下一代防火墻,即Next Generation Firewall,簡(jiǎn)稱NG Firewall,是一款可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻。通過(guò)深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容,并借助全新的高性能單路徑異構(gòu)并行處理引擎,NGFW能夠?yàn)橛脩籼峁┯行У膽?yīng)用層一體化安全防護(hù),幫助用戶安全地開展業(yè)務(wù)并簡(jiǎn)化用戶的網(wǎng)絡(luò)安全架構(gòu)。
屬性:
下一代防火墻需具有下列最低屬性:
·支持在線BITW(線纜中的塊)配置,同時(shí)不會(huì)干擾網(wǎng)絡(luò)運(yùn)行。
·可作為網(wǎng)絡(luò)流量檢測(cè)與網(wǎng)絡(luò)安全策略執(zhí)行的平臺(tái),并具有下列最低特性:
1)標(biāo)準(zhǔn)的第一代防火墻功能:具有數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及VPN功能等。
2)集成式而非托管式網(wǎng)絡(luò)入侵防御:支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠(yuǎn)高于部件的疊加,如:提供推薦防火墻規(guī)則,以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明,在下一代防火墻中,互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺(tái)制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起,如:根據(jù)針對(duì)注入惡意軟件網(wǎng)站的IPS檢測(cè)向防火墻提供推薦阻止的地址。
3)業(yè)務(wù)識(shí)別與全棧可視性:采用非端口與協(xié)議vs僅端口、協(xié)議與服務(wù)的方式,識(shí)別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。
4)超級(jí)智能的防火墻: 可收集防火墻外的各類信息,用于改進(jìn)阻止決策,或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來(lái)強(qiáng)化根據(jù)用戶身份實(shí)施的阻止或根據(jù)地址編制黑名單與白名單。
·支持新信息流與新技術(shù)的集成路徑升級(jí),以應(yīng)對(duì)未來(lái)出現(xiàn)的各種威脅。
處理流程:
一體化引擎數(shù)據(jù)包處理流程大致分為以下幾個(gè)階段:
數(shù)據(jù)包入站處理階段
入站主要完成數(shù)據(jù)包的接收及L2-L4層的數(shù)據(jù)包解析過(guò)程,并且根據(jù)解析結(jié)果決定是否需要進(jìn)入防火墻安全策略處理流程,否則該數(shù)據(jù)包就會(huì)被丟棄。在這個(gè)過(guò)程中還會(huì)判斷是否經(jīng)過(guò)VPN數(shù)據(jù)加密,如果是,則會(huì)先進(jìn)行解密后再做進(jìn)一步解析。
主引擎處理階段
主引擎處理大致會(huì)經(jīng)歷三個(gè)過(guò)程:防火墻策略匹配及創(chuàng)建會(huì)話、應(yīng)用識(shí)別、內(nèi)容檢測(cè)。
創(chuàng)建會(huì)話信息
當(dāng)數(shù)據(jù)包進(jìn)入主引擎后,首先會(huì)進(jìn)行會(huì)話查找,看是否存在該數(shù)據(jù)包相關(guān)的會(huì)話。如果存在,則會(huì)依據(jù)已經(jīng)設(shè)定的防火墻策略進(jìn)行匹配和對(duì)應(yīng)。否則就需要?jiǎng)?chuàng)建會(huì)話。具體步驟簡(jiǎn)述為:進(jìn)行轉(zhuǎn)發(fā)相關(guān)的信息查找;而后進(jìn)行NAT相關(guān)的策略信息查找;最后進(jìn)行防火墻的策略查找,檢查策略是否允許。如果允許則按照之前的策略信息建立對(duì)應(yīng)的會(huì)話,如果不允許則丟棄該數(shù)據(jù)包。
應(yīng)用識(shí)別
