次世代防火牆

次世代防火牆

要求一:具有應用程式流量識別能力,能夠強化管理
傳統的防火牆,是依照封包的來源、連接埠等網路層第三、第四層的資訊,進行封包過濾,像水閘門一樣,減少網路被惡意程式攻擊的可能性,但是次世代防火牆必須做到更多。
次世代防火牆(Next Generation Firewall,NGFW)要有能力看懂第七層應用層的流量,識別不同的應用程式流量,而且還要再更進一步,還能夠識別使用者的身分、裝置等資訊。也就是說,NGFW必須提供比傳統防火牆更好的可視性,如此一來面對許多新型態的攻擊,如僵屍網路等,才能有能力反應。
提供可視性,進而透過這樣的深層封包檢測能力去管理流量,是次世代防火牆和傳統防火牆最大的不同。
要求二:軟、硬體不被綁定,能彈性調配
有別於過去的防火牆產品,買了硬體,軟體的功能就固定無法變動,NGFW將能夠鬆動這一環羈絆。NGFW為了更靈活的調配硬體資源,將會走向軟體功能與硬體分開來運作的道路,這樣一來,在擴充硬體時,就不會有過去受到局限的問題,購買的就單純是硬體資源,而軟體功能則直接做在原有設備上。
要求三:需有能力提供客製化的功能,對新的威脅快速反應
NGFW在提供客製化功能或過濾器等能力時,將會相對比較容易。
NGFW保留這樣的能力是必需的,這將能有效的協助企業解決許多自己遭遇的獨特狀況,針對資安情況做出更快速的反應。
要求四:要能夠支援雲端架構變化的調整
隨著虛擬化和雲端的大趨勢開始起跑,其實次世代防火牆也必須要有能力支援未來這樣的新架構。這代表NGFW在硬體功能上必須要能夠有些新的變化,比如說每秒用戶連線能力、橫向擴充能力、虛擬化架構的防護、硬體資源的分配等,都會是雲端運算架構中需要面對的問題。
NGFW必須要有能力承受更高的每秒用戶連線能力,而不光只是支援更高的同時在線人數。除此之外,虛擬化的防護,也會是NGFW需要面對的重點問題,如何讓防火牆能夠與虛擬層溝通,進而能夠針對每一臺虛擬機器的流量做掃描與阻擋,而不會將之視為單一的實體伺服器。
要求五:要能夠與不同網路設備做到共同聯防
談到資安設備間的聯防,很多人的直覺是想到類似NAC的架構,甚至在販售產品的經銷商,都有人有這種想法,然後因為NAC不容易實現,賺不了錢,所以避而不談區域聯防這種概念。不過事實上,這是以偏概全的想法,區域聯防並不是這麼一回事。
NAC只是資安設備聯防的一種形式而已,而NGFW概念中的區域聯防,則又是另一種形式的想法。我們甚至可以這麼說,NGFW必須要具備與其他資安設備溝通的能力,這才是未來發展合理的走向。因為不可能所有的流量,都流經單臺設備。
在這樣的狀況下,NGFW勢必必須擁有與其他設備的聯防的能力,舉例來說,若能與其他設備,或自己設備中的網站過濾功能溝通,那麼當使用者連結上到含有惡意連結的網站,或者是違反企業資安政策的網站時,NGFW就能扮演阻斷流量的角色,把威脅的可能性在發生前就截斷,防患於未然。
要求六:未來能整合更多強化的功能
前面的幾個必備功能,我們比較著重在整體架構面的觀察。而NGFW其實還有一個能力不能不提,那就是必需整合更多強化的功能。
過去UTM這樣類型的資安設備,由於硬體技術的不足,當功能全開的時候,往往會有效能大幅降低的狀況發生。不過隨著硬體技術的發展,處理器現在運算能力甚至不會比不可程式化的ASIC差到哪裡去,這也使得單一資安設備整合多功能的可行性越來越高。而NGFW也因此可以預見,未來一定能夠整合更多傳統防火牆所沒有的功能。
我們拿安全訓練與研究機構SANS(SysAdmin、Audit、Network、Security)協會,所定義的NGFW來看,就會發現NGFW除了該具備傳統防火牆功能外,還必須要能提供包括基礎DLP、NAC(Network Access Control)、IDP、防蠕蟲、防中介軟體、網站過濾、VPN、SSL Proxy、QoS等功能。
不但擁有更多功能,NGFW的功能也還要更為深入,例如NGFW的IDP功能,應該要能夠透過不同技術辨識流量,如Header-based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。並且有能力提供客製化的過濾器。而在防蠕蟲的功能上,則必須做到減輕試圖直接癱瘓攻擊的影響程度,以及不讓蠕蟲的擴散。並且要有能力針對電子郵件去設定阻擋政策。此外,還必須要擁有部份路由和交換等功能,QoS能力也應該要具備,並且要能夠和辨識不同應用程式流量的功能結合,針對不同的流量做出不同管理。
TOP