【强叔侃墙第二季】01 网络风云再起,NGFW出世

[复制链接]
发表于 : 2015-6-29 09:34:45 最新回复:2019-01-04 10:25:40
18539 14
强叔侃墙
强叔侃墙 官方号

大家好,强叔又回来了。其实呢,强叔并没有离开论坛,只是《强叔侃墙》第一季太耗元气了,说好的第二季推迟到了现在。

去年,强叔在论坛上开贴连载防火墙的基本功能,得到了大家的热烈响应,很多同学希望能出版实体书。从帖子到出版还是有一点距离的,所以这一阵子强叔并没闲着,而是按照出版的标准,重新整理了所有的帖子,并着重增补了几个关键章节。《强叔侃墙》变身为《华为防火墙技术漫谈》,终于顺利付梓了。实体书的出版当然离不开各位的支持与厚爱,希望这本书的销售也能像帖子一样火吧。

今天起,《强叔侃墙》第二季正式拉开大幕了,这一季我们重点讲NGFW。那么,什么是NGFW呢?

什么是NGFW

NGFW的全称是Next-Generation Firewall,即下一代防火墙。早在2007年,著名咨询机构Gartner就提出了NGFW的概念。2009年,Gartner正式发布了《Defining the Next-Generation Firewall》。没错,NGFW是由一个咨询公司定义、得到众多安全厂商支持的概念和产品形态,是防火墙的新发展。

GartnerNGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量执行深度检测,并阻断攻击。Gartner认为,NGFW必须具备以下能力:

1. 传统防火墙的功能

NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状态检测、NATVPN等。

2. IPS与防火墙的深度集成

NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防火墙的“集成”而不仅仅是“联动”。例如,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner发现,NGFW产品和独立IPS产品的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。

3. 应用感知与全栈可视化

具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。

4. 利用防火墙以外的信息,增强管控能力

防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化带来的管控难题。

为什么需要NGFW

防火墙从诞生那一天起,就是紧跟着网络演进的步伐亦步亦趋的。NGFW的出现,正是来自时代的呼唤。

5590a0aa9d3db.jpg

传统防火墙时代,互联网的功能刚刚从互联互通发展到以静态网页浏览、EmailFTP下载为主的信息共享时代。网络办公与休闲之间的应用界限还比较清晰。网络流量主要是上述“存储-转发”类的应用,应用和端口、协议之间还有着相对清晰的映射关系。端口和协议是主要管控对象,防火墙基于端口来过滤网络流量就够了。

5590a0aaba92a.jpg

此后,以QQ为代表的IMP2PVoIP、游戏、网络视频等等新应用迭出,更有一枚不同寻常的苹果激发了移动互联网时代的到来。这一路发展下来,当真是突飞猛进。今天,互联网已经渗透到生活的方方面面,成为一种“生活必需品”了。

 

互联网的发展,不仅丰富了人们的沟通和生活(好像有点眼熟),也提升了工作效率。不过,网络毕竟是无边界的,工作与生活也没那么容易分开了。要是有员工在上班时间玩玩游戏,看看视频,或者跟同学好友聊天闲谈,就不仅是影响工作效率了。带宽滥用、敏感信息泄露、针对应用的攻击等等都成为威胁企业网络安全的重要问题。就像每个美丽的城市都有不堪入目的小巷一样,移动互联网和社交网络中的热门应用多隐藏着漏洞,恶意软件和互联网犯罪日益猖獗,给企业带来新的威胁。

简而言之,网络中可能包括协作类应用、即时消息、电话会议、流媒体、文件共享、在线存储、VoIPP2P、游戏、娱乐等等各种应用。企业必须正确区分合法应用、风险应用和带宽占用类应用,保证正常业务的带宽,限制甚至阻断社交媒体和游戏娱乐类应用,并消除潜在的威胁。这一切都落在了防火墙的肩上,这是时代对防火墙提出的新要求。

传统的状态检测防火墙显然不能承担这个重任。

一方面,传统防火墙的协议识别技术,仅检查报文的五元组,根据TCP/UDP报文的端口号来识别应用,此之谓端口识别是也。端口识别技术虽然检测效率很高,但随互联网的发展,适用的范围却越来越小了。因为许多传统和新兴应用采用了各种端口隐藏技术来逃避检测。

