iThome
功能1:具備應用程式流量識別能力,進而強化管理
傳統的防火牆,是依照封包的來源、連接埠等網路層第三、第四層的資訊,進行封包過濾,像水閘門一樣,減少網路被惡意程式攻擊的可能性,但是次世代防火牆必須做到更多。
首先,次世代防火牆(Next Generation Firewall,NGFW)要有能力看懂第七層應用層的流量,識別不同的應用程式流量,而且還要再更進一步,還能夠識別使用者的身分、裝置等資訊。也就是說,NGFW必須提供比傳統防火牆更好的可視性,如此一來面對許多新型態的攻擊,如僵屍網路等,才能有能力反應。
事實上目前市面上不少提供防火牆功能的資安廠商,已經具備有這樣的能力。舉例來說,Palo Alto的防火牆,就是以這一點為號召。Palo Alto亞太區業務副總林本國表示,現在Palo Alto有能力識別900多種不同的應用,並且能透過圖像化分析每種應用流量的使用者使用時間、佔用頻寬等資訊,也能進一步看到每個使用者連線的狀況與報表,並且透過政策控管流量的通過。而以人為基礎的報表,則能協助企業在發生問題時快速找到問題的癥結點。
除了Palo Alto外,如Juniper等廠商,也能透過IDP模組的功能看到類似的資訊,再輔以與身分識別的AD架構、RADIUS等伺服器的溝通,就能做到辨識使用者與應用流量的功能。
這項功能之所以對於次世代防火牆來說非常重要,主要的原因除了先前談到可以協助快速找出問題外,還有一個重點,就是只有透過提供這種可視性,才能協助企業在NGFW上,做到基礎的網路存取控管(Network Access Control,NAC)功能。這將能協助企業在資安政策和阻擋大規模感染上更有效率,有能力將感染限制在一定區域。
而且不僅於此,事實上NGFW應該還要能夠更進一步的能夠針對特定應用的特定功能去管控,舉例來說,在Gartner的報告中就寫到,可以針對Skype這種應用,只關閉檔案傳輸的功能,類似這樣的能力才能算是做到對應用程式識別管理的能力。這樣的功能,現在也已經有部分產品可以達成。
提供可視性,進而透過這樣的深層封包檢測能力去管理流量,是次世代防火牆和傳統防火牆最大的不同。可以預見的,未來會有越來越多提供防火牆功能的設備商,往這個方向前進。例如Check Point在2009年就併購了一家名為FaceTime的廠商,根據Check Point臺灣區技術顧問陳建宏的說法,這次併購就是為了讓Check Point的設備,在未來能提供應用程式識別的能力。
功能2:軟、硬體將逐漸不被綁死,能更彈性調配
次世代防火牆其實還有一個很重要的特性,就在於能夠提供更彈性和靈活的架構。而軟、硬體功能的臍帶被分割,就是其靈活特性所展現出來的一個重點。
有別於過去的防火牆產品,買了硬體,軟體的功能就固定無法變動,NGFW將能夠鬆動這一環羈絆。NGFW為了更靈活的調配硬體資源,將會走向軟體功能與硬體分開來運作的道路,這樣一來,在擴充硬體時,就不會有過去受到局限的問題,購買的就單純是硬體資源,而軟體功能則直接做在原有設備上。
舉例來說,使用者如果要增加防火牆的硬體效能,就購買硬體的模組即可,每個模組並不是單獨的防火牆,而是可以分配給不同功能的硬體資源。所以購買進來的硬體模組,比如說有4個處理器的話,也可以把這4個處理器的運算資源分配給NGFW的其他功能。同樣的,軟體的功能也能依照使用的需求增加或減少,而不會因為購買了特定硬體,就必須使用特定軟體的功能,例如購買防火牆模組的插板,該模組就只能當防火牆用。
Juniper香港/臺灣區技術總監游源濱表示,這樣的靈活架構設計,將能夠減少傳統防火牆所面臨的模組負載平衡等問題,並且打破硬體模組就是相當於獨立設備的局限,減少很多使用上的麻煩。事實上,現在包括Juniper、思科的產品,都已經在往這個方向前進。例如Juniper的SRX,以及思科的ISG R2,都推出了單純的硬體模組支援擴充。而Fortinet臺灣區技術顧問劉乙也指出,隨著Fortinet設備虛擬化的技術發展,未來也很有可能會往這個方向前進。此外,Check Point現在也提供軟體功能增減的能力,讓使用者能夠依據需求和硬體的效能狀況,自由增減要執行的軟體。
