否保障稳定可靠,核心的技术就是该防火墙在软件设计方面是不是自主创新设计,而不是采用通用系统(如Linux、Unix等)进行改造。下一代防火墙的软件体系,其应用功能的各个环节都应该基于核心的自主创新安全的操作系统平台,必须从基础建设做起,类似于下一代通用安全系统平台VSP(Versatile Security Platform),是一种基于硬件、软件、管理三种平台相融合的专用安全平台,集实时操作系统、网络处理、安全应用等技术于一身,具有高效、智能、安全、健壮、易扩展等特点;充分考虑到基础建设,采用有效的智能应用感控技术,随时应对复杂应用的高安全需求。
5.2、硬件架构方面
当今的网络可以理解为一个大型的局域网以及无数个小型的局域网,所以,适合用户的是不同硬件架构,不同性能的多系列防火墙产品,所以,选择防火墙时对硬件架构的评估也是首当其冲的,无论是IXP、X86、ASIC还是多核等硬件架构,适合用户自身的网络安全需求才是最好的安全产品;首先需要明确的是厂商各系列防火墙所对应的硬件架构著作权,比如ASIC防火墙,就需要查清是否具备ASIC并行操作平台(或系统)著作权,当然,对于高端用户,硬件架构面临着高性能、多业务的应用,业界很多厂商开始宣传多核防火墙,有的甚至拿X86多核来混淆用户,但什么才是真正的多核架构,如何判断多核防火墙更需要明确。当前,业界多核厂商主要有RMI和Cavium,其推出的基于MIPS架构的嵌入式多核处理器,与X86、X86多核以及ASIC相比,多核处理器每个核可以模拟出8、16或32个虚拟的处理器单元,并可在配置界面上针对每个CPU运行的状态、利用率进行监控,另外,比较明显的区别在于防火墙最大并发连接和新建连接数的指标值不同,真正多核最大并发连接数在400万以上、每秒新建连接在10万以上。
5.3、方案部署方面
对于使用僵尸网络传播方式的威胁,传统防火墙的部署模式基本上是看不到的。随着面向服务的架构和Web2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。用户在选择下一代防火墙的部署方案时,需要认清防火墙是否在不同信任级别的网络之间实时执行网络安全政策的联机控制,是否支持新信息馈送和新技术集成的升级路径来应对未来的威胁,收集外来信息来做出更好的阻止决定或建立优化的阻止规则库方案。
5.4、用户体验方面
下一代防火墙在用户体验方面首先就是要看其软件的简洁性,如果不易配置与管理,且界面看起来比较老派,那么该产品也就有可能是过时产品。如果需要利用命令行进行繁杂的后台工作,则肯定是利用过时代码编写的产品,因为现在已经没人会再利用那种界面来编制代码。
5.5、云防御技术方面
随着人们对云计算的质疑声越来越少、越来越弱,云计算作为IT发展的下一个关键方向已经基本得到了确认。云计算如此高效,正让整个IT行业发生变革,然而安全性问题始终困扰着云计算。云计算服务自身的安全隐患随着应用的不断深入逐渐暴露出来。作为下一代防火墙,必须具备技术前瞻性,从“云”开始出现的第一天起就要考虑其安全性,给“云”提供必要的安全措施也是很重要的,提供安全隔离。
5.6、网络防攻击方面
下一代防火墙在网络攻击方面首先需要很容易处理以下的威胁,如DDoS攻击、DNS攻击、病毒、间谍软件、漏洞/入侵、蠕虫、僵尸网络、木马等攻击;其次能精确地应用识别(无论是端口,协议,ssl还是其他的逃避策略,在应用层访问/功能之上的细粒度的识别和策略控制,实时的保护来对抗嵌入在跨应用的威胁。
六、网御下一代防火墙安全解决方案
网御下一代防火墙分为KingGuard万兆系列、Super V高端系列、Power V中高端系列和Smart V低端系列,共计80余款,可为各种规模的企业和政府机构网络系统提供相适应的产品。网御防火墙已在税务、公安、政府、军队、能源、交通、电信、金融、制造等各行业中部署50000台以上。KingGuard、Super V系列采用高性能的RSIC多核架构,并结合国内首创的WindRunner矩阵式并行处理技术,将多颗CPU排成矩阵,在对网络数据流进行IPv4/IPv6双协议栈的策略匹配、抗攻击、内容过滤、加解密、QOS、日志等多项业务处理时,采用并行计算和流水线两个维度进行并行处理,确保了高安全的前提下的高性能处理。Power V系列采用基于应用识别的绿色上网控制模块,并在Power V-4000及3000系列集成了专用ASIC加速硬件芯片,使得小包高达10Gbps;Power V是已部署3万多台套的高可用多威胁统一管理的下一代防火墙系列。Smart V系列是集成防火墙、VPN、交换机、主动防御等功能于一身,可采用机架型和桌面型两种设备部署方案,适合各类大集团的分支机构、区县级政府机关、小型企业及SOHO用户。
在应用感控与云安全技术方面,网御下一代防火墙结合VSP、USE、MRP等核心安全技术,通过智能感控技术收集攻击检测源和挂马网站URL等特征,,与已部署的防病毒网关、IPS、UTM、Guard等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征,汇集至云防御服务器定时收纳合并,云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中,使其他设备也具有防病毒、IPS、防挂马等功能,同时使其具备更高的处理性能,共同形成整体可信架构云防御体系。网御公司提前部署可信架构“云防御”体系,主动防御未知威胁,网御下一代防火墙在不断变化的威胁环境、不断变化的业务IT流程、不断更新的云威胁下,为用户提供真正有价值的信息安全整体防护方案,使信息安全3.0时代提前到来。
【编辑推荐】