下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报,如:使用Web邮件、anonymizer、端到端或计算机远程控制等。仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求。细粒度策略会要求仅阻止发向其它允许目的地的部分类型的应用通讯,并利用重新导向功能根据明确的黑名单规则使其无法实现该通讯。这就意味着,即使有些应用程序设计可避开检测或采用SSL加密,下一代防火墙依然可识别并阻止此类程序。而业务识别的另外一项优点还包括带宽控制,例:因为拒绝了无用或不允许进入的端到端流量,从而大幅降低了带宽的耗用。
仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络的来临,下一代防火墙的应用已然是不可抗拒的趋势,有理由相信到2014年年末使用这一产品进行保护的比例将上升至35%,同时,其中将有60%都为重新购买下一代防火墙。
大型企业都将随着正常的防火墙与IPS更新循环的到来逐渐采用下一代防火墙代替其现有的防火墙,或因带宽需求的增高或遭受了攻击而进行防火墙升级。许多防火墙与IPS供应商都已升级了其产品,以提供业务识别与部分下一代防火墙特性,且有许多新兴公司都十分关注下一代防火墙功能。Gartner的研究报告说明,认为随着威胁情况的变化以及业务与IT程序的改变都促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品。而下一代防火墙的供应商们成功占有市场的关键则在于需要证明第一代防火墙与IPS特性既可与当前的第一代功能相匹配,又能同时兼具下一代防火墙功能,或具有一定价格优势。
复杂环境下网络安全管理的窘境
随着网络安全需求不断深入,大量政府、金融、大企业等用户将网络划分了更为细致的安全区域,并在各安全区域的边界处部署下一代防火墙设备。对于所有的网络管理者来说,安全设备数量的不断激增无疑增加了管理上的成本,甚至成为日常安全运维工作的负担,对网络安全管理起着消极的反作用。对于大型网络而言,网络管理者往往需要在每一台安全设备上逐一部署安全策略、安全防护规则等,并且在日常的维护中,还要逐一的对设备进行升级等操作,类似重复的工作将耗费大量的时间,同时大量人工操作势必将带来误配置的风险。
对于高风险、大流量、多业务的复杂网络环境而言,全网部署的下一代防火墙设备工作在不同的安全区域,各自为战,为了进行有效的安全管理,管理者往往要单独监控每一台设备的运行状态、流量情况以及威胁状况等,对于绝大多数人力资源并不充裕的信息部门,这无疑又是一项效率低、难度大的工作,监控到的信息往往由于实时性差,易疏漏等问题,对全网安全性的提升并无促进作用。
安全管理应面向风险而非单纯的安全事件响应,网络安全同样遵循这样的方向和趋势,而如何及时预见风险,以及在安全事件发生后如何快速溯源并采取响应措施,是摆在每一位网络管理者面前的难题。专家认为,基于大数据挖掘技术无疑可以帮助管理者更加快速的发现网络中的异常情况,进而尽早的确认威胁并采取干预措施,实现主动防御。而此方案实现的前提,则需具备对数据的收集集中能力以及智能分析能力。
为什么要识别应用
随着以WEB2.0为代表的社区化网络时代的到来,互联网进入了以论坛、博客、社交、视频、P2P分享等应用为代表的下一代互联网时代,用户不再是单向的信息接受者,更是以WEB应用为媒介的内容发布者和参与者,在这种趋势下,越来越多的应用呈现出WEB化,据调查显示超过90%的网络应用运行于HTTP协议的80和443端口,大量应用可以进行端口复用和IP地址修改。
然而,由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。所以对于WEB2.0应用来说,传统防火墙看到的所有基于浏览器的应用程序的网络流量是完全一样的,无法区分各种应用程序,更无法实施策略来区分哪些是不当的、不需要的或不适当的程序,或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有基于web的流量,其中包括合法商业用途的内容和服务。即便是对授权通过的流量也会因为不能细粒度的准确分辨应用,而使针对应用的入侵攻击或病毒传播趁虚而入,使用户私有网络完全暴露于广域网威胁攻击之中。
综上所述,在新一代网络技术发展和新型应用威胁不断涌现的现有环境下,对网络流量进行全面、智能、多维的应用识别需求已迫在眉睫,也必将成为下一代防火墙所必须具备的基本和核心理念之一。
