下一代防火墻 決勝于應(yīng)用層

責(zé)任編輯:editor005

作者:侯漢書

2015-12-17 14:56:42

摘自:安全牛

與傳統(tǒng)的基于特征的檢測(cè)引擎不同,下一代防火墻與生俱來的基因是感知用戶和應(yīng)用的行為,歸根結(jié)底是要理解網(wǎng)絡(luò)報(bào)文的上下文背景。

導(dǎo)讀

互聯(lián)網(wǎng)+時(shí)代,海量應(yīng)用隱藏億萬風(fēng)險(xiǎn)。網(wǎng)絡(luò)失陷,也許只是源于一次網(wǎng)頁瀏覽,或打開一封郵件。傳統(tǒng)的包過濾型或狀態(tài)檢測(cè)型防火墻雖然可以有效防范各種網(wǎng)絡(luò)層的攻擊,但對(duì)于大多數(shù)利用Web應(yīng)用漏洞進(jìn)行的攻擊卻束手無策。面對(duì)新威脅、新挑戰(zhàn),下一代防火墻的核心安全能力體現(xiàn)在哪里?

幾乎沒有人懷疑防火墻在企業(yè)所有的安全設(shè)備采購(gòu)中所占據(jù)的重要位置,但傳統(tǒng)的防火墻并沒有解決網(wǎng)絡(luò)主要的安全問題。從實(shí)現(xiàn)技術(shù)來講,傳統(tǒng)的防火墻主要是包過濾防火墻,實(shí)現(xiàn)的是網(wǎng)絡(luò)層控制 — 截獲網(wǎng)絡(luò)中的數(shù)據(jù)包,根據(jù)協(xié)議進(jìn)行解析,最后利用包頭的關(guān)鍵字段和預(yù)設(shè)的過濾規(guī)則做對(duì)比,決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包。隨著應(yīng)用層各種應(yīng)用的豐富,越來越多的應(yīng)用層協(xié)議出現(xiàn),隨之而來的是黑客可以越來越多的直接在應(yīng)用層發(fā)起攻擊。

根據(jù)著名調(diào)查機(jī)構(gòu)Gartner的統(tǒng)計(jì),近年來75%的網(wǎng)絡(luò)攻擊都是發(fā)生在應(yīng)用層上。甚至之前典型的以網(wǎng)絡(luò)層流量“制勝”的DDoS攻擊,近年來也有向應(yīng)用層下移的趨勢(shì) — 截止2013年,四分之一以上的DDoS攻擊都是基于應(yīng)用程序的,而且這個(gè)比例還在逐年提高。與之形成鮮明對(duì)比,隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,關(guān)鍵業(yè)務(wù)活動(dòng)越來越多的依賴于互聯(lián)網(wǎng)應(yīng)用,這也就意味著暴露越來越多的風(fēng)險(xiǎn)隱患點(diǎn)。

新一代安全 角力新戰(zhàn)場(chǎng)

傳統(tǒng)防火墻主要針對(duì)通用協(xié)議進(jìn)行處理,無力對(duì)應(yīng)用協(xié)議包進(jìn)行分析,難以防范更具針對(duì)性的網(wǎng)絡(luò)攻擊。隨著技術(shù)的發(fā)展進(jìn)步和互聯(lián)網(wǎng)+時(shí)代的業(yè)務(wù)需求,現(xiàn)在的防火墻用戶亟需對(duì)數(shù)據(jù)包進(jìn)行更深層次的檢查和過濾。例如,用戶可以通過QQ傳輸文件,而傳輸?shù)奈募锌赡芫褪且腼L(fēng)險(xiǎn)的惡意文件。在這種業(yè)務(wù)場(chǎng)景下,即使傳統(tǒng)防火墻可以通過端口號(hào)確認(rèn)了運(yùn)行的QQ服務(wù),也無法做到文件層面的深度檢測(cè),更不用提還有很多運(yùn)行在非標(biāo)準(zhǔn)端口上的應(yīng)用。

