為什么說下一代防火墻，決勝于應(yīng)用層

幾乎沒有人懷疑防火墻在企業(yè)所有的安全設(shè)備采購中所占據(jù)的重要位置，但傳統(tǒng)的防火墻并沒有解決網(wǎng)絡(luò)主要的安全問題。從實現(xiàn)技術(shù)來講，傳統(tǒng)的防火墻主要是包過濾防火墻，實現(xiàn)的是網(wǎng)絡(luò)層控制 — 截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，根據(jù)協(xié)議進(jìn)行解析，最后利用包頭的關(guān)鍵字段和預(yù)設(shè)的過濾規(guī)則做對比，決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包。隨著應(yīng)用層各種應(yīng)用的豐富，越來越多的應(yīng)用層協(xié)議出現(xiàn)，隨之而來的是黑客可以越來越多的直接在應(yīng)用層發(fā)起攻擊。

根據(jù)著名調(diào)查機(jī)構(gòu)Gartner的統(tǒng)計，近年來75%的網(wǎng)絡(luò)攻擊都是發(fā)生在應(yīng)用層上。甚至之前典型的以網(wǎng)絡(luò)層流量“制勝”的DDoS攻擊，近年來也有向應(yīng)用層下移的趨勢 — 截止2013年，四分之一以上的DDoS攻擊都是基于應(yīng)用程序的，而且這個比例還在逐年提高。與之形成鮮明對比，隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，關(guān)鍵業(yè)務(wù)活動越來越多的依賴于互聯(lián)網(wǎng)應(yīng)用，這也就意味著暴露越來越多的風(fēng)險隱患點。

新一代安全 角力新戰(zhàn)場

傳統(tǒng)防火墻主要針對通用協(xié)議進(jìn)行處理，無力對應(yīng)用協(xié)議包進(jìn)行分析，難以防范更具針對性的網(wǎng)絡(luò)攻擊。隨著技術(shù)的發(fā)展進(jìn)步和互聯(lián)網(wǎng)+時代的業(yè)務(wù)需求，現(xiàn)在的防火墻用戶亟需對數(shù)據(jù)包進(jìn)行更深層次的檢查和過濾。例如，用戶可以通過QQ傳輸文件，而傳輸?shù)奈募锌赡芫褪且腼L(fēng)險的惡意文件。在這種業(yè)務(wù)場景下，即使傳統(tǒng)防火墻可以通過端口號確認(rèn)了運行的QQ服務(wù)，也無法做到文件層面的深度檢測，更不用提還有很多運行在非標(biāo)準(zhǔn)端口上的應(yīng)用。

盡管現(xiàn)在就斷言傳統(tǒng)的以策略為核心的防護(hù)體系已經(jīng)完全失效還為時過早，但在黑客的攻擊手段從網(wǎng)絡(luò)層攻擊為主向Web攻擊為主轉(zhuǎn)換的大背景下，我們可以得出一個結(jié)論：缺少了應(yīng)用層檢測和防護(hù)能力的防火墻，不可避免的面臨著“廉頗老矣，尚能飯否”的窘境；新一代安全的關(guān)注點，就在于應(yīng)用安全，就在于針對Web應(yīng)用層提供完整的解決方案。

下一代防火墻如何化解應(yīng)用層危機(jī)

有不止一個理由可以讓下一代防火墻成為“下一代”，用戶身份感知能力、高可擴(kuò)展性、應(yīng)用感知能力（application awareness）都是下一代防火墻的典型標(biāo)簽，但“應(yīng)用感知能力”毫無疑問是最容易關(guān)聯(lián)到下一代防火墻的熱詞。應(yīng)用感知這個概念，看起來已經(jīng)很清晰，但在某種程度上又很有誤導(dǎo)性。說它已經(jīng)清晰是因為下一代防火墻可以將流量具體關(guān)聯(lián)到特定的應(yīng)用上，說它具有誤導(dǎo)性是因為下一代防火墻的安全能力不應(yīng)僅局限于檢測識別應(yīng)用的流量，更重要的是作用于識別的結(jié)果：有選擇性的阻斷或以其他方式限制對應(yīng)用的使用，甚至是應(yīng)用的子應(yīng)用，而不是僅像傳統(tǒng)防火墻一樣只是阻斷特定的端口和協(xié)議。

