圖片來源: 

iThome

隨著資安威脅的手法越來越多,傳統防火牆功能早就已經有鞭長莫及之感。在這樣的狀況下,逐漸出現稱作次世代防火牆(Next Generation Firewall,NGFW)的產品,不少調查機構與研究單位,也開始發表對於NGFW的定義。

這讓人不禁開始想探究,到底什麼樣的設備,才能被稱為NGFW?而NGFW又會替企業的網路架構帶來什麼樣的改變?目前NGFW還沒有一個肯定的定義,但是對於企業來說,很多現有產品和研究報告所歸納出來的線索,或許已經可以提供給企業使用者在選購符合未來需求的設備時,一條明路。

NGFW沒有統一定義,但功能已有明確方向

雖然目前NGFW還沒有一個統一的定義,不過很多功能已經是眾所公認為NGFW應該要具備的功能。其中最重要的,就是NGFW必須要有能力辨識應用層,看到不同應用程式的流量;在這之後,還必須要能夠針對不同應用內細部的不同功能,做到控管的能力。舉例來說,可以把Skype的檔案傳輸功能關閉,但保留其他的功能。

或許透過不同研究機構的報告,可以更貼切的描述NGFW該具備的功能。2009年10月,調查機構Gartner推出了一份名為「Defining the Next Generation Firewall」報告,裡面對於他們心目中的次世代防火牆,就提供了幾個應該具備功能的定義。Gartner列出的幾點NGFW該具備的功能如下:能夠做為封包檢測或安全政策執行的據點;並且擁有傳統防火牆的功能,如NAT、封包過濾、VPN、傳輸協定檢測等。除此之外,NGFW還需要具備有IDP的功能,並且有能力和防火牆的功能互相溝通,必要時可以透過防火牆阻斷危險的流量。

在這些功能之外,Gartner在報告中也特別提到了應用程式流量辨識的能力,並且把這項能力視為NGFW的重點之一。也就是說,NGFW必須提供可視度(Visibility),不光是像過去的防火牆一樣,只是透過特徵和連接埠的號碼來管控流量,還必須有能力看得懂第七層應用層,辨識流經的不同流量,分別屬於哪些應用、哪些人使用、透過什麼裝置使用等資訊。

因此,該份報告中還指出,NGFW必須有能力取得其他設備提供的資訊,進而透過這些資訊達到阻斷惡意流量的效果。舉例來說,NGFW可能要能夠和身分辨識的AD架構、RADIUS等設備溝通,取得使用者身分的資訊,然後輔以應用辨識的能力,將不合企業內資安政策與可能的惡意威脅流量阻斷,並且能夠快速的辨識出使用者位在何方。

最後,報告中談到,NGFW還必須具備客製化擴充的能力,如此一來,在面對新威脅時,才能快速的反應。Gartner這份報告,排除了傳統UTM和中小企業,並且也不列入DLP(Data Leakage Prevention)、Web安全閘道器、訊息安全閘道器等功能,報告中認為,這些功能都不算是NGFW需要必備的功能。

不過另一個安全訓練與研究機構SANS(SysAdmin、Audit、Network、Security)協會,所定義的NGFW,則又是另一番面貌。SANS在2009年2月發表了一份探討NGFW功能的報告,在其中指出,NGFW應該是除了具備傳統防火牆功能外,還能提供包括基礎DLP、NAC(Network Access Control)、IDP、防蠕蟲、防中介軟體、網站過濾、VPN、SSL Proxy、QoS等功能。

SANS還在該份報告中指出,現有市面號稱為NGFW的產品,在DLP、NAC、SSL Proxy這三項功能的提供上比較欠缺,未來NGFW的發展,應該要往增加這些功能的方向前進。

同時,報告中也指出NGFW所能帶來的優勢與可能面臨的挑戰。首先,由於NGFW能夠整合了多種不同功能在單一設備上,於是部分對於時效性要求特別高的功能,如IPS與防火牆的聯防,就能更有效率,也比較不會有互通上的難度。舉例來說,當網站過濾的功能偵測到有使用者連上惡意的網站,就能快速的透過防火牆阻斷連線,或是導引到其他地方。報告中也指出,這一點優勢是十分重要的能力,因為根據研究,當使用者連上惡意位址而感染了惡意程式後,一般來說網路上的資安設備,如IDP等,要發現這項威脅,往往都在感染已經發生了數天或數月之後,無法防範於未然。此外,這樣的做法也可以省下多數設備的投資,提供企業經濟上的效益;並且管理和控管上也更為簡便。

不過SANS的報告中也明白的指出,反過來看,這會讓企業的網路資安防護更容易傾向只依賴少數的廠商,因為功能都整合到單一設備上,有可能會是一個隱憂。另外就是效能的問題,要提供這麼多功能,效能很有可能會是瓶頸。SANS的報告中並沒有排除DLP功能和UTM設備,從這一點來看,該份報告所描述的功能細節比起Gartner更為詳細,但相對的包含的功能也比較發散。

更靈活的架構與擴充性,也將成為重點

由上述兩份針對NGFW所做的報告內容,應該已經可以掌握NGFW大概的方向。不過畢竟這些報告主要針對的還是網路上單點設備的描述,事實上,隨著虛擬化技術的發展,網路安全的需求已經越來越需要從網路架構的整體面來考量。因此,我們還可以再進一步歸納出報告中沒有談到的重點,那就是靈活的架構與擴充性。

更靈活的架構除了前述報告中談到的客製化能力,還有一點很重要的就是硬體資源透過虛擬化技術進行分配的能力。舉例來說,NGFW很有可能有能力可以將多臺防火牆串連虛擬為單一的防火牆設備,或是將單臺防火牆虛擬為多臺小型的防火牆,達到分開處理流量的效果。而同時這些虛擬技術,都將讓NGFW在分配硬體資源上更靈活,而不再受限於實體的限制。目前已經有不少網路安全設備廠商,已經在往這個方面發展,或是已經有類似的功能,如Juniper、Fortinet等。

而為了達到更靈活分配硬體資源的目標,NGFW其實還有一個發展趨勢很值得注意,那就是軟、硬體功能臍帶割離的趨勢。未來的NGFW,功能將不會再受到硬體的限制,取而代之的,將會逐漸轉向以「空白的硬體」的方式,讓設備的擴充性更佳。

接下來我們將列出NGFW應具備的6項重要功能,這些功能都是透過歸納市面上的產品現狀,輔以各家調查機構所列出重點的整理而成。Gartner在報告中,建議企業現在在選擇防火牆這樣的設備時,已經可以逐漸往NGFW的功能考量。而整理出的這6項功能,也同樣希望能夠提供讀者對NGFW這個概念有一定的認識。

 

次世代防火牆能協助建立更靈活的網路架構

透過虛擬化等技術,次世代防火牆將有能力更靈活的分配硬體資源,而不需要受限於硬體與控管的位置,而使用多臺防火牆達到管控的效果。取而代之的,透過多臺虛擬為一臺或單臺虛擬為多臺的方式,讓硬體擴充能力更強,架構更靈活。

 


相關報導請參考「次世代防火牆

熱門新聞

Advertisement