更快更智能 下一代防火墻新技術初探
隨著網絡的發展,網絡應用不斷豐富。大量應用建立在HTTP等基礎協議之上,或者隨機產生端口號,或者采用SSL加密等方式來隱藏內容。此時IP地址不等于用戶,協議端口號不等于應用,數據包不等于行為。
最近幾年,傳統防火墻解決方案在應對當前大量的威脅以及不斷變化的應用環境時已經顯得力不從心。
首先,隨著網絡的發展,網絡應用不斷豐富。大量應用建立在HTTP等基礎協議之上,或者隨機產生端口號,或者采用SSL加密等方式來隱藏內容。此時IP地址不等于用戶,協議端口號不等于應用,數據包不等于行為。如何“看清”應用中的內容并進行防御,這是對防火墻提出了新要求。其次,網絡正在從千兆走向萬兆甚至10萬兆,網絡帶寬增長迅速,防火墻應有足夠的性能和擴展性來應對這種變化。再次,隨著遠程辦公的快速增長,要求防火墻既能抵抗外部攻擊,又能允許合法的遠程訪問,尤其重要的是能夠識別加密過的數據。
顯然,和其他網絡設備一樣,防火墻必須隨需而變,升級到下一代防火墻,才能在變革的大潮中煥發新的生命力。
越“跑”越快
隨著互聯網的蓬勃發展,網絡流量大幅提升,要求下一代防火墻必須具備更高性能、更低時延。Hillstone山石網科(以下簡稱山石網科)產品經理張龍勇向記者介紹,該公司的防火墻采用多核PlusG2架構和新一代的全并行流檢測引擎技術,在同檔的硬件配置下有多達5倍的性能提升。防火墻最高可達20萬每秒新建連接、20Gbps吞吐量和1000萬并發會話。
SonicWALL的下一代防火墻技術ProjectSuperMassive也采用大規模多核架構,運行于SonicWALL的多刀片機架之上。96核和384核的產品實施原型已經在Interop大會上展出。
SonicWALL首席技術官兼工程副總裁JohnGmuender說:“面對不斷增加的帶寬速度以及互聯網威脅的數量、頻率及復雜性的不斷上升,我們知道ProjectSuperMassive技術平臺需要具備大規模的可擴展性。通過采用Cavium的卓越芯片技術,該平臺可擴展到1024個核。同時,經安全與漏洞檢測領先公司IXIA驗證,其性能超過了40Gbps。”
隨著網絡的發展,網絡應用不斷豐富。大量應用建立在HTTP等基礎協議之上,或者隨機產生端口號,或者采用SSL加密等方式來隱藏內容。此時IP地址不等于用戶,協議端口號不等于應用,數據包不等于行為。
華為賽門鐵克的高端安全網關設備則采用“NP+多核+分布式”架構,具備優異的防火墻性能,最多可支持8個業務處理模塊,整機吞吐量可達到80Gbps,每秒新建連接數為160萬,最大并發連接數為3200萬。此外該系列產品還具備完善的VPN性能,目前業務處理模塊并發隧道數量為4萬,整機最高支持32萬。
“性能與業務復雜度天生就是一對矛盾體,在一些要求較高的應用場合,就算是多核系統平臺也很難做到功能、性能兩全。”網御神州防火墻負責人王剛說。為了解決這個問題,網御神州的新一代防火墻基于“為多核加速”的設計理念,在多核架構上引入了可編程ASIC加速引擎技術和多核負載均衡技術。一方面,可編程ASIC加速引擎的引入,徹底解決了傳統多核架構在網絡層處理性能上的不足,尤其是“小包”處理性能的不足,可以達到64字節小包8G線速的處理性能;另一方面,多核處理器計算性能優越、在應用層處理能力上的優勢得到了很好的繼承;而多核負載均衡技術,解決了傳統多核架構下由于沒有高效的調度技術導致多核的并行處理效能無法得到充分釋放的難題。多核負載均衡技術能夠將需要應用層處理的流量按照比例分配到不同的CPU核上,最大程度地做到了多核間的并行處理,大幅提升了設備的應用層處理性能,IPS吞吐可以輕松超過雙向1Gbps線速。
看透應用
傳統防火墻能夠很好地防范網絡層攻擊。但是,隨著富媒體應用的爆炸性增長,以及Web2.0應用快速向業務環境滲透,隱藏在應用層中的惡意威脅越來越多,用戶要求下一代防火墻必須能夠檢測出隱藏在應用層數據流中的攻擊。
CheckPoint的工程師向記者介紹,CheckPoint防火墻軟件刀片采用智能檢查技術—INSPECT,將網絡層和應用層保護集成在一起。INSPECT支持多種應用程序和應用協議,可以方便地擴展支持新的應用程序和應用協議。
隨著網絡的發展,網絡應用不斷豐富。大量應用建立在HTTP等基礎協議之上,或者隨機產生端口號,或者采用SSL加密等方式來隱藏內容。此時IP地址不等于用戶,協議端口號不等于應用,數據包不等于行為。
在深度應用安全方面,山石網科的防火墻可對P2P、IM、游戲、辦公軟件以及基于SIP、H.323、HTTP等協議的應用進行控制。識別的應用多達幾百種,而且隨著應用的發展每天都在增加。應用特征庫可獨立升級,不影響系統的穩定性。而且,其采用交叉檢測技術,不僅對協議進行深度的分析,還通過綜合分析用戶狀態、應用狀態和行為狀態,來確認協議的真正含義,實現更精準和更快速的定位。
