下一代防火墙技术
随着网络空间安全对抗日益严峻,传统防火墙的功能局限性越来越明显,特别是在安全功能、安全保证、环境适应性和性能等方面面临着更大的挑战。当前,SOA 和 Web 2.0 应用越来越普及,网络业务大多通过 HTTP/HTTPS 等有限的端口和协议来进行,传统的基于端口/协议的过滤策略的关联性和效率越来越低。深层数据包检查无法有效地识别和阻止应用程序的滥用。新的网络攻防对抗环境对防火墙功能提出了新要求,满足这种要求且兼具传统防火墙功能的防火墙被称为“下一代防火墙”。
1.应用协议访问控制
新一代网络中协议形式多种多样,既包括 HTTP、FTP、TELNET、SSH、SMTP、POP3 等传统应用协议,还包括各种针对各种特殊应用的协议。应该采用应用层协议分析来识别并控制各种应用协议。应用协议访问控制应特别关注基于动态开放端口的应用、基于隧道加密的应用。应用协议访问控制可以针对上述应用,编制相应的拦截规则,还可以通过拒绝无用或恶意流量实现带宽管理,优化网络资源的合理分配。即使采用了 SSL 加密或防火墙躲避技术,下一代防火墙依然可以对其识别。
2. 应用内容访问控制
应用内容访问控制主要是对传输数据包的内容进行监控,可以实现基于 URL 的访问控制,并实现对成人、娱乐、博彩等类型网站的过滤,同时通过添加自定义恶意网站的方式来过滤恶意网站,还可以对特定文件类型进行下载或上传过滤,对 HTTP、FTP、TELNET、SMTP 和POP3 等协议中用来实现服务器和客户端交流的命令也应进行监控。 对于内容的访问控制也有利于敏感信息泄露审查。
3.用户管控
传统防火墙不具备用户识别能力,而新一代防火墙采用各种身份认证方式实现对内网用户的识别和管控。 通过将防火墙与身份认证系统对接,无论有线无线、何地何时,无论使用移动智能终端还是使用普通 PC,只要接入网络,基于用户身份认证的防护策略始终生效,具体方式有基于用户名/密码的本地认证、第三方认证(如 LDAP、Radius 等)、基于用户/用户组的访问控制等。
4.入侵防御
新一代防火墙对入侵防御能力提出了新要求,防御范围包括各类漏洞攻击、扫描行为、恶意软件攻击以及通用服务的口令暴力破解等。防御的漏洞攻击类型涵盖操作系统类、Web 浏览器、Web 服务器、ActiveX 控件、虚拟化平台软件等。防御的扫描行为类型涵盖 IP 地址及端口扫描、网络漏洞等。防御的恶意软件攻击包括僵尸网络、冰河等。新一代防火墙还能够抵御 FTP、TELNET、数据库等通用服务的口令暴力破解。
5.恶意代码防护
恶意代码检测是新一代防火墙提出的新功能,将杀毒软件的部分功能集成进来,可检测的恶意代码包括蠕虫病毒、后门木马、间谍软件等,同时支持对 HTTP、FTP、POP3 等协议携带的恶意代码的拦截。
6.Web 攻击防护
新一代防火墙应集成 Web 应用防火墙的功能,具备 Web 攻击防护的能力,包括 SQL 注入攻击、XSS 攻击等,还可以对常见的 Web 服务器环境入侵脚本工具(Webshell)进行拦截,这些脚本包括 ASP、PHP、JSP、ASPX 等。
7.智能联动
下一代防火墙具有智能联动功能,在入侵防御实现方面,可以采用入侵防护系统(Intrusion Prevention System,IPS)实现联动。比如,入侵防护系统探测到某个 IP 地址持续发送恶意流量,则可以直接跟防火墙的策略生成机制联动,由防火墙自动更新检测规则,由防火墙直接阻止该恶意流量。又如,下一代防火墙可以利用来自域控制器上的用户身份信息,将该用户的权限与访问控制策略绑定,节省 IPS 的资源。
总结提问
传统防火墙和下一代防火墙的区别
内部网络、外部网络与非军事区(DMZ)的概念
传统防火墙技术的基本假设
包过滤防火墙、应用代理防火墙、状态检测防火墙、web应用防火墙的特点和应用场景
防火墙的通用性能指标
针对防火墙的三种攻击模式
