您的位置: 网界网 > 评测 > 正文

解惑下一代防火墙

 ————《网络世界》下一代防火墙技术分析公开对比评测

2012年12月04日 17:12:40 | 作者:《网络世界》评测实验室 董培欣 | 来源: | 查看本文手机版

摘要:下一代防火墙与新一代的多功能安全网关有什么区别?随着评测的惑生、惑析、惑明、惑媚逐渐的,我们对下一代防火墙有了更深入的了解,同时在惑评中对如何评估网关应用安全产品进行了一次深入分析。总体上讲,下一代防火墙虽然方兴...

标签
网神
评测
网康
梭子鱼
下一代防火墙
PaloAlto

惑析:南辕北辙中的启示

叠加或裸奔这两种南辕北辙的网络安全设备应用方式,给我们了一个启示:既然用户将网络威胁的安全防护能力作为采用网络安全产品的选择标准,那我们同样也可以从网络威胁安全防护的角度来对下一代防火墙[注]的应用功能进行评测。由此《网络世界》评测实验室正式推出了基于网络威胁安全防护的全新网络安全产品考量方式。大体上可以概括为以下三点:

一、已知威胁高性能

安全是以牺牲效率为代价进行保障的,而效率是可以通过先进技术手段进行提升的。安全而低效必然无法满足企业网络应用的需求。因此网络安全设备在应对已知威胁时必需要具备高性能的网络应用处理能力。

要想满足企业网络安全应用的正常需求,《网络世界》评测实验室目前暂定已知威胁高性能需要在以下两方面得到体现:

1、在网络安全设备各项安全功能模块分别及全部开启时的正常应用处理性能,以测试产品在正常网络应用中的处理能力。

2、在网络安全设备各项安全功能模块分别及全部开启时在处理加载网络攻击或应用阻断后的处理性能,以测试产品在对异常网络流量进行处理时是否会对正常应用造成影响;同时也可以对产品防护能力进行验证性测试。

二、未知威胁主动防御

对已知威胁的防御只是目前企业对网络安全需求的一部分,除了被动的进行网络安全防御之外,企业用户还希望可能对未知的网络安全有更加主动的防御办法。

例如Blue Coat在前一段时间推出的“负日防御”安全引擎,就是通过及时监控黑客构建的恶意网络(僵尸网络)的方法及时洞查黑客动向并进行实时追踪。当有新的零日攻击发生时,即可及时进行阻断的方法,就是一种十分先进的主动防御手段。

当然,还有许多其它的安全防护手段,如防止端口扫描、阻断木马上传以及网页防篡改等安全防护功能也可以对未知威胁起到主动的防御能力。

三、发生威胁不泄密

安全防护的手段再多,有时也难以挡住黑客那无孔不入的黑手。因此,在网络威胁已经发生的情况下,网络安全设备应该具备防止关键数据泄密的防护能力。从而保障用户核心机密的安全。

只有具备了以上三种网络安全防护能力,我们才认为这种网络安全设备可以真正实现对用户网络应用的全面安全防护。

惑明——由PaloAlto产生的转变

没有深入调查研究就没有发言权,这句话确实不假!在没有深入了解几个参测厂商的下一代防火墙之前,笔者一直认为所谓下一代防火墙只是一个网络安全概念的炒作。只是在基于新一代网络安全处理硬件上对旧有安全防护功能的一种集合。这种集合可以算得上是对目前网络安全产品的一种升级。虽然这种升级可以有效的对目前网络威胁进行可靠安全防护,但并不能算得上是跨代,下一代这个说法并不是名副其实。

在收集、整理、评测网络安全厂商所提供的下一代防火墙产品功能及应用性能数据时,我们这一观点开始了转变。最初的转变是由真正了解了PaloAlto的产品功能后开始的。令我们产生这种转变的同样是威胁,PaloAlto下一代防火墙有一个最大的技术特点,就是通过统一的应用及应用威胁分析功能模块对网络正常应用连接进行分析并管理,同时对网络威胁应用的连接进行分析处理,并把威胁应用连接进行阻断!

威胁应用连接阻断,这个功能令作者联想到了很多,网络黑客之所以能够发动大规模的拒绝服务攻击,是因为他们通过威胁应用连接控制了成千上万的电脑;黑客窃取用户信息是因为威胁应用连接对用户主机的接入。断掉了这些威胁应用连接,黑客将再无所做为!对这些威胁应用连接进行追踪,黑客将无所遁形!

如果说控制网络连接端口,对用户网络进行安全防护的是第一代防火墙,控制用户应用连接,对用户网络应用进行安全防护就当之无愧的可以称之为“下一代”防火墙了!

