下一代防火墙NGFW
自Gartner在2009年提出了下一代防火墙概念以来,众多国内外网络安全厂商都陆续推出了下一代防火墙产品。另据Gartner的研究报告显示,在2014年,60%的新购防火墙都将是下一代防火墙。可以看出,无论是企业用户还是厂商,都在顺应IT趋势的变革,也都看到了其中的机遇。
2012年,NGFW(Next generation firewall)即下一代防火墙已经成为业界的热点声音。云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用,Gartner于2009年定义NGFW时的认知已经明显不足。众网络安全厂商和相关机构,纷纷为此下“定义”,但至今争执不下,足见此概念的热度。
我们暂且这样陈述,下一代防火墙并不是简单的功能堆砌和性能叠加,下一代防火墙以全局的视角,从解决用户网络面临的实际问题出发来定义才更为妥当。下一代防火墙并不是凭空而出的产品,也不会是防火墙的终极形态。下一代防火墙需要安全厂商不断的关注IT环境和客户需求的变化、持续专注的技术积累及创新,而厚积薄发的产品成果。
业界的主流观点认为,下一代防火墙应该实实在在实现以下六大功能:
基于用户防护
传统防火墙策略都是依赖IP或MAC地址来区分数据流,不利于管理也很难完成对网络状况的清晰掌握和精确控制。下一代防火墙则具备用户身份管理系统,实现了分级、分组、权限、继承关系等功能,充分考虑到各种应用环境下不同的用户需求。此外还集成了安全准入控制功能,支持多种认证协议与认证方式,实现了基于用户的安全防护策略部署与可视化管控。
面向应用安全
在应用安全方面,下一代防火墙应该包括“智能流检测”和“虚拟化远程接入”两点。一方面可以做到对各种应用的深层次的识别;另外在解决数据安全性问题方面,通过将虚拟化技术与远程接入技术相结合,为远程接入终端提供虚拟应用发布与虚拟桌面功能,使其本地无需执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互,就可以实现了终端到业务系统的“无痕访问”,进而达到终端与业务分离的目的。
高效转发平台
为了突破传统网关设备的性能瓶颈,下一代防火墙可以通过整机的并行多级硬件架构设计,将NSE(网络服务引擎)与SE(安全引擎)独立部署。网络服务引擎完成底层路由/交换转发,并对整机各模块进行管理与状态监控;而安全引擎负责将数据流进行网络层安全处理与应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。
多层级冗余架构
下一代防火墙设备自身要有一套完善的业务连续性保障方案。针对这一需求,必须采用多层级冗余化设计。在设计中,通过板卡冗余、模块冗余以及链路冗余来构建底层物理级冗余;使用双操作系统来提供系统级冗余;而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级、系统级与方案级共同构成了多层级的冗余化架构体系。
全方位可视化
下一代防火墙还要注意“眼球经济”,必须提供丰富的展示方式,从应用和用户视角多层面的将网络应用的状态展现出来,包括对历史的精确还原和对各种数据的智能统计分析,使管理者清晰的认知网络运行状态。实施可视化所要达到的效果是,对于管理范围内任意一台主机的网络应用情况及安全事件信息可以进行准确的定位与实时跟踪;对于全网产生的海量安全事件信息,通过深入的数据挖掘能够形成安全趋势分析,以及各类图形化的统计分析报告。
安全技术融合
动态云防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。一方面可以通过“云”来收集安全威胁信息并快速寻找解决方案,及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中,保证用户的安全防护策略得到及时、准确的动态更新;另一方面,通过 “云”,使得策略管理体系的安全策略漂移机制能够实现物理网络基于“人”、虚拟计算环境基于“VM”(虚拟机)的安全策略动态部署。