數(shù)據(jù)包進(jìn)行完初始的防火墻安全策略匹配并創(chuàng)建對(duì)應(yīng)會(huì)話信息后,會(huì)進(jìn)行應(yīng)用識(shí)別檢測(cè)和處理,如果該應(yīng)用為已經(jīng)可識(shí)別的應(yīng)用,則對(duì)此應(yīng)用進(jìn)行識(shí)別和標(biāo)記并直接進(jìn)入下一個(gè)處理流程。如果該應(yīng)用為未識(shí)別應(yīng)用,則需要進(jìn)行應(yīng)用識(shí)別子流程,對(duì)應(yīng)用進(jìn)行特征匹配,協(xié)議解碼,行為分析等處理從而標(biāo)記該應(yīng)用。應(yīng)用標(biāo)記完成后,會(huì)查找對(duì)應(yīng)的應(yīng)用安全策略,如果策略允許則準(zhǔn)備下一階段流程;如果策略不允許,則直接丟棄。
內(nèi)容檢測(cè)
主引擎工作的最后一個(gè)流程為內(nèi)容檢測(cè)流程,主要是需要對(duì)數(shù)據(jù)包進(jìn)行深層次的協(xié)議解碼、內(nèi)容解析、模式匹配等操作,實(shí)現(xiàn)對(duì)數(shù)據(jù)包內(nèi)容的完全解析;然后通過(guò)查找相對(duì)應(yīng)的內(nèi)容安全策略進(jìn)行匹配,最后依據(jù)安全策略執(zhí)行諸如:丟棄、報(bào)警、記錄日志等動(dòng)作。
數(shù)據(jù)包出站處理階段
當(dāng)數(shù)據(jù)包經(jīng)過(guò)內(nèi)容檢測(cè)模塊后,會(huì)進(jìn)入出站處理流程。首先系統(tǒng)會(huì)路由等信息查找,然后執(zhí)行QOS,IP數(shù)據(jù)包分片的操作,如果該數(shù)據(jù)走VPN通道的話,還需要通過(guò)VPN加密,最后進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。
與統(tǒng)一策略的關(guān)系
統(tǒng)一策略實(shí)際上是通過(guò)同一套安全策略將處于不同層級(jí)的安全模塊有效地整合在一起,在策略匹配順序及層次上實(shí)現(xiàn)系統(tǒng)智能匹配,其主要的目的是為了提供更好的可用性。舉個(gè)例子:有些產(chǎn)品HTTP的檢測(cè),URL過(guò)濾是通過(guò)代理模塊做的,而其他協(xié)議的入侵檢測(cè)是用另外的引擎。 用戶必須明白這些模塊間的依賴關(guān)系,分別做出正確的購(gòu)置才能達(dá)到需要的功能,而統(tǒng)一策略可以有效的解決上述問(wèn)題。
屬性:
下一代防火墻需具有下列最低屬性:
·支持在線BITW(線纜中的塊)配置,同時(shí)不會(huì)干擾網(wǎng)絡(luò)運(yùn)行。
·可作為網(wǎng)絡(luò)流量檢測(cè)與網(wǎng)絡(luò)安全策略執(zhí)行的平臺(tái),并具有下列最低特性:
1)標(biāo)準(zhǔn)的第一代防火墻功能:具有數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及VPN功能等。
2)集成式而非托管式網(wǎng)絡(luò)入侵防御:支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠(yuǎn)高于部件的疊加,如:提供推薦防火墻規(guī)則,以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明,在下一代防火墻中,互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺(tái)制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起,如:根據(jù)針對(duì)注入惡意軟件網(wǎng)站的IPS檢測(cè)向防火墻提供推薦阻止的地址。
3)業(yè)務(wù)識(shí)別與全棧可視性:采用非端口與協(xié)議vs僅端口、協(xié)議與服務(wù)的方式,識(shí)別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。
4)超級(jí)智能的防火墻: 可收集防火墻外的各類信息,用于改進(jìn)阻止決策,或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來(lái)強(qiáng)化根據(jù)用戶身份實(shí)施的阻止或根據(jù)地址編制黑名單與白名單。
