时值新年伊始之际,各大媒体都在对过去一年的网络安全市场做各种盘点,而“下一代防火墙”无一例外成为各种盘点中的热门主题词,被公认为最火热的安全技术发展趋势。然而不得不说,作为一个产品品类名称,“下一代防火墙”这个名字太过模糊了。我们所熟知的 “路由器”、“交换机”、“防火墙”等等,仅仅通过名字,我们就可以对其产品的功能内涵做出一个大致的推测。然而,“下一代防火墙”却不是这样,我们最多就能了解到这是一款与传统防火墙不一样的安全产品,而究竟哪里不一样,这是一种什么样的安全产品则完全没有提及。事实上也正是因为这种命名上的模糊,才导致了当前的下一代防火墙市场标准混杂,实现各异,令广大用户是莫衷一是。甚至连许多业内人士也无法准确的说出下一代防火墙究竟是什么,所以孔子才说“必也正名乎”!本文将对下一代防火墙的来龙去脉做一个简单的梳理,并分别从“主要防御风险”和“主要防御技术”两个维度来对下一代防火墙进行描述,希望通过这样一篇文章,读者可以清晰的理解,为什么要“下一代”,什么才是下一代。
首先从威胁的角度来看一下。传统网络安全产品防护的主要是“病毒”、DDOS攻击、系统漏洞扫描与攻击。与之相应的产品是“传统防火墙”、“UTM”、“IPS”等。然而网络安全的情况已经有了很大变化。当前网络安全的主要威胁已经变成了“木马”“钓鱼网站”“数据泄露”“僵尸网络”等问题。传统的网络威胁一般与正常应用有很大区别,特征容易被识别和防御,攻击一般发生在单一时点。而当代威胁则变得更加隐蔽、主要通过各种网络应用为载体,混杂在正常的网络应用中,用传统手段很难被识别和防御,而且从渗透到驻留再到发生实际的攻击行为,往往会持续很长时间。“威胁”与“防护”,始终是一个魔道相长的过程,威胁已经发生了变化,防护技术也必须相应的发生变化。“下一代防火墙”就是针对这种变化,以“木马”“钓鱼网站”“数据泄露”“僵尸网络”等下一代威胁为主要防范对象的网络安全产品。
再来说一下安全技术。过去的网络安全设备,最主要的技术就是两个——基于网络层地址和传输层端口的访问控制技术和基于特征匹配的杀毒和攻击防护技术。这样的技术在新的网络威胁面前已经逐渐失去了作用。由于“木马”“僵尸网络”“钓鱼网站”等威胁基本都是通过正常应用注入的,而仅仅通过网络层和传输层特征是无法将网络威胁和正常应用区分开的,并且由于安全策略配置在特定端口上还会导致由端口跳变带来的威胁逃逸。因此必须引入更为先进的,与端口无关且可以分辨出网络流量的用户特征、应用特征、内容特征的“应用识别”技术才有可能在保证正常网络应用同时对网络威胁进行防护。同时,由于很多应用都采取一些加密技术,而威胁往往会隐藏在加密后的流量中,从而导致威胁无法被检查。所以对于加密、隧道、代理等逃逸技术的应对成为了另外一项关键能力。而由于“木马”往往都有着很强的变形能力,使得基于特征匹配的查杀手段很难跟上“木马”的变形速度,因此“云查杀”也就成为了下一代安全的又一个必然选择。另外,基于“网络行为分析”的主动防御技术,则成为了防御僵尸网络和间谍软件的有力武器。综上所述,下一代防火墙在技术上与传统的网络安全产品有着本质的区别,他主要是通过“应用识别”、“防逃逸”、“云安全”、“网络行为分析”等技术来保护网络安全, 关于这一点,在现有的产品实现中,比如PALO ALTO 的PA系列产品,和网康的NGFW产品身上都得到了明确的体现。
通过对 “主要防护威胁”和“主要安全技术”这两个维度的分析,我们可以清晰的看到,下一代防火墙是通过“应用识别”、“云查杀”、“行为分析”等先进技术,针对“木马”、“僵尸网络”、“数据泄露”等当代网络的主要威胁进行防护的下一代网络安全产品。“下一代防火墙”是企业IT架构和IT应用日益复杂化差异化的客观需要,是应对下一代威胁的必然需求,也是下一代安全技术的集大成者。