下一代防火墻要做的十件事

　　下一代防火墻(NGFW)與現(xiàn)在的防火墻有三個方面的差異 -- 安保、運行和性能。安保元素對應(yīng)著安?？刂频墓π?，并有能力管理企業(yè)網(wǎng)絡(luò)流量方面的風險。從運行的角度來說，最大的問題是：用戶的應(yīng)用策略是否有效?以及管理的難度或復(fù)雜性。性能差異比較簡單：防火墻怎么做能夠保持吞吐量?

　　下一代防火墻要做的十件事是：

　　1. 下一代防火墻必須在任何端口上識別和控制應(yīng)用，而不僅僅是標準端口(包括使用HTTP或其他協(xié)議的應(yīng)用)。

　　業(yè)務(wù)案例：應(yīng)用程序開發(fā)人員不再堅持把標準的端口與協(xié)議或應(yīng)用程序相對應(yīng)。越來越多的應(yīng)用程序都能在非標準端口上運行，或者可以跳端口(如：即時消息應(yīng)用程序，對等文件共享，或網(wǎng)路電話(VOIP))。此外，用戶越來越精明，足以強迫應(yīng)用程序運行在非標準端口(如：遠程桌面協(xié)議(RDP)，安全外殼(SSH))。為了執(zhí)行特定應(yīng)用與端口無關(guān)的策略，下一代防火墻必須假設(shè)任何應(yīng)用可以運行在任何端口上。這是在NGFW技術(shù)上絕對必要的根本變化之一。正是這種變化，使得傳統(tǒng)基于端口控制應(yīng)用的防火墻已經(jīng)過時。它還強調(diào)為什么負控制模型不能解決問題。如果一個應(yīng)用程序可以移動到任何端口，基于負控制的產(chǎn)品將在數(shù)萬個端口上運行所有簽名。

　　要求：這個很簡單 -- 如果任何應(yīng)用都能運行在任何端口上 – 用戶的下一代防火墻必須在所有端口按應(yīng)用對信息流進行分類 – 在所有時間(見第4和7項)。否則安?？刂茖⒗^續(xù)被困擾多年的相同技術(shù)所愚弄。

　　2.下一代防火墻必須識別和控制繞道者：代理、遠程訪問和加密隧道應(yīng)用。

　　業(yè)務(wù)案例：大多數(shù)組織機構(gòu)具有安保策略 – 并且按計劃執(zhí)行這些策略。代理、遠程訪問和加密隧道應(yīng)用是專門用來繞過安?？刂疲绶阑饓?、全球資源定位器(URL)過濾、入侵防護系統(tǒng)(IPS)和安保Web網(wǎng)關(guān)。沒有能力控制這些繞道者，組織就不能強制執(zhí)行他們的安保策略，并且暴露自己，處于無法控制非常危險的境地。要明確，并不是所有類型的應(yīng)用是相同的 -- 遠程訪問應(yīng)用有合法的用途，一些加密隧道應(yīng)用也一樣。但是，通過安全套接字層(SSL)在隨機端口進行通信的外部匿名代理，或像Ultrasurf和Tor這樣的應(yīng)用只有一個真正的目的 -- 繞開安?？刂?。

　　要求：有不同類型的繞道應(yīng)用-- 每種使用略有不同的技術(shù)。有公共和私有兩種外部代理，可以同時使用超文本傳輸協(xié)議(HTTP)和安全超文本傳輸協(xié)議(HTTPS)。私有代理往往設(shè)立非保密IP地址(例如，家用電腦)，使用的應(yīng)用像PHProxy或者CGIProxy。遠程訪問應(yīng)用，如MS RDP或GoToMyPC可以有合法的應(yīng)用 -- 但由于相關(guān)的風險，應(yīng)進行管理。其他大多數(shù)繞道者，(例如，Ultrasurf，Tor, Hamachi)沒有商業(yè)用途。當然，也有未知的繞道 --見后面的第6項。無論策略的立場是什么，用戶的下一代防火墻需要有具體的技術(shù)來處理所有這些應(yīng)用程序，不管端口、協(xié)議、加密或其他回避策略。更多的考慮：這些應(yīng)用程序會定期更新，使他們更難檢測和控制。所以重要的是：不僅要了解自己的下一代防火墻能夠識別這些繞道應(yīng)用，還要經(jīng)常更新和維護防火墻的應(yīng)用智能。