新安全形勢下，防火墻用戶需要對全網(wǎng)所運行的應(yīng)用有更深的理解和認(rèn)知。近年來較新的安全設(shè)備很多都提供了深度報文檢查（DPI）、精細(xì)化管控和應(yīng)用感知功能，幫助企業(yè)管控網(wǎng)絡(luò)邊界。根據(jù)Gartner研究總監(jiān)Eric Maiwald的研究結(jié)果，“現(xiàn)代防火墻或多或少都有些下一代的基因在里面，包括集成的入侵檢測功能（IPS）和更好的應(yīng)用控制能力。這些似乎已經(jīng)成為了當(dāng)今防火墻設(shè)備的標(biāo)配，幾乎所有的主流安全廠商都能娓娓道來一段有關(guān)下一代的故事”。但故事終究是故事，比聽故事更重要的是理解如何評估“下一代”，以及是否應(yīng)該遷移到“下一代”。

對異常行為的實時檢測和分析是促使很多用戶升級到下一代防火墻的主要動力。很多IT主管都反映，部署了下一代防火墻后最明顯的變化是對失陷主機(jī)的檢測 — 有些企業(yè)在部署當(dāng)天便能發(fā)現(xiàn)內(nèi)網(wǎng)中的僵尸網(wǎng)絡(luò)和已被入侵的主機(jī)。這得益于下一代防火墻可以檢測數(shù)據(jù)包的有效荷載并根據(jù)這些實際內(nèi)容做出相應(yīng)決定，還能提供更好的內(nèi)容過濾能力 — 可以審查完整的網(wǎng)絡(luò)數(shù)據(jù)包，而不僅僅是網(wǎng)絡(luò)地址和端口，這就使得下一代防火墻有更強大的日志記錄功能，例如可以記錄某個特定程序發(fā)出的命令這樣的日志事件，這為識別應(yīng)用的異常行為提供了很有價值的信息。

更精細(xì)的應(yīng)用層安全控制是下一代防火墻的另一個“殺手锏”。在網(wǎng)絡(luò)威脅更多的來源自應(yīng)用層這個大背景下，用戶對網(wǎng)絡(luò)訪問控制自然要提出更高的要求。如何精確的識別出用戶和應(yīng)用、阻斷隱藏安全隱患的應(yīng)用、保證合法應(yīng)用的正常使用等問題，已經(jīng)成為現(xiàn)階段用戶所關(guān)注的焦點。但在網(wǎng)絡(luò)應(yīng)用高速發(fā)展的今天，超過90%的網(wǎng)絡(luò)應(yīng)用運行在HTTP 80和443端口上，大量應(yīng)用可以進(jìn)行端口復(fù)用和IP地址修改，導(dǎo)致IP地址不等于用戶、端口號不等于應(yīng)用，傳統(tǒng)的基于五元組的訪問控制策略已無用武之地。下一代防火墻的用戶、應(yīng)用可視化技術(shù)，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制；如果能夠?qū)崿F(xiàn)與多種認(rèn)證系統(tǒng)（AD、LDAP等）無縫對接的話，還可以進(jìn)一步自動識別出網(wǎng)絡(luò)中當(dāng)前IP所對應(yīng)的用戶信息，勾畫出人-內(nèi)容-應(yīng)用的立體畫像，滿足新一代安全的網(wǎng)絡(luò)管控要求。

下一代防火墻不是萬金油

與傳統(tǒng)的基于特征的檢測引擎不同，下一代防火墻與生俱來的基因是感知用戶和應(yīng)用的行為，歸根結(jié)底是要理解網(wǎng)絡(luò)報文的上下文背景。盡管這省去了特征庫，但并不意味著下一代防火墻從此擺脫了定期升級的繁瑣工作；相反，下一代防火墻更需要不間斷的學(xué)習(xí)日益增長的應(yīng)用指紋特征以保持對應(yīng)用識別的時效性。由于這類指紋特征不依賴于端口、協(xié)議等易于識別的特征，有時甚至可能還會包含特定報文的內(nèi)容，因此維護(hù)下一代防火墻的規(guī)則集是一項更為繁重的任務(wù)。此外，對于非通用型的應(yīng)用，如很多大型企業(yè)定制開發(fā)的私有應(yīng)用，下一代防火墻很可能會無法識別。在這種情況下，用戶仍需手動添加應(yīng)用指紋特征，且在每次私有應(yīng)用升級后可能還要重復(fù)這一過程。下一代防火墻如此的不智能，會讓很多用戶對“下一代”印象大打折扣。

下一代應(yīng)用層防火墻技術(shù)克服了傳統(tǒng)“邊界防火墻”的缺點，集成了IPS、防病毒等安全技術(shù)，實現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案，滿足企業(yè)實際應(yīng)用和發(fā)展的安全要求。展望未來，隨著更加隱蔽的應(yīng)用層攻擊不斷出現(xiàn)，未來防火墻將會面臨更多協(xié)議的解析、更多應(yīng)用的識別，因此未來應(yīng)用層防火墻必將向著更大的防護(hù)功能面和更細(xì)致的粒度管控這個方向發(fā)展。

最新評論