軟、硬體功能的鬆綁,也有助於設備的虛擬化發展,無論是將多臺設備虛擬為單臺;或是將單臺設備透過虛擬化切割成不同的小臺防火牆,都能讓NGFW具備更靈活與更彈性資源分配能力。而這樣的能力,對於之後將要談到未來支援雲端架構的需求來說,十分的重要。
功能3:必須要有能力提供客製化的功能,對新的威脅快速反應
和先前談到的概念類似,NGFW之所以要在架構上變得更靈活,其實很大的因素就是要讓使用者能夠更快的面對新的威脅。
傳統購買資安設備,能提供的功能就是廠商宣稱的那些,未來如果有新功能推出,如果不是能夠模組化抽換的設備,可能就必須重新購買才能使用到新功能。此外,當企業遇到一些獨特的需求時,由廠商協助提供客製化過濾器或功能的可能性也非常低,或者是難度非常高。
不過,未來的NGFW,在這一點上將會有所改變。首先,正如先前談到,由於已經可以打破軟、硬體綁死的局限,NGFW在提供客製化功能或過濾器等能力時,將會相對比較容易。不過Check Point臺灣區技術顧問陳建宏指出,雖然如此,但是要企業自己有辦法寫出過濾器或是新增一些專屬的功能,企業往往也難以擁有這樣的IT人才。在這樣的狀況下,未來NGFW應該是保留住提供升級新功能的彈性,讓設備廠商有能力協助企業使用者建立這樣的客製化功能。
目前很多廠商都已經開始提供這樣的功能,前面提到的Palo Alto、Juniper、思科、Check Point等,其實都已經有不同的方案可以協助企業做到這一點,過濾器的客製化還較為容易,但功能的增加現在可能難度仍高。NGFW保留這樣的能力是必需的,這將能有效的協助企業解決許多自己遭遇的獨特狀況,針對資安情況做出更快速的反應。
這是Palo Alto識別應用程式的分析畫面,圖為Skype應用,能夠提供不同的資訊。
能夠分析企業內部通過NGFW的應用程式流量排名統計,並且進一步提供使用者對應的分析。
功能4:能夠支援雲端架構動態變化的需求
隨著虛擬化和雲端的大趨勢開始起跑,其實次世代防火牆也必須要有能力支援未來這樣的新架構。Juniper香港/臺灣區技術總監游源濱表示,這代表NGFW在硬體功能上必須要能夠有些新的變化,比如說每秒用戶連線能力、橫向擴充能力、虛擬化架構的防護、硬體資源的分配等,都會是雲端運算架構中需要面對的問題。
他接著指出,NGFW必須要有能力承受更高的每秒用戶連線能力,而不光只是支援更高的同時在線人數。游源濱說:「光有很高的同時在線人數,就像你雖然有一個大水池,可是卻只能讓水慢慢的流進去,否則水池就會垮掉。」而在雲端架構的基礎下,企業根本沒有辦法限制用戶的連線數。
除此之外,虛擬化的防護,也會是NGFW需要面對的重點問題,如何讓防火牆能夠與虛擬層溝通,進而能夠針對每一臺虛擬機器的流量做掃描與阻擋,而不會將之視為單一的實體伺服器,這會是NGFW必須擁有的能力。事實上,現在虛擬化平臺廠商如VMware,就有VMsafe這樣的合作計畫,讓資訊安全設備能夠透過與虛擬層的溝通,做到前述的能力。
其他諸如橫向擴充與硬體資源靈活分配的能力,我們已經在功能2談過,就現在來看,NGFW在這一塊技術的發展,將會以自身設備的虛擬化來達成。設備的虛擬化,將讓NGFW的硬體資源,能夠依照不同功能負載量的狀況動態分配,這也能夠滿足雲端的需求,例如防火牆需要更多的硬體資源,就分更多給這項功能;QoS需要更多的硬體資源,就分享更多的資源給它。這和傳統模組各自獨立,硬體資源無法共用的狀況完全不同,也會是NGFW的一個重要特色。
目前像是Juniper SRX的作法,就是以單臺虛擬為多臺,讓設備的硬體資源能夠靈活分配的作法,減少管理難度與擴充的問題。而據了解,未來Fortinet很有可能推出的作法,則將會是以多臺設備虛擬為一臺的方式,來達到類似的效果,降低橫向擴充的難度。