　　3.下一代防火墻必須支持SSL解密出境。

　　業(yè)務(wù)案例：今天，超過15%的網(wǎng)絡(luò)流量是經(jīng)過SSL加密的(根據(jù)超過2400名的企業(yè)網(wǎng)絡(luò)流量采樣 -詳見巴羅艾托網(wǎng)路(Palo Alto Networks)公司的“應(yīng)用程序的使用和風險報告”)。在一些行業(yè)(如金融服務(wù))，這個比例超過50%。鑒于最終用戶使用的許多高風險、高回報應(yīng)用程序(例如，Gmail中，臉譜)越來越多地采用HTTPS，以及用戶強迫在很多網(wǎng)站上使用SSL的情形，網(wǎng)絡(luò)安全團隊必須對SSL加密流量解密、分類、控制和掃描，不然會成為一個盲點。當然，NGFW必須足夠靈活，可以讓某些類型的SSL加密流量(例如，來自金融服務(wù)或醫(yī)療保健機構(gòu)的網(wǎng)絡(luò)流量)單獨留下，而其他類型(例如，非標準端口的SSL，來自東歐非分類網(wǎng)站的HTTPS)可以通過策略解密。

　　要求：SSL解密出境的能力是一個基本的功能 -- 不只是因為他占企業(yè)流量百分比日益增加，還因為他激活了其他關(guān)鍵功能，否則會使SSL解密能力不完整或無效(例如，控制繞道 – 見第2項，應(yīng)用功能控制 –見第4項，允許應(yīng)用程序掃描 –見第5項，應(yīng)用程序共享相同連接的控制 –見第7項)。尋找的關(guān)鍵元素包括：在任何端口上SSL的識別和解密，對解密的策略控制，以及對上萬個同時SSL連接執(zhí)行SSL解密所必要的硬件和軟件元素，具有良好的性能和高吞吐量。

　　4.下一代防火墻要提供應(yīng)用功能控制(例如，SharePoint管理與SharePoint文檔)

　　商業(yè)案例：許多應(yīng)用程序提供了很多不同的功能，這對組織和用戶既提供了價值也呈現(xiàn)了風險。很好的例子包括：WebEx與WebEx桌面共享，雅虎的即時通訊與文件傳輸功能，通常的Gmail與發(fā)送附件。在監(jiān)管環(huán)境或者組織非常依賴知識產(chǎn)權(quán)的情況下，這是個重要的問題。

　　要求：對每個應(yīng)用連續(xù)分類和細分。下一代防火墻應(yīng)具有對信息流的持續(xù)評估和發(fā)現(xiàn)變化-- 如果在會話中出現(xiàn)了不同的功能或特性，防火墻應(yīng)引起注意并執(zhí)行策略檢查。了解每個應(yīng)用的不同功能和相關(guān)風險同等重要。不幸的是，許多防火墻只對信息流分類一次，然后允許“快速通過”(解讀：不再看信息流的內(nèi)容)以獲得更好的性能。這種方法對現(xiàn)在的應(yīng)用已經(jīng)過期，要防止那些防火墻不按這個要求辦事。

　　5.下一代防火墻要在允許的協(xié)同應(yīng)用中支持威脅掃描 -- 例如，SharePoint、、MS Office在線。

　　商業(yè)案例：企業(yè)繼續(xù)采取外部物理位置托管協(xié)同應(yīng)用程序。無論托管的是SharePoint、、谷歌文檔、微軟的Office Live，或由合作伙伴托管的一個外網(wǎng)應(yīng)用程序，許多組織要求使用一種共享文件的應(yīng)用程序 -- 換句話說，這是個高風險的威脅載體。許多受感染的文件都存儲在協(xié)同應(yīng)用中，包括一些包含敏感信息文件(例如，客戶的個人信息)。此外，這些應(yīng)用(例如，Sharepoint)僅支持常規(guī)掃描漏洞的技術(shù)(例如，IIS、SQL 服務(wù)器)。阻止這些應(yīng)用不一定合適，但永遠不允許威脅進入組織內(nèi)部。

