下一代防火墙与传统网络防火墙的优势对比

下一代防火墙与传统网络防火墙的优势对比网络防火墙在安全防护中，起到重要作用，但是我们，也应该看到它的不足之处。如今，知识渊博的黑客，均能利用网络防火墙开放的端口，巧妙躲过网络防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统网络防火墙。据专家统计，目前70%的攻击是发生在应用层，而不是网络层。对于这类攻击，传统网络防火墙的防护效果，并不太理想。传统的网络防火墙，存在着以下不足之处：1、无法检测加密的Web流量如果你正在部署一个关键的门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。2、普通应用程序加密后，也能轻易躲过防火墙的检测网络防火墙无法看到的，不仅仅是SSL加密的数据。对于应用程序加密的数据，同样也不可见。在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统(IDS，Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。3、对于Web应用程序，防范能力不足网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表(ACLs，Access Control Lists)。在这一方面，网络防火墙表现确实十分出色。近年来，实际应用过程中，HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商，均已转移到基于Web的体系结构，安全防护的目标，不再只是重要的业务数据。网络防火墙的防护范围，发生了变化。对于常规的企业局域网的防范，通用的网络防火墙仍占有很高的市场份额，继续发挥重要作用，但对于新近出现的上层协议，如XML和SOAP等应用的防范，网络防火墙就显得有些力不从心。由于体系结构的原因，即使是最先进的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。由于对于整体的应用数据流，缺乏完整的、基于会话(Session)级别的监控能力，因此很难预防新的未知的攻击。4、应用防护特性，只适用于简单情况目前的数据中心服务器，时常会发生变动，比如： 定期需要部署新的应用程序; 经常需要增加或更新软件模块; QA们经常会发现代码中的bug，已部署的系统需要定期打补丁。在这样动态复杂的环境中，安全专家们需要采用灵活的、粗粒度的方法，实施有效的防护策略。虽然一些先进的网络防火墙供应商，提出了应用防护的特性，但只适用于简单的环境中。细看就会发现，对于实际的企业应用来说，这些特征存在着局限性。在多数情况下，弹性概念(proof-of-concept)的特征无法应用于现实生活中的数据中心上。比如，有些防火墙供应商，曾经声称能够阻止缓存溢出：当黑客在浏览器的URL中输入太长数据，试图使后台服务崩溃或使试图非法访问的时候，网络防火墙能够检测并制止这种情况。细看就会发现，这些供应商采用对80端口数据流中，针对URL长度进行控制的方法，来实现这个功能的。如果使用这个规则，将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页，确实需要涉及到很长的URL时，就要屏蔽该规则。网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层进行防护，除非是一些很简单的应用程序。5、无法扩展带深度检测功能基于状态检测的网络防火墙，如果希望只扩展深度检测(deep inspection)功能，而没有相应增加网络性能，这是不行的。真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面： SSL加密/解密功能; 完全的双向有效负载检测; 确保所有合法流量的正常化; 广泛的协议性能;这些任务，在基于标准PC硬件上，是无法高效运行的，虽然一些网络防火墙供应商采用的是基于ASIC的平台，但进一步研究，就能发现：旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。应用层受到攻击的概率越来越大，而传统网络防火墙在这方面有存在着不足之处。对此，少数防火墙供应商也开始意识到应用层的威胁，在防火墙产品上增加了一些弹性概念(Proof-Of-Concept)的特征，试图防范这些威胁。综上所述，更智能的下一代防火墙应用而生。