服務項目‎ > ‎資訊安全控管‎ > ‎

新世代網路防火牆

      由於傳統防火牆屬於狀態式防火牆,只能進行網路埠及網路協定的處理。不但無法辨識應用層流量,同時面對來自Port 80及Port 443的Web流量常陷於束手無策的風險困境中,更別提更精細應用安全政策的落實。為了因應這些問題,全新次世代防火牆(NGFW;Next-Generation Firewall)因而誕生。

      簡單而言,NGFW的橫空出世,就是為了要解決傳統防火牆缺乏應用感知(Application Awareness)能力,並且無法處理應用層威脅等致命先天弱點,而進化發展出的最新防火牆產品。對此,Gartner並將NGFW之前的傳統防火牆稱之為第一代防火牆,兩者之間的分水嶺即為應用感知能力的有無。

      過去只擁傳統防火牆的企業,在面對應用層的威脅時,多半需要另外搭配導入入侵防禦系統(IPS),如此一來勢必會增加不必要的採購及維護成本。內建IPS功能及應用感知能力的NGFW,即為兼具成本及應用安全需求的最佳選擇之一。

      不僅如此,由於NGFW具備傳統防火牆的所有功能,舉凡全狀態檢測(Full Statefull Inspect)、封包過濾及網址轉譯(NAT)等功能皆然。既然如此,傳統防火牆存在的意義因而大減,被NGFW完全取代也是遲早的事情。Gartner便預測指出,到了2014年底,市場上已安裝的防火牆中,其中35%的占比會來自NGFW。同時企業全新導入的防火牆中,有6成都是NGFW。

Gartner7大定義

當前防火牆市場似乎非常熱閙,除了早先IDC定義的整合式威脅管理(UTM;Unified Threat Management )閘道器外,如今又有Gartner提出的NGFW。既然是Gartner最先提出的名詞,當然得看看其對NGFW的定義。基本上,為了讓企業用戶更清楚了解什麼是NGFW,Gartner破天荒提出了兩大類的定義,一為「白名單」定義,一為「黑名單」定義。前者告訴企業什麼叫做NGFW;後者則羅列出什麼不是NGFW。看樣子要為NGFW說清楚、講明白,可能不是件簡單容易的事情,否則何需大費周章地黑白定義全出籠。

Gartner針對NGFW提出了7大「白名單」定義:
1.支援不會造成網路既有操作干擾的在線嵌入式組態。
2.扮演網路封包檢測及網路安全政策執行平台的角色。
3.涵蓋第一代防火牆的功能:例如使用封包過濾、網址轉譯(NAT)、狀態式協定檢測(SPI;Statefull Protocol Inspection)及VPN等功能。
4.支援完全整合式IPS功能的內建:凡NGFW所內建的IPS,是與既有引擎完全整合的功能,而非個別功能湊合在同一個設備中的做法,例如NGFW可以做到一旦整合式IPS檢測到惡意網站,所內建的防火牆機制會隨即加以封鎖的程度。
5.具備應用感知及全堆疊可見度(full stack visibility):能在應用層進行各類應用之辨識及安全政策之執行。例如針對Skype,可以做到只關閉檔案分享的功能,至於其他功能皆可正常使用。
6.額外防火牆智能:例如透過目錄服務的整合進行存取控制。
7.全新資訊提供與全新威脅防護技術之整合式更新管道的支援 

除此之外,Gartner針對NGFW定義,提出4項絕對不屬於NGFW的「黑名單」:
1.中小企業多功能防火牆或UTM裝置:雖然這些產品內建第一代防火牆及IPS功能,但卻不具備應用感知的能力,同時所謂多功能間的整合性不佳,皆屬各別單一的引擎。Gartner認為這類產品比較適合有成本考量的企業及小型企業使用,對於較大型的企業並不適合。
2.網路型DLP設備:對於資料安全政策之執行無法達到即時的要求,亦即不支援可以達到線速的網路安全政策。
3.安全Web閘道器(SWG;Secure Web Gateways):其可實施使用者導向之Web安全政策,但並非網路安全政策。
4.訊息安全閘道器:主要鎖定連外內容政策及連內反垃圾郵件及反惡意程式之落實。但卻不具備線速網路安全政策實施的能力。
SANS定義NGFW必備10大功能

除了Gartner之外,安全機構SANS也對NGFW提出自己的定義。在定義NGFW之前,SANS嘗試先釐清防火牆的作用,它認為不論是個人防火牆還是網路防火牆,其主要工作皆在「控管資料流」,亦即對特定資料流的通過與否進行允許,還是阻斷封鎖。

SANS並認為當前防火牆在型態歷經了四大演進,亦即從最初的封包過濾,進展到狀態封包檢測,然後再演進到應用代理,如今更進一步發展出深層封包檢測(DPI;Deep Packet Inspection)機制。該發展不但讓防火牆從L4傳輸層的ACL及狀態表控管,進展到L7應用層中,基於封包表頭及封包負載(payload)的精細存取控制。

SANS認為,支援DPI可說是NGFW的第一基本要件。再者,必須同時整合IPS、惡意程式過及其他安全機制,以達到更進階、更細膩精準的資料流控制能力。

SANS另外並列舉了當前NGFW所應該具備的基本功能,其大致包括防火牆、VPN、IDS/IPS、Web過濾、反惡意程式、反垃圾郵件及流量調控(Traffic Shaping)等七大功能。

除此之外,SANS並提出未來NGFW所應該內建的安全機制,除了前述七大功能外,還應該添加資料外洩防護(DLP)、網路存取控制(NAC)及SSL Proxy功能。其中,DLP是為了防護內含智財權、信用卡號等敏感資訊的資料流。至於SSLP Proxy,則可藉由終止SSL連線、解密、流量分析及通透重建加密連線等方式來控管加密威脅。


Comments