　　要求：應(yīng)用允許啟動安全部分對其進行掃描檢查威脅。這些應(yīng)用可用協(xié)議組合進行通信(如，SharePoint - HTTPS和CIFS，見第3項要求)，比“阻止應(yīng)用”需要更復(fù)雜的策略。第一步是識別應(yīng)用(無論端口或加密)，承認它，然后對其掃描查找的任何威脅 – 漏洞、病毒/惡意軟件或間諜軟件......甚至包括保密的、管制的或敏感的信息。

　　6.下一代防火墻要用策略處理未知信息流，而不是讓他通過。

　　業(yè)務(wù)案例：總是會有未知的信息流，這始終表示了對組織的潛在風險。對未知信息流需要考慮幾個重要因素—把他最小化，把他特征化，使他可被網(wǎng)絡(luò)安全策略“知道”，達到可預(yù)見性以及對未知信息流的策略控制。

　　要求：首先，在默認情況下，下一代防火墻應(yīng)嘗試所有的信息流分類 -- 這是早期架構(gòu)中的領(lǐng)域，這在安保討論中非常重要。正(默認拒絕)模型對一切信息流分類，負(默認允許)模型僅對要求分類的信息流分類。其次，對用戶開發(fā)的應(yīng)用程序，應(yīng)該有種方法制定用戶標識符 – 因此這種信息流可算作“已知”。第三，安全模型能夠再次滿足這些要求 -- 正(默認拒絕)模型可以拒絕所有未知信息流 -- 所以用戶不知道的不會傷害用戶。負(默認允許)模型允許所有的未知信息流 -- 所以用戶不知道的可能會傷害用戶。例如，許多僵尸網(wǎng)絡(luò)使用端口53(DNS)把通信返回到他們的控制服務(wù)器。如果用戶的下一代防火墻缺乏發(fā)現(xiàn)和控制未知信息流的能力，僵尸將會長驅(qū)直入，暢通無阻。

　　7.下一代防火墻要能識別和控制共享同一連接的應(yīng)用。

　　業(yè)務(wù)案例：應(yīng)用共享會話。為了確保用戶連續(xù)使用一個應(yīng)用“平臺” ，無論是谷歌、臉譜、微軟、銷售隊伍(Salesforce)、鏈入(LinkedIn)還是雅虎，應(yīng)用程序開發(fā)商集成了許多不同應(yīng)用 -- 這即有商業(yè)價值但也有風險狀況。讓我們來看看前面舉過的例子：Gmail – 有能力從Gmail的用戶界面生成一個谷歌聊天的會話。他們是根本不同的應(yīng)用，用戶的下一代防火墻應(yīng)該能認識到這個問題，為每個會話啟用適當?shù)牟呗皂憫?yīng)。

　　要求：停止平臺或網(wǎng)站簡單的分類工作。換句話說，“快速通道”不是一個選項 -- “一次完成”分類忽略了這樣一個事實：應(yīng)用會共享會話。必須對信息流不斷評估，識別應(yīng)用，發(fā)現(xiàn)變化(見第5項)，當用戶使用同一個會話切換到一個完全不同的應(yīng)用時，強制執(zhí)行適當?shù)牟呗钥刂?。簡要查看技術(shù)要求 -- 使用前面Gmail到谷歌聊天的例子：Gmail默認使用HTTPS(見第3項)，所以第一步是解密 -- 但必須是連續(xù)的，就像做應(yīng)用分類，因為在任何時候，用戶可能開始聊天......這需要使用一個與Gmail完全不同的策略。

　　8.下一代防火墻要對遠程用戶啟用同一應(yīng)用的可視和控制，就像本地用戶一樣。

　　業(yè)務(wù)案例：越來越多的用戶在企業(yè)的圍墻之外工作?，F(xiàn)在企業(yè)網(wǎng)絡(luò)的一個重要功能是具有遠程工作的能力。無論在咖啡廳、家里或客戶現(xiàn)場都可以工作，用戶希望通過WiFi、無線寬帶、或其他任何的手段連接他們的應(yīng)用。無論用戶在哪里，或他們使用的應(yīng)用在哪里，應(yīng)該使用相同的控制標準。如果用戶的下一代防火墻僅能在企業(yè)內(nèi)啟用應(yīng)用監(jiān)視和控制信息流，而不是企業(yè)外，那就忽略了一些最危險的信息流。

