下一代防火墙的安全目的是为企业网络中的应用提供安全稳妥的运行环境,既要允许必要、合法的应用流量通过,又要能够发现并阻断这些应用流量中存在的威胁,确保安全的启用应用。 为了实现安全启用应用的目的,下一代防火墙应在洞察全局流量的基础上,再实施有针对性的访问控制和安全检测。同时,由于应用环境并非一成不变,下一代防火墙应提供应用风险、情境分析所需的可见性,为持续调整安全策略提供决策依据。因此,下一代防火墙的产品定义可归纳如下: “下一代防火墙(Next-Generation Firewall)”是部署于两个或多个计算机网络间,以应用、用户和内容识别为基本能力,在对网络流量深度可视化的基础上,通过统一策略管理确保在网络间安全启用应用的安全设备。此外,下一代防火墙应提供多维的信息关联,具有风险感知、异常分析和事件回溯功能。 基于以上定义,下一代防火墙产品的概念模型如下: a)用户通过可视化界面了解全网的流量构成,判别与业务相关的应用流量; b)配置用户、应用、内容一体的安全策略,以标识要允许的应用流量以及要对应用传输内容进行的检测; c)安全策略持续、自动的对所启用的应用流量进行深度检测,实时阻断应用流量中携带的威胁,而未被明确允许的应用流量也将被阻断,同时系统将输出告警日志; d)用户通过设备和外部智能系统提供的量化风险指标、流量行为异常等可视化界面持续监控应用风险,并利用分析功能对风险状况进行情境分析,回溯安全事件过程; e)以分析、溯源的结果为决策依据,有针对性调整、调优安全策略。 NGFW产品技术要求 基于以上概念模型分析,下一代防火墙的完整功能框架应包括: 1)基础组网和防护功能 即NAT、路由、VPN和基础的网络攻击防护功能。 2)风险感知和关联分析 下一代防火墙应引入风险视角,向用户提供动态的、可量化的用于描述风险程度的量化指标。同时还应向用户提供可关联的分析面板,将网络中的应用、用户、URL、文件、威胁等多维信息聚合为统一的数据源,并在此基础上执行筛选、钻取等操作,以满足用户进行风险判断时所需的情境分析要求。 3)应用细分识别和控制 下一代防火墙对应用的控制手段必须能够支持白名单模式的访问控制。为了满足最小特权、白名单模式的应用控制,下一代防火墙对可识别的应用应进行多维度的细分,例如,除了基于应用的功能用途外,还应提供基于应用的适用场景、应用的传输方式、应用的安全特性等维度的细分。 4)应用内容识别和控制 下一代防火墙深度集成入侵防御等内容级安全检测引擎,能够防护漏洞利用攻击、恶意软件攻击等应用层威胁,并且能够识别并抵御带有逃逸和混淆的攻击行为。 5)集成外部安全智能 下一代防火墙可与外部安全智能系统联动,包括沙箱、威胁情报、异常行为分析以及终端安全系统等,基于与外部智能系统的数据同步和联动协防,可提升下一代防火墙的威胁判别、风险感知、情境分析和事件回溯的能力。 NGFW性能评价指标 下一代防火墙在全部工况条件下均工作于应用层,应主要关注其对应用流量的处理性能,而通常使用UDP包测得的网络层性能指标并不具有衡量下一代防火墙性能高低的作用,仅适合验证其硬件平台在最理想情况下的处理能力。 测试下一代防火墙对应用流量的处理性能时,其应用识别功能应始终处于激活状态,但部分产品的应用识别引擎在默认情况下并不介入工作,使得实验室测试结果与真实场景下的性能表现相差巨大。一般情况下,可通过配置一条“允许全部可识别应用的策略”,以完全激活设备的应用识别引擎。 通常,用于评价下一代防火墙性能的主要技术指标包括: 1)应用吞吐量 通常使用带有一定大小载荷的HTTP流量作为该项指标的测试流量,验证设备在不同并发会话情况下的最大吞吐量。 2)IPS吞吐量 开启下一代防火墙的IPS功能后,使用带有一定大小载荷的HTTP流量作为该项指标的测试流量,验证设备在不同并发会话情况下的最大吞吐量。 3)HTTP新建连接速率 设备每秒新建HTTP连接的数量的最大值。 4)性能衰减率 用于衡量设备在不同工况条件下性能的可预测性。性能衰减率一般分多个子类,如设备在保持不同数量并发会话时的吞吐量衰减,或设备在开启IPS功能后应用吞吐量的衰减等 |