下一代防火墙将通过集成入侵防御和应用与用户监控功能来提升网络安全性，但是它们也会带来新的管理挑战。由于传统防火墙充斥了大量废弃的规则，所以防火墙管理总是一个有挑战的工作。但是，在使用下一代防火墙管理技术之后，网络安全专业人员将需要维护更多的规则和策略。斯坦福德Gartner公司研究副总裁Greg Young说：“防火墙规则总是到处泛滥，但是入侵防御和应用控制使问题更加复杂。现在正是使用下一代防火墙降低复杂性的时机，但是如果实施不当，则可能会适得其反。”最近，Osterman Research代表安全与风险管理公司Skybox Security对209家企业进行了一次关于下一代防火墙管理的调查。在调查中，他们邀请网络安全人员列举下一代防火墙管理的三大挑战，其中包括：确认访问策略与网络分片策略是否正确实施（39%）；维护入侵防御系统(IPS)签名（37%）；以及优化防火墙规则集（36%）。在有状态防火墙中，规则与策略的复杂性迫使网络安全管理员在防火墙管理方法中整合更多的业务逻辑。Skybox的CEO及创始人Gidi Cohen说：“下一代防火墙规则将控制哪些用户群组在哪个时间段可以访问Web应用或社交网络。不仅规则变得更加复杂，而且组织的安全策略逻辑也变得更加复杂。这是一个计划挑战、协调挑战，也是一个技术挑战。”Young指出，网络安全人员需要抛弃“老派的”防火墙管理方法，转而采用下一代产品。例如，他说，改变对应用控制规则和策略的控制不可能像基于端口的传统规则一样。在传统防火墙上，任何变更都需要发起一个变更请求。如果开发团队希望启动一个新应用程序，那么它会发送一个变更请求到防火墙上要求打开端口。这种细致方法不适用于下一代防火墙的应用监控。Young说：“要采用不同的方法。您可以批准特定类型的应用程序。您可以说：除了特定的情况，我们不允许使用任何点对点应用程序。所以如果发现一个点对点应用程序，而防火墙管理员又希望批准这条规则，那么它应该以预先批准的方式进行处理。”下一代防火墙管理是一种成熟且协调的方法企业管理联盟研究主管Scott Crawford指出，在广义上，防火墙管理就是变更控制。拥有成熟防火墙变更管理方法的企业更能避免安全漏洞和性能破坏问题。在下一代防火墙中，随着防火墙环境变得越来越复杂，自动化也变得越来越重要。Skybox的调查发现，有58%的企业在他们的下一代防火墙上部署了100条以上的规则，而有35%的公司每个月执行100次以上变更。Crawford说，在这些复杂环境中，用户必须利用自动化方法，因为他们通常过于复杂，而无法通过手工流程进行可靠管理。在部署之前，一定要在您的建模范围内验证您规划的所有变更，然后跟踪这些变更，保证它们按预期方式部署。此外，您需要设定一个回滚变更的流程，这样才不会产生其他问题。Skybox、Tufin Technologies、AlgoSec和Athena Security等供应商在专门研究这些问题。他们提供了防火墙变更控制产品，其中大多数都可以对这些变更影响网络的方式进行建模。此外，这些供应商正在将他们的产品更新到下一代防火墙管理技术。如果一个IT组织的下一代防火墙管理团队与网络运营团队属于独立实体，那么网络安全团队还应该保证要这两个团队协调一致。Crawford说：“即使在下一代防火墙出现之前，我们也发现一些组织遇到一些预料到的性能水平和可用性中断的问题，因为安全策略在不知道会产生什么影响的情况下就应用了。”“当您增加了感知应用的防火墙，这个挑战越来越大。即使在分布式网络的客户端，如果您部署WAN优化设备，那么您会希望将它是专门为应用程序的设备。您需要在网络性能、可用性与安全性需求之间做出协调，以避免出现冲突和增加暴露风险。”另一个问题：防火墙的入侵防御Skybox的调查证明，许多企业在管理下一代防火墙上的入侵防御签名时举步维艰。有86%的公司计划在他们的防火墙上使用IPS模块；他们中有65%处于在线防御模式。管理这些模块的IPS签名并不容易。只有54%的公司由供应商自动更新。三分之二的公司正尝试手动管理这些签名。Gartner的Young说：“默认签名集只是一个入口。接着是优先值。例如，如果您没有Oracle数据库，则不要启用Oracle签名。相反，如果您有大量的Oracle流量，则确实需要进行优化和调优这些Oracle签名。”根据Skybox全球销售副总裁Michelle Johnson Cobb的观点，有一些企业希望了解这些签名如何有效地阻挡威胁。她说：“他们是否真的阻挡住了原本我想要阻挡的威胁？有一些方法可以检验它是否真的有用。”如果用户实施了大量潜在威胁的默认签名，那么它将会减慢流量传输速