　　要求：從概念上講，這非常簡單 – 用戶的下一代防火墻必須對信息流有一致性的監(jiān)視和控制，無論用戶在哪里 -- 內(nèi)部或外部。這并不是說，企業(yè)具有相同的策略 -- 某些公司可能希望員工在路上時使用Skype，而不是在總部。如果在辦公室外，用戶可能不會下載上的附件，除非他們的硬盤能夠開啟加密功能。用戶的下一代防火墻應(yīng)該可以實現(xiàn)：對最終用戶不會引入明顯的延遲，對管理員不會帶來操作的麻煩，對組織不會增加顯著的成本。

　　9.下一代防火墻要使網(wǎng)絡(luò)安全更簡單，而不是隨著應(yīng)用控制的增加更復(fù)雜。

　　商業(yè)案例：許多企業(yè)為更多信息、更多策略、更多管理而戰(zhàn)斗。換句話說，如果團隊不能管理好已經(jīng)有的內(nèi)容，那么增加更多的管理、策略和信息也不會有任何幫助。此外，策略的更加分散(例如，基于端口的防火墻允許使用80號口，IPS檢查并阻止相關(guān)威脅和應(yīng)用，安保Web網(wǎng)關(guān)強制執(zhí)行URL過濾)-- 使策略的管理更加困難。管理員在哪里啟用WebEx?如何解決不同設(shè)備中的策略沖突?使用的基于端口的防火墻，已有數(shù)以千計的規(guī)則，在上萬個端口(見見第3項)加入數(shù)以千計的應(yīng)用簽名會把復(fù)雜度提高幾個數(shù)量級。

　　要求：防火墻策略應(yīng)基于用戶和應(yīng)用。對允許的信息流進行后續(xù)內(nèi)容分析，但基本的訪問控制應(yīng)根據(jù)相關(guān)元素(即：應(yīng)用和用戶或組)。這具有顯著的簡化效果。防火墻策略基于端口和IP地址，然后進行后續(xù)分析，理解應(yīng)用要比今天的情況復(fù)雜得多。

　　10.帶有應(yīng)用控制的下一代防火墻要提供相同的吞吐量和性能。

　　業(yè)務(wù)情況：許多企業(yè)要在性能與安保的糾結(jié)中做出妥協(xié)。在網(wǎng)絡(luò)中過于頻繁地增加安全功能，意味著降低吞吐量和性能。如果用戶的下一代防火墻建立了正確的方法，這種妥協(xié)是不必要的。

　　要求：架構(gòu)的重要性是顯而易見的 – 用不同的方式 。一個基于端口的防火墻結(jié)合不同技術(shù)來源的安全功能通常意味著冗余的網(wǎng)絡(luò)層、掃描引擎和策略 -- 這轉(zhuǎn)變成了性能不佳。從軟件角度來看，防火墻的設(shè)計必須從一開始就要防止這一點。此外，對計算密集型任務(wù)的要求(例如，應(yīng)用識別)在高流量和低延遲下執(zhí)行，要與關(guān)鍵基礎(chǔ)設(shè)施相適應(yīng)，用戶的下一代防火墻要有完成此任務(wù)的硬件設(shè)計 – 意味著要有專用、特殊處理的網(wǎng)絡(luò)、安保(包括SSL終止 - 見第3項)和內(nèi)容掃描。

　　結(jié)論：用戶的下一代防火墻應(yīng)該安全地啟用應(yīng)用。

　　用戶不斷采取新的應(yīng)用和技術(shù) – 同時他們也攜帶了威脅。在一些組織中，阻礙新技術(shù)的采用可能是一種職業(yè)限制舉動。即使不是，應(yīng)用也是員工完成工作和維持生產(chǎn)力利器，還是個人競爭力和專業(yè)水平領(lǐng)先的證明。正因為如此，啟用安全是日益正確的策略立場。但為了安全地啟用這些應(yīng)用和技術(shù)，以及在它們之上業(yè)務(wù)，網(wǎng)絡(luò)安全團隊需要把適當?shù)牟呗月鋵嵉轿唬刂茍?zhí)行它們的功能。這里所描述的十件事情，把必要的控制實施到位是至關(guān)重要的能力 -- 尤其是面對一種富應(yīng)用和多威脅的情景。沒有網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施，以及配合的廣度和深度，安全團隊就不可能為他們的企業(yè)安全地啟用應(yīng)用和管理風險。

（轉(zhuǎn)載）