盡管現(xiàn)在就斷言傳統(tǒng)的以策略為核心的防護(hù)體系已經(jīng)完全失效還為時(shí)過早,但在黑客的攻擊手段從網(wǎng)絡(luò)層攻擊為主向Web攻擊為主轉(zhuǎn)換的大背景下,我們可以得出一個(gè)結(jié)論:缺少了應(yīng)用層檢測(cè)和防護(hù)能力的防火墻,不可避免的面臨著“廉頗老矣,尚能飯否”的窘境;新一代安全的關(guān)注點(diǎn),就在于應(yīng)用安全,就在于針對(duì)Web應(yīng)用層提供完整的解決方案。

下一代防火墻如何化解應(yīng)用層危機(jī)

有不止一個(gè)理由可以讓下一代防火墻成為“下一代”,用戶身份感知能力、高可擴(kuò)展性、應(yīng)用感知能力(application awareness)都是下一代防火墻的典型標(biāo)簽,但“應(yīng)用感知能力”毫無疑問是最容易關(guān)聯(lián)到下一代防火墻的熱詞。應(yīng)用感知這個(gè)概念,看起來已經(jīng)很清晰,但在某種程度上又很有誤導(dǎo)性。說它已經(jīng)清晰是因?yàn)橄乱淮阑饓梢詫⒘髁烤唧w關(guān)聯(lián)到特定的應(yīng)用上,說它具有誤導(dǎo)性是因?yàn)橄乱淮阑饓Φ陌踩芰Σ粦?yīng)僅局限于檢測(cè)識(shí)別應(yīng)用的流量,更重要的是作用于識(shí)別的結(jié)果:有選擇性的阻斷或以其他方式限制對(duì)應(yīng)用的使用,甚至是應(yīng)用的子應(yīng)用,而不是僅像傳統(tǒng)防火墻一樣只是阻斷特定的端口和協(xié)議。

新安全形勢(shì)下,防火墻用戶需要對(duì)全網(wǎng)所運(yùn)行的應(yīng)用有更深的理解和認(rèn)知。近年來較新的安全設(shè)備很多都提供了深度報(bào)文檢查(DPI)、精細(xì)化管控和應(yīng)用感知功能,幫助企業(yè)管控網(wǎng)絡(luò)邊界。根據(jù)Gartner研究總監(jiān)Eric Maiwald的研究結(jié)果,“現(xiàn)代防火墻或多或少都有些下一代的基因在里面,包括集成的入侵檢測(cè)功能(IPS)和更好的應(yīng)用控制能力。這些似乎已經(jīng)成為了當(dāng)今防火墻設(shè)備的標(biāo)配,幾乎所有的主流安全廠商都能娓娓道來一段有關(guān)下一代的故事”。但故事終究是故事,比聽故事更重要的是理解如何評(píng)估“下一代”,以及是否應(yīng)該遷移到“下一代”。

對(duì)異常行為的實(shí)時(shí)檢測(cè)和分析是促使很多用戶升級(jí)到下一代防火墻的主要?jiǎng)恿Α:芏郔T主管都反映,部署了下一代防火墻后最明顯的變化是對(duì)失陷主機(jī)的檢測(cè) — 有些企業(yè)在部署當(dāng)天便能發(fā)現(xiàn)內(nèi)網(wǎng)中的僵尸網(wǎng)絡(luò)和已被入侵的主機(jī)。這得益于下一代防火墻可以檢測(cè)數(shù)據(jù)包的有效荷載并根據(jù)這些實(shí)際內(nèi)容做出相應(yīng)決定,還能提供更好的內(nèi)容過濾能力 — 可以審查完整的網(wǎng)絡(luò)數(shù)據(jù)包,而不僅僅是網(wǎng)絡(luò)地址和端口,這就使得下一代防火墻有更強(qiáng)大的日志記錄功能,例如可以記錄某個(gè)特定程序發(fā)出的命令這樣的日志事件,這為識(shí)別應(yīng)用的異常行為提供了很有價(jià)值的信息。