當前Web2.0應用使企業面臨著新的威脅以及與應用檢測和控制相關的策略與法規遵從問題。在邁克菲的新一代防火墻解決方案—McAfeeFirewallEnterprise第八版中,邁克菲擴展了防火墻現有的應用保護功能,能夠幫助安全管理員發現和識別數千種應用并執行相應的安全策略,傳統的防火墻技術無法做到這一點。通過集成邁克菲基于云的實時全球威脅智能感知系統,邁克菲防火墻還可提供更詳細的內、外部威脅和漏洞信息,降低法規遵從和運營成本。
SonicWALL的“應用智能和控制”技術提供了對應用層流量的全面保護、管理和控制。通過持續地運用和更新2700多個獨特的應用簽名,應用智能可以根據應用標識、用戶/群組標識及內容標識來識別和控制流量,并通過建立針對進入和外出帶寬管理的政策(不是簡單的‘阻止/允許’方案)來管理流量。另外,與其他只提供應用控制的方案不同,ProjectSuperMassive將應用智能與入侵防御及惡意軟件攔截組件集成到了下一代防火墻中,形成了一個功能強大的網絡安全平臺。
現在,企業的數據中心普遍采用了虛擬化技術,但是,伴隨虛擬化技術而來的,還有其本身的安全隱患。安全廠商已經著手解決虛擬化的安全問題,例如邁克菲的防火墻現在既可用于傳統設備,也可用于新的虛擬化硬件設備,甚至可以作為一款基于軟件的防火墻虛擬設備來使用。這些新的交付方式使客戶能夠在整合數據中心和應用環境以及引入新的虛擬環境時,充分利用虛擬化技術來降低成本,提高靈活性,而不必擔心安全性。
隨著網絡的發展,網絡應用不斷豐富。大量應用建立在HTTP等基礎協議之上,或者隨機產生端口號,或者采用SSL加密等方式來隱藏內容。此時IP地址不等于用戶,協議端口號不等于應用,數據包不等于行為。
從“云”中獲取能量
綠盟產品市場部崔云鵬曾向記者表示,云安全是利用云計算的技術,在分布式計算的基礎上,部署中心服務器或者安全系統,并利用互聯網,將各個安全節點納入到云安全中心系統中。在這個體系中,各個節點將會有效地利用云安全供應商提供的強有力服務和安全能力,實現原先單一節點不可能實現的安全防護機制。
目前,應用威脅的數量眾多,快速多變。傳統安全設備的處理機制已經無能為力。因此,新一代防火墻需要引入云安全,利用云計算加強和加速防御,這是解決當前安全需要快速反應的重要手段。
思科的防火墻已經率先進入“云”時代,思科將其稱為云火墻。思科安全產品事業部技術專家郭慶向記者介紹,云火墻具備4大特征,包括:防僵尸網絡/木馬,防止網絡內部主機感染;云檢測—全球IPS聯動;云接入—SSLVPN;云監控—唯一支持Netflow的防火墻,實現了NOC和SOC二合一。云火墻的“大腦”是SensorBase。SensorBase提供全球安全威脅實時視圖和電子郵件的“信用報告服務”,還能敏感監控僵尸網絡的動態。SensorBase所更新的信息同步到所有云火墻。各種安全信息不但可以從SensorBase傳到云火墻,還可以從云火墻傳到SensorBase,云火墻中的IPS可以在第一時間把攻擊同步給SensorBase,SensorBase再同步給其他云火墻。
邁克菲的防火墻解決方案中同樣使用了云安全—全球信譽技術,包括基于信譽的攔截和地理位置功能,可以在不需要的流量到達網絡之前將其過濾,也就是在攻擊發生之前將其阻止。
下一代防火墻的幾個特征
防火墻一方面可以阻止來自互聯網的對受保護網絡的未授權訪問,另一方面允許內部網絡用戶對互聯網進行訪問。
回顧發展歷程,防火墻經歷了包過濾防火墻和狀態檢測防火墻兩個發展階段。狀態檢測防火墻實現了對數據包連接狀態的監控,對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態。狀態檢測防火墻通過檢查報文的協議類型和端口號等信息,來監控基于連接的應用層協議。然而,它只能粗粒度地識別來自應用層的攻擊行為,也無法針對數據內容做檢查。
用戶對防火墻提出了更高的要求。下一代防火墻不但要能夠檢測并攔截復雜攻擊,還要在應用層(包括端口和協議)執行細化安全策略,具備出色的可視化性能和控制能力,可以及時查看網絡中應用程序和用戶的相關信息以及整個企業網絡的流量內容,并進行相應的控制。
要做到應用的可視化,下一代防火墻就必須采用能夠提供更高性能的架構。現在多核架構已經成為主流,在多核的基礎上,各家廠商還設計了“NP+多核+分布式”、“多核+ASIC”等架構。
當云計算成為無法阻擋的趨勢時,防火墻也將借助云的力量變得更強大、更智能,部分國外廠商已經推出了采用此類技術的防火墻。
虛擬化技術是對防火墻的更大挑戰,在如何保護虛擬環境的安全性方面,少數防火墻廠商已經提出了解決方案,我們希望能有更多的解決方案出現。
