談到企業的資安防護設備,防火牆可算是使用最久也最常見的一個,但這幾年的資安議題從之前的網頁過濾、行動裝置管理,到近來DLP資料外洩防護和虛擬化安全等,防火牆這個企業通往網路第一道大門的安全設備似乎難再獲得關愛眼神。主要原因在於Firewall這個20年前所設計的網路安全產品已不符合現在的網路需求,因此Gartner在2009年提出了Next-Generation Firewall(以下簡稱NG FW)、中文譯名為次世代防火牆的概稱,用以形容那些從原本只能看到IP、連接埠的第一代防火牆(相對次世代來講),提昇到具備第七層應用程式識別的新型防火牆。
Web 2.0網路應用多元化 資安設備升級次世代
Gartner會在2009年提出這樣的說法,原因在於當時全球正值Web 2.0盛行的風潮,網路社群、部落格等各種網路應用程式普及,傳統單靠IP位址與連接埠做為允許網路存取與否的判斷標準,根本無法管理這些網路應用行為,與伴隨標準80 Port而來的新興威脅。
NG FW次世代防火牆的特色
而具備深層封包檢測能力的IPS設備,雖然能抵擋針對系統或應用程式的已知漏洞攻擊,但卻無法解決網路應用程式的濫用問題,僅能針對這些應用程式進行全面的阻擋封鎖,無法針對其中的特定功能做管控,或是針對不同的使用者群組設定不同的使用規範。因應這些挑戰,Gartner所提到的NG FW需具備下列的特點:
1. 承襲傳統防火牆:具備原來防火牆的所有功能,像是VPN、NAT與基本的靜態檢測與IP阻擋的能力。
2. 整合IPS功能:NG FW具有IPS的深層檢測功能,不僅能偵測到利用已知弱點所發動的網路攻擊,更透過與IPS功能的整合,直接將不斷發送惡意攻擊的網站或IP位址,提供給防火牆做為網路黑白單的依據。
3. 網路應用程式的細部管控:對網路應用程式的控管是NG FW一個相當重要的特色,意指NG FW從原本只能看網路第三、四層(IP、Port)的能力,提昇到第七層的內容檢測,除了用以過濾封包中已知的漏洞攻擊內容外,還能辨識出用戶所使用的網路應用程式為何?且更進一步的進行細部功能與頻寬使用的控管。例如為了方便與國外員工或廠商連絡而開放員工使用即時通訊軟體,不過能關閉檔案寄送的功能,以防止夾帶病毒的附檔傳入,或是員工藉此傳送機密資料。
4. 與外部資源結合:因應網路威脅的多樣化,NG FW要能與其他外部資源連結,例如整合AD的目錄服務以辨識使用者身分,或是來自外部的網路黑白名單,來強化NGFW本身的防護能力。
NG FW與UTM的區別:是「整合」而不是「集合」
勾勒出NGFW的輪廓後,你可能會有的疑問是:和也具備IPS功能的UTM設備相比,NGFW的差異在哪?通常我們稱UTM為集防火牆、防毒、反垃圾郵件、VPN、IPS、網頁過濾等企業常見的網路安全功能於一身的閘道設備,有些廠商甚至強調其UTM是集合業界最知名的各家解決方案所組成(best-of-breed),藉此顯示UTM良好的安全防護效果。
這樣的行銷術語聽起來雖然誘人,但UTM最為人垢病的就是效能問題,在開啟所有功能時效能會明顯降低。最諷刺的就是那些集眾家大成的UTM,正因為將各家廠商的引擎核心放在同一個Box內,所以流經各項檢測功能的網路封包,必須被不同核心重複地拆解重組,以檢視其封包內容是否含有惡意攻擊,並依據policy來加以處理,當然會影響網路效能,這也使得企業會遇到UTM有許多功能卻「中看不中用」的窘況。
