下一代防火墻,即Next Generation Firewall,簡稱NG Firewall,是一款可以全面應對應用層威脅的高性能防火墻。通過深入洞察網絡流量中的用戶、應用和內容,并借助全新的高性能單路徑異構并行處理引擎,NGFW能夠為用戶提供有效的應用層一體化安全防護,幫助用戶安全地開展業務并簡化用戶的網絡安全架構。
屬性:
下一代防火墻需具有下列最低屬性:
·支持在線BITW(線纜中的塊)配置,同時不會干擾網絡運行。
·可作為網絡流量檢測與網絡安全策略執行的平臺,并具有下列最低特性:
1)標準的第一代防火墻功能:具有數據包過濾、網絡地址轉換(NAT)、協議狀態檢查以及VPN功能等。
2)集成式而非托管式網絡入侵防御:支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協作所獲得的性能要遠高于部件的疊加,如:提供推薦防火墻規則,以阻止持續某一載入IPS及有害流量的地址。這就證明,在下一代防火墻中,互相關聯作用的是防火墻而非由操作人員在控制臺制定與執行各種解決方案。高質量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起,如:根據針對注入惡意軟件網站的IPS檢測向防火墻提供推薦阻止的地址。
3)業務識別與全棧可視性:采用非端口與協議vs僅端口、協議與服務的方式,識別應用程序并在應用層執行網絡安全策略。范例中包括允許使用Skype但禁用Skype內部共享或一直阻止GoToMyPC。
4)超級智能的防火墻: 可收集防火墻外的各類信息,用于改進阻止決策,或作為優化阻止規則的基礎。范例中還包括利用目錄集成來強化根據用戶身份實施的阻止或根據地址編制黑名單與白名單。
·支持新信息流與新技術的集成路徑升級,以應對未來出現的各種威脅。
處理流程:
一體化引擎數據包處理流程大致分為以下幾個階段:
數據包入站處理階段
入站主要完成數據包的接收及L2-L4層的數據包解析過程,并且根據解析結果決定是否需要進入防火墻安全策略處理流程,否則該數據包就會被丟棄。在這個過程中還會判斷是否經過VPN數據加密,如果是,則會先進行解密后再做進一步解析。
主引擎處理階段
主引擎處理大致會經歷三個過程:防火墻策略匹配及創建會話、應用識別、內容檢測。
創建會話信息
當數據包進入主引擎后,首先會進行會話查找,看是否存在該數據包相關的會話。如果存在,則會依據已經設定的防火墻策略進行匹配和對應。否則就需要創建會話。具體步驟簡述為:進行轉發相關的信息查找;而后進行NAT相關的策略信息查找;最后進行防火墻的策略查找,檢查策略是否允許。如果允許則按照之前的策略信息建立對應的會話,如果不允許則丟棄該數據包。
應用識別
數據包進行完初始的防火墻安全策略匹配并創建對應會話信息后,會進行應用識別檢測和處理,如果該應用為已經可識別的應用,則對此應用進行識別和標記并直接進入下一個處理流程。如果該應用為未識別應用,則需要進行應用識別子流程,對應用進行特征匹配,協議解碼,行為分析等處理從而標記該應用。應用標記完成后,會查找對應的應用安全策略,如果策略允許則準備下一階段流程;如果策略不允許,則直接丟棄。
內容檢測
主引擎工作的最后一個流程為內容檢測流程,主要是需要對數據包進行深層次的協議解碼、內容解析、模式匹配等操作,實現對數據包內容的完全解析;然后通過查找相對應的內容安全策略進行匹配,最后依據安全策略執行諸如:丟棄、報警、記錄日志等動作。
數據包出站處理階段
當數據包經過內容檢測模塊后,會進入出站處理流程。首先系統會路由等信息查找,然后執行QOS,IP數據包分片的操作,如果該數據走VPN通道的話,還需要通過VPN加密,最后進行數據轉發。
與統一策略的關系
統一策略實際上是通過同一套安全策略將處于不同層級的安全模塊有效地整合在一起,在策略匹配順序及層次上實現系統智能匹配,其主要的目的是為了提供更好的可用性。舉個例子:有些產品HTTP的檢測,URL過濾是通過代理模塊做的,而其他協議的入侵檢測是用另外的引擎。 用戶必須明白這些模塊間的依賴關系,分別做出正確的購置才能達到需要的功能,而統一策略可以有效的解決上述問題。