全面、多维的识别应用
每一种网络应用都应具备多方面的属性和特质,比如商业属性、风险属性、资源属性、技术属性等等,只有从各个角度多维、立体的去识别一个应用才会更加全面和准确。举例来说,从商业属性来讲,可以是ERP/CRM类、数据库类、办公自动化类或系统升级类应用;从风险属性来讲,可以是1至5级不等的风险级别分类,风险级别越高的应用(如QQ/MSN文件传输等)其可能带来的恶意软件入侵、资产泄密的可能性就越高;从资源属性来讲,可以是容易消耗带宽类、容易误操作类或易规避类的应用等;而从技术属性来讲,又可以是P2P类、客户端/服务器类或是基于浏览器类的应用等。
对应用的多维、立体识别不仅是下一代防火墙做到全面、准确识别应用的必须要求,更是辅助用户管理应用、制定应用相关的控制和安全策略的关键手段,从而将用户从晦涩难懂的技术语言抽离出来,转而采用用户更关心和可以理解的语言去分类和解释应用,方便其做出正确的控制和攻防决断。下一代防火墙必须也应该要做到这一点,一种重要的实现手段就是---应用过滤器。
应用过滤器的关键特点是提供给用户一种工具,让用户通过易于理解的属性语言去多维度的过滤和筛选应用,经过筛选过滤后得到的所有应用形成一个应用集,用户可以对此应用集针对性的进行统一的访问控制或安全管理。举例来说,作为边界安全设备,用户希望在允许内网用户与外网进行必要的邮件、IM即时通信、网络会议通信的同时,能够对其中的中、高级风险类应用进行安全扫描和防护,保证通信安全,杜绝威胁入侵。要做到这点用户只要通过应用过滤器,在商业属性维度给出选择,这里选择协作类应用(包括邮件、IM通信、网络会议、社交网络、论坛贴吧等应用),再在风险属性维度给出选择,这里可选择3级以上风险等级,应用过滤器会根据选择过滤、筛选出符合维度要求的所有应用(这里包括雅虎mail、QQ邮箱、MSN聊天、WebEx会议、人人网论坛等几十个应用),并以分类页表的形式呈现给用户,用户还可以通过点击应用名称查看每个应用的详细描述信息。接下来在一体化安全策略中,用户在指定好IP、安全区、时间、用户等基本控制条件,以及指定好IPS、防病毒、URL过滤、内容过滤等安全扫描条件后,只要选定刚才的应用过滤器,即可对所有内外网协作且高风险类应用进行全天24小时的安全扫描和防护,当发现攻击威胁时及时阻断并审计记录,保障用户的应用安全无忧。
识别未知应用
社区化网络的发展,缩短了世界各地用户经验交流和合作的时间与空间,应用数量和种类及相关的网络威胁都在日新月异的增长和发展着。面对来自世界各地、随时随地涌现的新类型、新应用,任何一个安全厂商或机构都无法第一时间毫无遗漏的全部涵盖和一网打尽,下一代防火墙必须提供一种机制,去第一时间识别和控制应用,保障用户网络每一秒都不会暴露在网络威胁之下。这就要求其必须要具备应用自定义的能力。
所谓应用自定义,就是以动态的方式允许用户对某种/某些非通用化、用户私有的无法识别的应用进行特征化的描述,系统学习并记忆这种描述,并在之后的网络通信中去智能的分析和匹配此种特征,从而将其识别出来,实现将应用由未知转化为已知。这种机制免去了传统以往为增加应用而重做的软件引擎、识别库版本开发、定制、上线、升级等大量工作,节省了大量宝贵时间,第一时间保障用户网络安全。
下一代防火墙的应用自定义应该包括维度归类和特征码指定两部分。维度归类将自定义出的应用如同其它已有应用一样从多维度进行分类划分,如该应用属于哪种商业类型、何种资源属性、怎样的风险级别等等,与应用过滤器形成完美配合。同时通过特征码,指定出应用在包长度、服务端口、连接方式、甚至于特征字符串/数字串等等方面的数据特征,多种方式灵活组合,并可依需要无限度扩展,涵盖了学习、辨识一个新应用的所有特征因素,从而第一时间让所有已有的或未来将有的未知应用无处遁形,完全掌握于控制之中。
全国人大代表、中国电子科技集团公司总经理熊群力向记者透露,我国自主开发的全新一代国产工业防火墙即将推出,将为国内工业用户提供工业控制信息安全"固、隔、监"的防护体系。
据熊群力介绍,作为功能全面、安全性高的网络安全系统,这套名为三零卫士工业防火墙的新一代国产工业防火墙,采用国际上最先进的网络安全技术,是针对工控网络安全的具体应用环境完全自主开发的安全产品。工控网络安全涉及国家关键基础设施信息系统如电力、轨道交通、石油、水务等的基础网络所面临的安全问题,此前在2013年,中国电科已率先研制了两款国内首创、拥有完全自主知识产权、基于专用硬件的工业控制系统信息安全产品。