然而下一代防火墙的魅力还不仅限于此。由于利用统一应用及应用威胁分析功能模块对网络中的数据流进行分析,然后通过调用不同的管理功能数据库对信息进行相应管理,在应用处理效率上,自然比常规多功能网关安全产品分别利用多种功能模块进行网络及应用层分析并对威胁进行处理的方式。

梭子鱼下一代防火墙产品的“飞扬”内核为例:在“飞扬”内核中既采用了状态防火墙技术对网络层攻击进行防护,也采用应用层的代理技术进行内容扫描,并可以利用带宽管理和VPN隧道选择。这就意味着通过一个网络管理控制引擎实现以往防火墙、IPS、带宽管理和VPN这多种网络安全防护模块的应用需求。因此在后面的网络应用性能分析中,梭子鱼表现出了令人惊异的性能体现。

同样在网康网神的下一代防火墙中,也已经采用了同类的应用及应用威胁统一分析处理机制对网络应用数据进行统一分析后,通过一次数据包拆分,并行处理数据内容,将威胁、应用、流量已可视化、智能化体现给用户,使用户能够快速定位问题因此,下一代防火墙不仅具备高性能、高稳定性,同时具备较强的安全防御能力与内网自动化管理功能。只不过各厂商产品在功能的细微处的处理方面还有所不同而已。

惑媚——下一代防火墙功能分析

那么下一代防火墙是否可以更加有效的对网络应用威胁进行安全防护呢?为此我们通过前面总结出的网络威胁三方面安全防护能力,对PaloAlto的下一代防火墙功能进行了分析。由于在本次横向评测中,始终未协调到PaloAlto防火墙进行应用性能评测,只能在友好协作厂商的协助下,对PaloAlto的产品功能做了一次较细致的评估。

已知威胁

在对PaloAlto下一代防火墙功能评估中我们了解到,PaloAlto在下一代防火墙的功能设计中,通过对用户网络应用连接的深度分析这一种功能模块,即可实现用户认证、正常应用网络连接、应用流量的管理控制,同时还可以实现对网络威胁连接及异常流量分析阻断。

由此可知,PaloAlto下一代防火墙成功的通过一个网络应用处理功能模块,将通常传统防火墙或多功能安全网关中有关用户认证、应用流量管理、IPS乃至于DDoS[注]攻击防护等多种功能模块统一的融合在了一起。

图1:PaloAlto应用威胁统计界面

很明显,通过一个网络应用处理模块对多种安全防护功能统一处理,在网络应用处理效率上,会优于目前常见的多功能网关采用多种不同安全防护模块协调处理的方式。这种优势自然可以给PaloAlto下一代防火墙带来已知威胁高性能的处理能力。

未知威胁

网络威胁无孔不入,时刻都有新的网络漏洞被发现被利用!对于下一代防火墙来讲对网络中的未知威胁是否同样也是无力抵抗呢?在对PaloAlto下一代防火墙的功能调研中未发现类似Blue Coat“负日防御”之类的主动防御功能存在,不过在我们接触到的另一款下一代防火墙产品——网康下一代防火墙中,已经加入了基于云的URL过滤功能,这种功能与“负日防御”有异曲同工之效,同样可以积极主动的对未知威胁进行安全防护。并且在PaloAlto下一代防火墙的网络应用连接分析这一功能也可以对存在威胁的网络连接进行终断。因此可以在黑客进行攻击初期的端口扫描阶段就将扫描连接请求终断、在即便木马已通过新的漏洞成功上传,由于大部分木马应用连接特征已被加入下一代防火墙的威胁连接特征库,因此木马的控制连接也无法建立,从而实现了主动防御的目的。

图2:PaloAlto统计详细内容界面

此外PaloAlto下一代防火墙看采用的应用及应用威胁“可视化”监控统计界面也可以时实向用户展示出当前网络中各种应用的使用状况,使用户可及时查觉网络中的异常情况。

图3:PaloAlto统计界面

发生威胁

然而总会有网络威胁会通过种种手段绕过防火墙的围困。当这个时候,我们是否就只能任凭黑客为所欲为?原本我们也认为PaloAlto的下一代防火墙确实无力对这种情况进行应对。然而在对PaloAlto的策略配置分析时,我们找到了对发生威胁的防护手段。

图4:PaloAlto策略配置

PaloAlto下一代防火墙的策略设置中,可以对源、目的、用户、应用、服务、动作进行限制。因此,在策略设置严密的下一代防火墙面前,即便黑客成功的用未知漏洞或其他手段攻入了用户网络,也会因为缺乏相应的控制权限而止步于此。从而确保了在发生威胁时网络核心数据的安全。

通过以上分析我们可以了解,PaloAlto下一代防火墙从网络应用角度上讲,确实可以为我们提供比较全面的网络安全防护功能。然而网络安全防护功能好不好用、管不管用,看厂商的技术水平;恰当的应用、发挥出全部的防护功能,还要看用户如何去正确使用。当然有时需要厂商的大加技术支持,这就是考验厂商技术服务实力的时候了。

1 23456

参考资料

1.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

2.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:董培欣 dong_peixin@cnw.com.cn]