防火墻技術(shù)

防火墻是針對網(wǎng)絡(luò)安全防護(hù)而出現(xiàn)，其采用訪問控制技術(shù)，它是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的屏障，目前防火墻已成為目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)，其處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，是網(wǎng)絡(luò)安全的第一道防線。隨著網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)應(yīng)用的整體發(fā)展以及網(wǎng)絡(luò)安全防御理念的需要，現(xiàn)代防火墻技術(shù)已經(jīng)逐步由網(wǎng)絡(luò)層擴(kuò)展至其他安全層。不僅要完成傳統(tǒng)防火墻的基本過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。

防火墻發(fā)展歷程

雖然防火墻早在二十世紀(jì)九十年代就已出現(xiàn)并廣泛應(yīng)用，但隨著越來越強的網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)，與早期防火墻相比，如今的防火墻在技術(shù)上早已有了較大發(fā)展。在經(jīng)歷了多次技術(shù)變革后，防火墻的概念正在變得模糊，在不同語境中有著不同的含義。

1.傳統(tǒng)防火墻：以服務(wù)訪問控制為核心

防火墻（Firewall），也稱防護(hù)墻，一般是指一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。設(shè)置防火墻目的是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一通道，簡化網(wǎng)絡(luò)安全管理，防止不合法的訪問。它建立起一套隔離體系，允許“同意”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時將“不同意”的人和數(shù)據(jù)拒之門外，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)“隔離”開來。

在描述具體產(chǎn)品時，防火墻大部分指代的是采用狀態(tài)檢測機制、集成VPN、支持橋/路由/NAT等工作模式的作用在二至四層的訪問控制設(shè)備；宏觀意義上的防火墻，實際上指的是以性能、穩(wěn)定性為主導(dǎo)的、在網(wǎng)絡(luò)邊緣執(zhí)行多層次的訪問控制策略、使用狀態(tài)檢測或深度包檢測機制、包含一種或多種安全功能的網(wǎng)關(guān)設(shè)備（Gateway）。傳統(tǒng)防火墻在阻擋黑客攻擊，非法入侵時發(fā)揮著重要作用。

但隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，簡單的安全規(guī)則和簡單的協(xié)議過濾已無法滿足威脅防御的需求，傳統(tǒng)防火墻已基本無法探測到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅，由于更多的通訊量都只是通過少數(shù)幾個端口及采用有限的幾個協(xié)議進(jìn)行，這也就意味著基于端口/協(xié)議類安全策略的關(guān)聯(lián)性與效率都越來越低。

2.下一代防火墻：以應(yīng)用層管理為核心

針對傳統(tǒng)防火墻所暴露出來的一系列弊端，NGFW（Next generation firewall）即下一代防火墻應(yīng)運而生。

業(yè)內(nèi)普遍認(rèn)同的NGFW定義來自Gartner2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文檔，在該文檔中Gartner將 NGFW定義為：“下一代防火墻是一種深度包檢測防火墻，超越了基于端口、協(xié)議的檢測和阻斷，增加了應(yīng)用層的檢測和入侵防護(hù)，下一代防火墻不應(yīng)該與獨立的網(wǎng)絡(luò)入侵檢測系統(tǒng)混為一談，后者只包含了日常的或是非企業(yè)級的防火墻，或者把防火墻和IPS簡單放到一個設(shè)備里，整合的并不緊密?！?/p>

NGFW不僅具備傳統(tǒng)防火墻的功能，諸如數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、協(xié)議狀態(tài)檢查以及VPN功能等，還具備應(yīng)對綜合威脅的發(fā)現(xiàn)能力、阻斷能力，而且并不是簡單的功能堆砌和性能疊加，而是從全局視角，幫助用戶解決網(wǎng)絡(luò)面臨的實際問題。

NGFW的出發(fā)點是圍繞應(yīng)用，最大化地做應(yīng)用識別、風(fēng)險管理和分類，保留企業(yè)業(yè)務(wù)需要的應(yīng)用，屏蔽業(yè)務(wù)不需要的應(yīng)用，試圖通過建立應(yīng)用白名單的方式，做最小化的授權(quán)，使得網(wǎng)絡(luò)中只允許使用白名單應(yīng)用，從而保證安全。這種方式提高了攻擊的門檻，使得攻擊的難度和代價加大，這種防御思想是個非常好的想法。但現(xiàn)實中，很少有企業(yè)能按照這種方式進(jìn)行管理，而且企業(yè)規(guī)模越大就越難，只能做到一定程度上的收緊。這樣風(fēng)險也就隨之而來。

圖1 防火墻的發(fā)展

具體來說NGFW具有以下局限：一是以本地規(guī)則庫為核心，無法全面檢測已知威脅；二是缺乏數(shù)據(jù)智能，無法感知未知威脅；三是沒有協(xié)同防御機制，依然在用單機的、私有的思路來解決網(wǎng)絡(luò)的、公有的威脅。

3.智慧防火墻：以發(fā)現(xiàn)和響應(yīng)高級威脅為核心

盡管NGFW在應(yīng)用感知、精細(xì)管控、內(nèi)容安全、全棧可視方面取得了不小的進(jìn)步，但隨著大數(shù)據(jù)時代的到來，以APT為代表的各類高級威脅讓邊界防御難以發(fā)揮作用，表現(xiàn)出越來越多的不足，例如高級威脅難發(fā)現(xiàn)、內(nèi)部違規(guī)看不見、安全調(diào)查缺信息、威脅處置配置繁。

要想規(guī)避上述不足，簡單的功能添加和性能提升是無法真正解決問題的，NGFW需要徹底的變革和重新定義。面對海量的數(shù)據(jù)及隱藏其中的各種高級威脅，防火墻不能再孤軍作戰(zhàn)，而是需要建立起協(xié)同防御的安全體系，并依托于持續(xù)更新的威脅情報和不斷加強的技術(shù)能力，持續(xù)提升自身提升發(fā)現(xiàn)和響應(yīng)高級威脅的能力，從而在邊界更好的對抗各種安全威脅。智慧防火墻便應(yīng)運而生，如圖1所示。

智慧防火墻

防火墻在安全防御體系中的地位不言而喻，那防火墻對網(wǎng)絡(luò)攻擊究竟起到多大作用？能解決掉多少的攻擊問題？真實數(shù)據(jù)卻讓人們大跌眼鏡，根據(jù)Gartner的報告，防火墻能有效處理的攻擊不超過25%。

智慧防火墻是為解決原有的下一代防火墻的不足而建立的。智慧防火墻仍舊具有傳統(tǒng)防火墻的一般特征，但已不再僅僅是針對于其自身應(yīng)對威脅能力的提升，而是體現(xiàn)了協(xié)同聯(lián)動的理念，即以大數(shù)據(jù)處理平臺為基礎(chǔ)，然后再結(jié)合外部的威脅情報對這些數(shù)據(jù)進(jìn)行分析處理，并將得到的策略下發(fā)到防火墻當(dāng)中去，從而提升分析和響應(yīng)能力，這就是智慧防火墻的核心理念。同樣，這也是對數(shù)據(jù)協(xié)同理念的體現(xiàn)。