Fortinet臺灣區技術顧問劉乙認為,支援雲端架構,將會是NGFW的一個重要功能特色。而只有更靈活與更彈性的設計,搭配設備本身虛擬化的技術,才有可能達成這一點。事實上,思科的ISR G2,雖然主要還是以路由器為主要功能,但根據臺灣思科業務開發經理張志淵的說法,未來也會提供原本Iron Port的許多功能,強化其安全上的能力。而其新設計的硬體模組概念,就是要符合NGFW更靈活與更彈性架構的想法。
功能5:能與不同裝置共同聯防
談到資安設備間的聯防,很多人的直覺是想到類似NAC的架構,甚至在販售產品的經銷商,都有人有這種想法,然後因為NAC不容易實現,賺不了錢,所以避而不談區域聯防這種概念。不過事實上,這是以偏概全的想法,區域聯防並不是這麼一回事。
NAC只是資安設備聯防的一種形式而已,而NGFW概念中的區域聯防,則又是另一種形式的想法。我們甚至可以這麼說,NGFW必須要具備與其他資安設備溝通的能力,這才是未來發展合理的走向。在現在的網路架構上,就算你擁有一臺宛如超級英雄般的無敵資安設備,也不能確保企業的網路架構能夠安全無虞,因為不可能所有的流量,都流經單臺設備。
在這樣的狀況下,NGFW勢必必須擁有與其他設備的聯防的能力,舉例來說,若能與其他設備,或自己設備中的網站過濾功能溝通,那麼當使用者連結上到含有惡意連結的網站,或者是違反企業資安政策的網站時,NGFW就能扮演阻斷流量的角色,把威脅的可能性在發生前就截斷,防患於未然。
其他諸如IDP等功能,如果能與NGFW互通,也同樣能夠發揮類似的效果。目前來看,市面上有能力做到這樣聯防的設備還不多,多數還以擁有眾多產品線的大型公司為主,如Juniper。而NGFW也能透過與其他設備的互通,做到部份NAC的功能。如與和身分辨識的AD架構、RADIUS等設備溝通,取得使用者身分的資訊,然後輔以應用辨識的能力,將不合企業內資安政策與可能的惡意威脅流量阻斷,並且能夠快速的辨識出使用者位在何方。
總而言之,在威脅日益增多的現在,過去單一設備銅牆鐵壁的想法已經行不通了,也因此我們在思考NGFW這樣的概念時,不能落入這樣的陷阱。這也是為什麼與其他設備聯防,會被視作NGFW重要能力的原因。
功能6:整合更多強化的功能
前面的幾個必備功能,我們比較著重在整體架構面的觀察。而NGFW其實還有一個能力不能不提,那就是必需整合更多強化的功能。
過去UTM這樣類型的資安設備,由於硬體技術的不足,當功能全開的時候,往往會有效能大幅降低的狀況發生。不過隨著硬體技術的發展,處理器現在運算能力甚至不會比不可程式化的ASIC差到哪裡去,這也使得單一資安設備整合多功能的可行性越來越高。而NGFW也因此可以預見,未來一定能夠整合更多傳統防火牆所沒有的功能。
我們拿安全訓練與研究機構SANS(SysAdmin、Audit、Network、Security)協會,所定義的NGFW來看,就會發現NGFW除了該具備傳統防火牆功能外,還必須要能提供包括基礎DLP、NAC(Network Access Control)、IDP、防蠕蟲、防中介軟體、網站過濾、VPN、SSL Proxy、QoS等功能。
不但擁有更多功能,NGFW的功能也還要更為深入,例如NGFW的IDP功能,應該要能夠透過不同技術辨識流量,如Header-based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。並且有能力提供客製化的過濾器。而在防蠕蟲的功能上,則必須做到減輕試圖直接癱瘓攻擊的影響程度,以及不讓蠕蟲的擴散。並且要有能力針對電子郵件去設定阻擋政策。此外,還必須要擁有部份路由和交換等功能,QoS能力也應該要具備,並且要能夠和辨識不同應用程式流量的功能結合,針對不同的流量做出不同管理。
能夠分析企業內部通過NGFW 的應用程式流量排名統計,並且進一步提供使用者對應的分析。
應用程式識別能力成為重要功能
這是Palo Alto識別應用程式的分析畫面,圖為Skype應用,能夠提供不同的資訊。
虛擬化協助次世代防火牆靈活控管與分配資源
相關報導請參考「次世代防火牆」
熱門新聞
2024-11-05
2024-11-04
2024-11-05
2024-11-02
2024-11-04
2024-11-04