而NG FW與UTM的差異在於,NG FW不只是具備IPS功能,重點在NG FW能與IPS的核心進行整合,所以不但能阻擋IPS所發現的惡意封包,更能據此由防火牆將封包來源的網站或IP予以封鎖,徹底阻斷攻擊的源頭,這就是UTM中各個獨立的模組核心所無法做到的,因此NG FW與UTM的不同在於「整合」IPS而不是「集合」。
NG IPS次世代入侵防禦系統
就此看來,對於那些沒有IPS或現有防火牆與IPS需要更新的企業來說,NG FW似乎是個值得考慮的選項。但偏偏Gartner在2011年10月又發表一份提到「Next-Generation Network Intrusion Prevention」次世代IPS的報告,裡面同樣提到以往的IPS無法應付企業遇到的安全威脅,因此產生新一代IPS的需求。
因為之前的IPS基本上是倚靠特徵碼來保護針對已知作業系統或應用程式弱點的攻擊行為,但APT這種目標式的進階攻擊則是透過社交工程手法,發送夾帶零時差漏洞檔案的電子郵件,誘使用戶打開附檔文件先植入惡意程式,之後再與外部的控制伺服器取得連繫,以接受其指令進行遠端操控,而原有的IPS對這種利用未知漏洞所發動的攻擊無法有效進行偵測阻檔。
為了因應這類新興的攻擊威脅,Gartner指出新一代IPS除了具有原來IPS功能外,還要強化對第七層網路應用的辨識能力。如同NG FW一樣能看懂更多網路應用程式且予以封鎖或管理,並與企業現有的目錄服務(如AD)整合,能依使用者群組制定不同管理政策,達到更有效的管控效果。
在攻擊偵測能力上,除了原來透過蒐集已知弱點資訊所製成的特徵碼外,IPS防護引擎還要能整合其他資訊,像是前面所提到的應用程式識別、網路信譽評等機制,甚至是能提供流量來源的相關地理位置資訊,做為其判斷檢測的依據,而不再伺限過去以特徵碼為主的偵測方式。另外由於APT常會利用Office或PDF的文件附檔進行攻擊,所以NG IPS也會增強對這類型文件檔案的檢測能力,同時也檢查內部對外的網路通訊連線,以發現APT或Botnet對外部中繼站所產生的命令控制行為。
次世代強調AP管控與身份識別功能 反應現今企業應用的趨勢
介紹完NG FW與NG IPS的特性與差異後(表1),相信對讀者在採購的選擇上會有所幫助。基本上NG FW和之前防火牆一樣,是定位在企業網路入口的第一道防線,相較之下NG IPS則是負責執行更進階深層的網路安全防護。
表1、NG Firewall與NG Network Intrusion Prevention的比較
|
NG Firewall |
NG Network Intrusion Prevention |
| Gartner提出時間點 |
2009年10月 |
2011年10月 |
|
當時面臨的
網路威脅 |
Web 2.0興起,網路社群、部落格等各種網路應用程式不斷出現,傳統以IP、Port為主的防火牆已不足以管理多樣化的應用程式。 |
針對特定目標的APT進階式攻擊威脅,透過社交工程以文件附檔的方式對未知弱點進行攻擊。 |
| 相較前一代產品的區別 |
n 整合IPS功能。
n 應用程式深度管控。
n 使用者身分辨識。
n 結合其他外部資源。 |
n 核心引擎的進化,能結合AD、信譽評等、應用程式識別等方式,加強對網路攻擊的偵測能力。
n 應用程式深度管控。
n 使用者身分識別。 |
| 適用環境 |
要更新防火牆或未部署IPS的企業。 |
n 已部署NG FW
n 現有IPS需要更新或大型企業需要做為另一層的安全防護架構。 |
資料來源:《資安人》整理,2012/10。