最常用的方法是使用非知名端口,如使用8000端口进行HTTP通信、使用80端口进行Skype通信、在2121端口上开启FTP服务等等。因此,仅通过端口识别技术已经不能真正判断流量中的应用类型了。更有些应用使用随机端口通信,甚至采用加密方式传输数据。要识别这些协议,端口识别技术却是束手无策了。

另一方面,一个协议可以用于多个应用软件,一个应用软件也可能使用多个协议。协议和应用之间的关系错综复杂纠缠不清――唉一声,贵圈真乱。

一种协议可以用于多个应用软件。这是一个普遍现象,尤其以标准协议最为常见:开发者总是以标准协议为基础,开发应用软件。最典型的就是HTTP协议。随着Web 2.0的发展,企业IT系统Web化趋势明显,使用HTTP协议的应用软件更是数不胜数,几乎遍布互联网应用的所有领域。再比如P2P协议,利用P2P协议的下载软件多不胜举――因此,协议识别的结果不能直接用于应用控制,否则极有可能误伤良民。

同样的,一种应用软件可能使用多种协议来进行通信。例如,迅雷软件使用了HTTP协议、BT协议、ED2K协议、FTP协议、迅雷私有协议等多种协议。这几种协议都可以用来下载文件,分别用于下载不同类型的资源。――因此,应用识别一定要包括所有关联协议的流量,否则就难免有漏网之鱼。

5590a0ab0b2ff.jpg

 

流量从简单到复杂,应用跟端口的关系日趋复杂化,企业管理员发现,网络中的流量看不清了,简直是一团混沌。企业迫切需要流量可视化,并针对应用实施管控策略。可以说,这是NGFW最核心的诉求,也是NGFW的根本。

5590a0ab29c16.jpg

 

 

 

 

返回至汇总贴

 

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
zytilove
zytilove   发表于 2015-7-28 14:41:33 已赞(0) 赞(0)

强叔兵强马壮后,语言风格都变了。感觉比第一期的更细腻,更生动了。

  • x
  • 常规:

点评 回复

kuningkok
kuningkok   发表于 2015-6-29 10:38:10 已赞(0) 赞(0)

支持强叔!
  • x
  • 常规:

点评 回复

xiebinsx
xiebinsx   发表于 2015-6-29 11:43:01 已赞(0) 赞(0)

请问目前这种融合了IPS功能的的NGFW,是否真的完全可以替代IPS的功能呢?

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2015-6-30 08:37:33 已赞(0) 赞(0)

回复 3 楼

从功能上是没有什么差别的。
  • x
  • 常规:

点评 回复

夏彤彤
夏彤彤   发表于 2015-7-22 15:41:38 已赞(0) 赞(0)

欢迎强叔强势回归!

  • x
  • 常规:

点评 回复

leo
leo  精英 发表于 2015-7-22 16:24:08 已赞(0) 赞(0)

支持几位强叔强姐。

  • x
  • 常规:

点评 回复

bjxiaofeng
bjxiaofeng   发表于 2015-7-3 00:03:43 已赞(0) 赞(0)

网络应用越来越多,越来越丰富,对防火墙的应用识别能力要求越来越高,比如在80端口的流量中,区分出迅雷下载流量和普通正常的网页流量,可以简单的说NGFW是UTM的升级版,目前市场上好一点的UTM都能做到应用识别和应用可视化,这个功能不算稀奇,大概4,5年前就做出来了,希望华为的NGFW产品,做的功能更细更贴近于国人的应用习惯。
  • x
  • 常规:

点评 回复

ccc
ccc  新锐 发表于 2015-7-22 23:16:18 已赞(0) 赞(0)

各位强叔,你能不能把刚出的那个强叔的书电子版共享一下

  • x
  • 常规:

点评 回复

GETAWAY
GETAWAY   发表于 2015-9-24 14:50:19 已赞(0) 赞(0)

我已被墙叔深深的折服,不考过HCIE Security,对不起墙叔,哈哈
  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录