下一代防火墻要做的十件事

發(fā)布時間：2024-03-16

下一代防火墻（ngfw）與現(xiàn)在的防火墻有三個方面的差異 -- 安保、運行和性能。安保元素對應(yīng)著安?？刂频墓π?，并有能力管理企業(yè)網(wǎng)絡(luò)流量方面的風險。從運行的角度來說，最大的問題是：用戶的應(yīng)用策略是否有效？以及管理的難度或復(fù)雜性。性能差異比較簡單：防火墻怎么做能夠保持吞吐量？
下一代防火墻要做的十件事是：
1. 下一代防火墻必須在任何端口上識別和控制應(yīng)用，而不僅僅是標準端口（包括使用http或其他協(xié)議的應(yīng)用）。
業(yè)務(wù)案例：應(yīng)用程序開發(fā)人員不再堅持把標準的端口與協(xié)議或應(yīng)用程序相對應(yīng)。越來越多的應(yīng)用程序都能在非標準端口上運行，或者可以跳端口（如：即時消息應(yīng)用程序，對等文件共享，或網(wǎng)?電話（voip））。此外，用戶越來越精明，足以強迫應(yīng)用程序運行在非標準端口（如：遠程桌面協(xié)議（rdp），安全外殼（ssh））。為了執(zhí)行特定應(yīng)用與端口無關(guān)的策略，下一代防火墻必須假設(shè)任何應(yīng)用可以運行在任何端口上。這是在ngfw技術(shù)上絕對必要的根本變化之一。正是這種變化，使得傳統(tǒng)基于端口控制應(yīng)用的防火墻已經(jīng)過時。它還強調(diào)為什么負控制模型不能解決問題。如果一個應(yīng)用程序可以移動到任何端口，基于負控制的產(chǎn)品將在數(shù)萬個端口上運行所有簽名。
要求：這個很簡單 --如果任何應(yīng)用都能運行在任何端口上-用戶的下一代防火墻必須在所有端口按應(yīng)用對信息流進行分類-在所有時間（見第4和7項）。否則安?？刂茖⒗^續(xù)被困擾多年的相同技術(shù)所愚弄。
2．下一代防火墻必須識別和控制繞道者：代理、遠程訪問和加密隧道應(yīng)用。
業(yè)務(wù)案例：大多數(shù)組織機構(gòu)具有安保策略-并且按計劃執(zhí)行這些策略。代理、遠程訪問和加密隧道應(yīng)用是專門用來繞過安?？刂疲绶阑饓?、全球資源定位器（url）過濾、入侵防護系統(tǒng)（ips）和安保web網(wǎng)關(guān)。沒有能力控制這些繞道者，組織就不能強制執(zhí)行他們的安保策略，并且暴露自己，處于無法控制非常危險的境地。要明確，并不是所有類型的應(yīng)用是相同的 --遠程訪問應(yīng)用有合法的用途，一些加密隧道應(yīng)用也一樣。但是，通過安全套接字層（ssl）在隨機端口進行通信的外部匿名代理，或像ultrasurf和tor這樣的應(yīng)用只有一個真正的目的 --繞開安保控制。
要求：有不同類型的繞道應(yīng)用-- 每種使用略有不同的技術(shù)。有公共和私有兩種外部代理，可以同時使用超文本傳輸協(xié)議（http）和安全超文本傳輸協(xié)議（https）。私有代理往往設(shè)立非保密ip地址（例如，家用電腦），使用的應(yīng)用像phproxy或者cgiproxy。遠程訪問應(yīng)用，如ms rdp或gotomypc可以有合法的應(yīng)用-- 但由于相關(guān)的風險，應(yīng)進行管理。其他大多數(shù)繞道者，（例如，ultrasurf，tor, hamachi）沒有商業(yè)用途。當然，也有未知的繞道 --見后面的第6項。無論策略的立場是什么，用戶的下一代防火墻需要有具體的技術(shù)來處理所有這些應(yīng)用程序，不管端口、協(xié)議、加密或其他回避策略。更多的考慮：這些應(yīng)用程序會定期更新，使他們更難檢測和控制。所以重要的是：不僅要了解自己的下一代防火墻能夠識別這些繞道應(yīng)用，還要經(jīng)常更新和維護防火墻的應(yīng)用智能。