更精細(xì)的應(yīng)用層安全控制是下一代防火墻的另一個(gè)“殺手锏”。在網(wǎng)絡(luò)威脅更多的來源自應(yīng)用層這個(gè)大背景下,用戶對(duì)網(wǎng)絡(luò)訪問控制自然要提出更高的要求。如何精確的識(shí)別出用戶和應(yīng)用、阻斷隱藏安全隱患的應(yīng)用、保證合法應(yīng)用的正常使用等問題,已經(jīng)成為現(xiàn)階段用戶所關(guān)注的焦點(diǎn)。但在網(wǎng)絡(luò)應(yīng)用高速發(fā)展的今天,超過90%的網(wǎng)絡(luò)應(yīng)用運(yùn)行在HTTP 80和443端口上,大量應(yīng)用可以進(jìn)行端口復(fù)用和IP地址修改,導(dǎo)致IP地址不等于用戶、端口號(hào)不等于應(yīng)用,傳統(tǒng)的基于五元組的訪問控制策略已無用武之地。下一代防火墻的用戶、應(yīng)用可視化技術(shù),可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制;如果能夠?qū)崿F(xiàn)與多種認(rèn)證系統(tǒng)(AD、LDAP等)無縫對(duì)接的話,還可以進(jìn)一步自動(dòng)識(shí)別出網(wǎng)絡(luò)中當(dāng)前IP所對(duì)應(yīng)的用戶信息,勾畫出人-內(nèi)容-應(yīng)用的立體畫像,滿足新一代安全的網(wǎng)絡(luò)管控要求。

下一代防火墻不是萬金油

與傳統(tǒng)的基于特征的檢測(cè)引擎不同,下一代防火墻與生俱來的基因是感知用戶和應(yīng)用的行為,歸根結(jié)底是要理解網(wǎng)絡(luò)報(bào)文的上下文背景。盡管這省去了特征庫(kù),但并不意味著下一代防火墻從此擺脫了定期升級(jí)的繁瑣工作;相反,下一代防火墻更需要不間斷的學(xué)習(xí)日益增長(zhǎng)的應(yīng)用指紋特征以保持對(duì)應(yīng)用識(shí)別的時(shí)效性。由于這類指紋特征不依賴于端口、協(xié)議等易于識(shí)別的特征,有時(shí)甚至可能還會(huì)包含特定報(bào)文的內(nèi)容,因此維護(hù)下一代防火墻的規(guī)則集是一項(xiàng)更為繁重的任務(wù)。此外,對(duì)于非通用型的應(yīng)用,如很多大型企業(yè)定制開發(fā)的私有應(yīng)用,下一代防火墻很可能會(huì)無法識(shí)別。在這種情況下,用戶仍需手動(dòng)添加應(yīng)用指紋特征,且在每次私有應(yīng)用升級(jí)后可能還要重復(fù)這一過程。下一代防火墻如此的不智能,會(huì)讓很多用戶對(duì)“下一代”印象大打折扣。

小結(jié)

下一代應(yīng)用層防火墻技術(shù)克服了傳統(tǒng)“邊界防火墻”的缺點(diǎn),集成了IPS、防病毒等安全技術(shù),實(shí)現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案,滿足企業(yè)實(shí)際應(yīng)用和發(fā)展的安全要求。展望未來,隨著更加隱蔽的應(yīng)用層攻擊不斷出現(xiàn),未來防火墻將會(huì)面臨更多協(xié)議的解析、更多應(yīng)用的識(shí)別,因此未來應(yīng)用層防火墻必將向著更大的防護(hù)功能面和更細(xì)致的粒度管控這個(gè)方向發(fā)展。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)