·支持新信息流與新技術(shù)的集成路徑升級(jí),以應(yīng)對(duì)未來(lái)出現(xiàn)的各種威脅。
處理流程:
一體化引擎數(shù)據(jù)包處理流程大致分為以下幾個(gè)階段:
數(shù)據(jù)包入站處理階段
入站主要完成數(shù)據(jù)包的接收及L2-L4層的數(shù)據(jù)包解析過(guò)程,并且根據(jù)解析結(jié)果決定是否需要進(jìn)入防火墻安全策略處理流程,否則該數(shù)據(jù)包就會(huì)被丟棄。在這個(gè)過(guò)程中還會(huì)判斷是否經(jīng)過(guò)VPN數(shù)據(jù)加密,如果是,則會(huì)先進(jìn)行解密后再做進(jìn)一步解析。
主引擎處理階段
主引擎處理大致會(huì)經(jīng)歷三個(gè)過(guò)程:防火墻策略匹配及創(chuàng)建會(huì)話、應(yīng)用識(shí)別、內(nèi)容檢測(cè)。
創(chuàng)建會(huì)話信息
當(dāng)數(shù)據(jù)包進(jìn)入主引擎后,首先會(huì)進(jìn)行會(huì)話查找,看是否存在該數(shù)據(jù)包相關(guān)的會(huì)話。如果存在,則會(huì)依據(jù)已經(jīng)設(shè)定的防火墻策略進(jìn)行匹配和對(duì)應(yīng)。否則就需要?jiǎng)?chuàng)建會(huì)話。具體步驟簡(jiǎn)述為:進(jìn)行轉(zhuǎn)發(fā)相關(guān)的信息查找;而后進(jìn)行NAT相關(guān)的策略信息查找;最后進(jìn)行防火墻的策略查找,檢查策略是否允許。如果允許則按照之前的策略信息建立對(duì)應(yīng)的會(huì)話,如果不允許則丟棄該數(shù)據(jù)包。
應(yīng)用識(shí)別
數(shù)據(jù)包進(jìn)行完初始的防火墻安全策略匹配并創(chuàng)建對(duì)應(yīng)會(huì)話信息后,會(huì)進(jìn)行應(yīng)用識(shí)別檢測(cè)和處理,如果該應(yīng)用為已經(jīng)可識(shí)別的應(yīng)用,則對(duì)此應(yīng)用進(jìn)行識(shí)別和標(biāo)記并直接進(jìn)入下一個(gè)處理流程。如果該應(yīng)用為未識(shí)別應(yīng)用,則需要進(jìn)行應(yīng)用識(shí)別子流程,對(duì)應(yīng)用進(jìn)行特征匹配,協(xié)議解碼,行為分析等處理從而標(biāo)記該應(yīng)用。應(yīng)用標(biāo)記完成后,會(huì)查找對(duì)應(yīng)的應(yīng)用安全策略,如果策略允許則準(zhǔn)備下一階段流程;如果策略不允許,則直接丟棄。
內(nèi)容檢測(cè)
主引擎工作的最后一個(gè)流程為內(nèi)容檢測(cè)流程,主要是需要對(duì)數(shù)據(jù)包進(jìn)行深層次的協(xié)議解碼、內(nèi)容解析、模式匹配等操作,實(shí)現(xiàn)對(duì)數(shù)據(jù)包內(nèi)容的完全解析;然后通過(guò)查找相對(duì)應(yīng)的內(nèi)容安全策略進(jìn)行匹配,最后依據(jù)安全策略執(zhí)行諸如:丟棄、報(bào)警、記錄日志等動(dòng)作。
數(shù)據(jù)包出站處理階段
當(dāng)數(shù)據(jù)包經(jīng)過(guò)內(nèi)容檢測(cè)模塊后,會(huì)進(jìn)入出站處理流程。首先系統(tǒng)會(huì)路由等信息查找,然后執(zhí)行QOS,IP數(shù)據(jù)包分片的操作,如果該數(shù)據(jù)走VPN通道的話,還需要通過(guò)VPN加密,最后進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。
與統(tǒng)一策略的關(guān)系
統(tǒng)一策略實(shí)際上是通過(guò)同一套安全策略將處于不同層級(jí)的安全模塊有效地整合在一起,在策略匹配順序及層次上實(shí)現(xiàn)系統(tǒng)智能匹配,其主要的目的是為了提供更好的可用性。舉個(gè)例子:有些產(chǎn)品HTTP的檢測(cè),URL過(guò)濾是通過(guò)代理模塊做的,而其他協(xié)議的入侵檢測(cè)是用另外的引擎。 用戶必須明白這些模塊間的依賴關(guān)系,分別做出正確的購(gòu)置才能達(dá)到需要的功能,而統(tǒng)一策略可以有效的解決上述問(wèn)題。