3．下一代防火墻必須支持ssl解密出境。
業(yè)務(wù)案例：今天，超過15％的網(wǎng)絡(luò)流量是經(jīng)過ssl加密的（根據(jù)超過2400名的企業(yè)網(wǎng)絡(luò)流量采樣 -詳見巴羅艾托網(wǎng)路（palo alto networks）公司的應(yīng)用程序的使用和風險報告）。在一些行業(yè)（如金融服務(wù)），這個比例超過50％。鑒于最終用戶使用的許多高風險、高回報應(yīng)用程序（例如，gmail中，臉譜）越來越多地采用https，以及用戶強迫在很多網(wǎng)站上使用ssl的情形，網(wǎng)絡(luò)安全團隊必須對ssl加密流量解密、分類、控制和掃描，不然會成為一個盲點。當然，ngfw必須足夠靈活，可以讓某些類型的ssl加密流量（例如，來自金融服務(wù)或醫(yī)療保健機構(gòu)的網(wǎng)絡(luò)流量）單獨留下，而其他類型（例如，非標準端口的ssl，來自東歐非分類網(wǎng)站的https）可以通過策略解密。
要求：ssl解密出境的能力是一個基本的功能-- 不只是因為他占企業(yè)流量百分比日益增加，還因為他激活了其他關(guān)鍵功能，否則會使ssl解密能力不完整或無效（例如，控制繞道-見第2項，應(yīng)用功能控制-見第4項，允許應(yīng)用程序掃描-見第5項，應(yīng)用程序共享相同連接的控制-見第7項）。尋找的關(guān)鍵元素包括：在任何端口上ssl的識別和解密，對解密的策略控制，以及對上萬個同時ssl連接執(zhí)行ssl解密所必要的硬件和軟件元素，具有良好的性能和高吞吐量。
4．下一代防火墻要提供應(yīng)用功能控制（例如，sharepoint管理與sharepoint文檔）
商業(yè)案例：許多應(yīng)用程序提供了很多不同的功能，這對組織和用戶既提供了價值也呈現(xiàn)了風險。很好的例子包括：webex與webex桌面共享，雅虎的即時通訊與文件傳輸功能，通常的gmail與發(fā)送附件。在監(jiān)管環(huán)境或者組織非常依賴知識產(chǎn)權(quán)的情況下，這是個重要的問題。
要求：對每個應(yīng)用連續(xù)分類和細分。下一代防火墻應(yīng)具有對信息流的持續(xù)評估和發(fā)現(xiàn)變化--如果在會話中出現(xiàn)了不同的功能或特性，防火墻應(yīng)引起注意并執(zhí)行策略檢查。了解每個應(yīng)用的不同功能和相關(guān)風險同等重要。不幸的是，許多防火墻只對信息流分類一次，然后允許快速通過（解讀：不再看信息流的內(nèi)容）以獲得更好的性能。這種方法對現(xiàn)在的應(yīng)用已經(jīng)過期，要防止那些防火墻不按這個要求辦事。
5．下一代防火墻要在允許的協(xié)同應(yīng)用中支持威脅掃描-- 例如，sharepoint、box.net、ms office在線。
商業(yè)案例：企業(yè)繼續(xù)采取外部物理位置托管協(xié)同應(yīng)用程序。無論托管的是sharepoint、box.net、谷歌文檔、微軟的office live，或由合作伙伴托管的一個外網(wǎng)應(yīng)用程序，許多組織要求使用一種共享文件的應(yīng)用程序-- 換句話說，這是個高風險的威脅載體。許多受感染的文件都存儲在協(xié)同應(yīng)用中，包括一些包含敏感信息文件（例如，客戶的個人信息）。此外，這些應(yīng)用（例如，sharepoint）僅支持常規(guī)掃描漏洞的技術(shù)（例如，iis、sql 服務(wù)器）。阻止這些應(yīng)用不一定合適，但永遠不允許威脅進入組織內(nèi)部。