不過兩者同樣強調對應用程式管控與使用者身分識別的能力,這反應了在網路雲端化與BYOD應用趨勢下,企業很難再用以往網路閘道上的阻攔或開放這種簡單二分法的方式來管理,而需要做到對單獨功能的開放與管制,以及結合使用者群組做出更具彈性的安全政策制定。對使用者身分識別的強調,則是因應現今企業網際邊界日益模糊的現況,以往用電腦IP做為管理標的方式已不足夠,企業需要更進一步知道是誰透過什麼應用程式在存取內部資源,才能做好管控的工作。
採購評估著重產品未來性 而非「次世代」的行銷用語
就此看來,對於要更換防火牆或沒有IPS的企業來說,NG FW當然較為適合;如果是已有IPS或NG FW的企業,自然就適合部署NG IPS做為另一層的安全防護,尤其是對一些大型企業來說,這也是比較常見的網路防禦架構。至於網路處理效能與價格預算這類採購的基本考量就不再贅述,以下將把評估的重點放在產品功能與企業需求上。
其實讀者大可把「次世代」當作一個相較原本產品的形容詞,甚至說它是一個市場行銷術語也不為過。本文之所以採用Gartner的說法,是為了方便將兩者做一個比較,而不是一種強制性的定義,甚至連防火牆廠商也不一定都認同Next-Generation這樣的說法,認為反而會造成使用者的混淆,所以在此我們建議讀者應把檢視的重點放在產品功能上,而不是名稱有無「Next Generation」的字眼。
在產品的評估上,除了考量是否符合現今的企業環境外,還要考量未來的使用需求,這包含網路架構與企業營運方式的改變。在網路架構上,當企業虛擬化應用愈加普遍時,你的防火牆是否能支援虛擬環境?走入網路雲端後,防火牆是否能支援雲端環境下霎時大量湧入新增連線的需求?
企業在採購評估網路安全設備時,除了考量是否符合現今的企業環境外,還要考量未來的使用需求,這包含網路架構與企業營運方式的改變。
至於企業營運方式的改變指的是,例如貴公司目前不允許員工使用Facebook這類的社群網站,所以網管人員大可直接將其整個網域列在黑名單中禁止員工瀏覽,但如果未來公司因為市場行銷而必須經營社群網站時,你可能就需要利用使用者辨識功能,僅讓相關的行銷人員瀏覽登入社群網站;或是擔心遭到濫用而禁止使用某些功能(如遊戲…等),這些是未來要考量的地方。
其實Gartner對NG FW和NG IPS特性的敍述中,都有提到要具備未來在功能或效能上昇級的空間。這當然是為了因應網路攻擊手法不斷變化與企業規模擴充的挑戰而來,但就目前資安產品的現況來看並不容易。以往的資安設備為了追求效能的最佳化,往往會設計一些具備特殊功能的硬體加速晶片(ASIC),但在提昇網路處理效能的同時,也限縮了設備未來昇級的空間,因為資安設備不論在效能或功能上的增加,都意謂著對硬體資源需求的提高,所以有些資安防護功能需要搭配專屬硬體才能執行,像Juniper Networks就是利用增加硬體模板的方式來為設備進行昇級。
之後防火牆廠商Check Point在2009年發表了所謂軟體刀鋒(Software Blade)的架構,也就是將防火牆、IPS、DLP、身分識別、應用程式控制、URL過濾等防護功能,區分成各自獨立的軟體模組,就像伺服器的刀鋒一樣,要使用什麼功能時,就將這些軟體刀鋒的功能模組安裝在支援的硬體裝置上,這種將軟、硬體分離的做法也更符合未來設備昇級的需要。但對一般中小企業的產品來說,在價格成本的考量下,通常會將裝置的效能盡量發揮,已沒太多的資源空間可供利用;再者不管是硬體或軟體的昇級方式,都必需在一開始的硬體底層或軟體架構的設計上,預留未來昇級的空間才能做到,使得這種未來擴充能力只有在中高階的產品中比較可能看到,而較難在入門低階的產品中實現,成為一種未來理想的趨勢。