屬性:
下一代防火墻需具有下列最低屬性:
·支持在線BITW(線纜中的塊)配置,同時不會干擾網絡運行。
·可作為網絡流量檢測與網絡安全策略執行的平臺,并具有下列最低特性:
1)標準的第一代防火墻功能:具有數據包過濾、網絡地址轉換(NAT)、協議狀態檢查以及VPN功能等。
2)集成式而非托管式網絡入侵防御:支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協作所獲得的性能要遠高于部件的疊加,如:提供推薦防火墻規則,以阻止持續某一載入IPS及有害流量的地址。這就證明,在下一代防火墻中,互相關聯作用的是防火墻而非由操作人員在控制臺制定與執行各種解決方案。高質量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起,如:根據針對注入惡意軟件網站的IPS檢測向防火墻提供推薦阻止的地址。
3)業務識別與全棧可視性:采用非端口與協議vs僅端口、協議與服務的方式,識別應用程序并在應用層執行網絡安全策略。范例中包括允許使用Skype但禁用Skype內部共享或一直阻止GoToMyPC。
4)超級智能的防火墻: 可收集防火墻外的各類信息,用于改進阻止決策,或作為優化阻止規則的基礎。范例中還包括利用目錄集成來強化根據用戶身份實施的阻止或根據地址編制黑名單與白名單。
·支持新信息流與新技術的集成路徑升級,以應對未來出現的各種威脅。
處理流程:
一體化引擎數據包處理流程大致分為以下幾個階段:
數據包入站處理階段
入站主要完成數據包的接收及L2-L4層的數據包解析過程,并且根據解析結果決定是否需要進入防火墻安全策略處理流程,否則該數據包就會被丟棄。在這個過程中還會判斷是否經過VPN數據加密,如果是,則會先進行解密后再做進一步解析。
主引擎處理階段
主引擎處理大致會經歷三個過程:防火墻策略匹配及創建會話、應用識別、內容檢測。
創建會話信息
當數據包進入主引擎后,首先會進行會話查找,看是否存在該數據包相關的會話。如果存在,則會依據已經設定的防火墻策略進行匹配和對應。否則就需要創建會話。具體步驟簡述為:進行轉發相關的信息查找;而后進行NAT相關的策略信息查找;最后進行防火墻的策略查找,檢查策略是否允許。如果允許則按照之前的策略信息建立對應的會話,如果不允許則丟棄該數據包。
應用識別
數據包進行完初始的防火墻安全策略匹配并創建對應會話信息后,會進行應用識別檢測和處理,如果該應用為已經可識別的應用,則對此應用進行識別和標記并直接進入下一個處理流程。如果該應用為未識別應用,則需要進行應用識別子流程,對應用進行特征匹配,協議解碼,行為分析等處理從而標記該應用。應用標記完成后,會查找對應的應用安全策略,如果策略允許則準備下一階段流程;如果策略不允許,則直接丟棄。
內容檢測
主引擎工作的最后一個流程為內容檢測流程,主要是需要對數據包進行深層次的協議解碼、內容解析、模式匹配等操作,實現對數據包內容的完全解析;然后通過查找相對應的內容安全策略進行匹配,最后依據安全策略執行諸如:丟棄、報警、記錄日志等動作。
數據包出站處理階段
當數據包經過內容檢測模塊后,會進入出站處理流程。首先系統會路由等信息查找,然后執行QOS,IP數據包分片的操作,如果該數據走VPN通道的話,還需要通過VPN加密,最后進行數據轉發。
與統一策略的關系
統一策略實際上是通過同一套安全策略將處于不同層級的安全模塊有效地整合在一起,在策略匹配順序及層次上實現系統智能匹配,其主要的目的是為了提供更好的可用性。舉個例子:有些產品HTTP的檢測,URL過濾是通過代理模塊做的,而其他協議的入侵檢測是用另外的引擎。 用戶必須明白這些模塊間的依賴關系,分別做出正確的購置才能達到需要的功能,而統一策略可以有效的解決上述問題。