要求：應(yīng)用允許啟動安全部分對其進行掃描檢查威脅。這些應(yīng)用可用協(xié)議組合進行通信（如，sharepoint - https和cifs，見第3項要求），比阻止應(yīng)用需要更復(fù)雜的策略。第一步是識別應(yīng)用（無論端口或加密），承認它，然后對其掃描查找的任何威脅-漏洞、病毒/惡意軟件或間諜軟件......甚至包括保密的、管制的或敏感的信息。
6．下一代防火墻要用策略處理未知信息流，而不是讓他通過。
業(yè)務(wù)案例：總是會有未知的信息流，這始終表示了對組織的潛在風險。對未知信息流需要考慮幾個重要因素-把他最小化，把他特征化，使他可被網(wǎng)絡(luò)安全策略知道，達到可預(yù)見性以及對未知信息流的策略控制。
要求：首先，在默認情況下，下一代防火墻應(yīng)嘗試所有的信息流分類-- 這是早期架構(gòu)中的領(lǐng)域，這在安保討論中非常重要。正（默認拒絕）模型對一切信息流分類，負（默認允許）模型僅對要求分類的信息流分類。其次，對用戶開發(fā)的應(yīng)用程序，應(yīng)該有種方法制定用戶標識符-因此這種信息流可算作已知。第三，安全模型能夠再次滿足這些要求--正（默認拒絕）模型可以拒絕所有未知信息流 -- 所以用戶不知道的不會傷害用戶。負（默認允許）模型允許所有的未知信息流-- 所以用戶不知道的可能會傷害用戶。例如，許多僵尸網(wǎng)絡(luò)使用端口53（dns）把通信返回到他們的控制服務(wù)器。如果用戶的下一代防火墻缺乏發(fā)現(xiàn)和控制未知信息流的能力，僵尸將會長驅(qū)直入，暢通無阻。
7．下一代防火墻要能識別和控制共享同一連接的應(yīng)用。
業(yè)務(wù)案例：應(yīng)用共享會話。為了確保用戶連續(xù)使用一個應(yīng)用平臺，無論是谷歌、臉譜、微軟、銷售隊伍（salesforce）、鏈入（linkedin）還是雅虎，應(yīng)用程序開發(fā)商集成了許多不同應(yīng)用--這即有商業(yè)價值但也有風險狀況。讓我們來看看前面舉過的例子：gmail -有能力從gmail的用戶界面生成一個谷歌聊天的會話。他們是根本不同的應(yīng)用，用戶的下一代防火墻應(yīng)該能認識到這個問題，為每個會話啟用適當?shù)牟呗皂憫?yīng)。
要求：停止平臺或網(wǎng)站簡單的分類工作。換句話說，快速通道不是一個選項-- 一次完成分類忽略了這樣一個事實：應(yīng)用會共享會話。必須對信息流不斷評估，識別應(yīng)用，發(fā)現(xiàn)變化（見第5項），當用戶使用同一個會話切換到一個完全不同的應(yīng)用時，強制執(zhí)行適當?shù)牟呗钥刂?。簡要查看技術(shù)要求--使用前面gmail到谷歌聊天的例子：gmail默認使用https（見第3項），所以第一步是解密-- 但必須是連續(xù)的，就像做應(yīng)用分類，因為在任何時候，用戶可能開始聊天......這需要使用一個與gmail完全不同的策略。
8．下一代防火墻要對遠程用戶啟用同一應(yīng)用的可視和控制，就像本地用戶一樣。
業(yè)務(wù)案例：越來越多的用戶在企業(yè)的圍墻之外工作。現(xiàn)在企業(yè)網(wǎng)絡(luò)的一個重要功能是具有遠程工作的能力。無論在咖啡廳、家里或客戶現(xiàn)場都可以工作，用戶希望通過wifi、無線寬帶、或其他任何的手段連接他們的應(yīng)用。無論用戶在哪里，或他們使用的應(yīng)用在哪里，應(yīng)該使用相同的控制標準。如果用戶的下一代防火墻僅能在企業(yè)內(nèi)啟用應(yīng)用監(jiān)視和控制信息流，而不是企業(yè)外，那就忽略了一些最危險的信息流。
要求：從概念上講，這非常簡單-用戶的下一代防火墻必須對信息流有一致性的監(jiān)視和控制，無論用戶在哪里-- 內(nèi)部或外部。這并不是說，企業(yè)具有相同的策略-- 某些公司可能希望員工在路上時使用skype，而不是在總部。如果在辦公室外，用戶可能不會下載salesfor