防火墙已经存在了30年,但它们已经急剧发展到包括了一些功能,这些功能曾经作为独立的设备出售,并引入外部收集的数据,以便更明智地决定哪些网络流量应该允许,哪些流量应该阻止。
现在,在网络防御的生态系统中,只有一个不可或缺的元素,最新版本被称为企业防火墙或下一代防火墙(NGFW),以指示谁应该使用它们,并不断增加功能。
什么是防火墙?
防火墙是一种网络设备,它可以监控进出网络的数据包,并根据定义哪些流量是允许的,哪些流量是不允许的规则来阻止或允许数据包进出网络。
有几种类型的防火墙已经发展多年,变得越来越复杂,并在决定是否应该允许流量通过时考虑更多的参数。防火墙从包过滤器开始,但最新的做更多。
防火墙最初放置在可信网络和不可信网络之间的边界,现在也部署来保护网络的内部部分,例如2020欧洲杯预赛数据中心,从组织网络的其他部分。
它们通常被部署为单个供应商构建的设备,但它们也可以作为虚拟设备购买——客户将软件安装在自己的硬件上。
下面是防火墙的主要类型。
基于代理的防火墙
这些防火墙充当请求数据的最终用户和数据来源之间的网关。主机设备连接到代理,而代理则单独连接到数据源。作为响应,源设备建立到代理的连接,代理建立到主机设备的单独连接。在将数据包传递到目的地址之前,代理可以对它们进行过滤,以实施策略并屏蔽接收方设备的位置,但也可以保护接收方的设备和网络。
基于代理的防火墙的好处是,受到保护的网络之外的机器只能收集有关网络的有限信息,因为它们从来没有直接连接到它。
基于代理的防火墙的主要缺点是,终止传入连接并创建传出连接加上过滤会导致延迟,从而降低性能。反过来,这可以消除跨防火墙使用某些应用程序,因为响应时间变得太慢。
有状态的防火墙
相对于基于代理的防火墙,性能的改进体现在有状态防火墙的形式上,它跟踪有关连接的信息领域,使防火墙没有必要检查每个包。这大大减少了由防火墙引入的延迟。
例如,通过维护连接状态,这些防火墙可以放弃检查传入数据包,它们将这些数据包识别为对已经检查过的合法传出连接的响应。最初的检查确定连接是允许的,通过在其内存中保存该状态,防火墙可以通过属于同一会话的后续流量,而无需检查每个包。
Web应用程序防火墙
Web应用程序防火墙逻辑上位于支持Web应用程序和互联网的服务器之间,保护它们免受特定的HTML攻击,如跨站点脚本编写、SQL注入等。它们可以是基于硬件的,也可以是基于云的,或者它们可以被嵌入到应用程序中,以决定是否应该允许每个试图访问服务器的客户机访问。
下一代防火墙
除了使用连接状态和源地址和目的地址之外,还可以对数据包进行过滤。这就是ngfw发挥作用的地方。它们合并了关于单个应用程序和用户被允许做什么的规则,并混合了从其他技术收集的数据,以便对允许哪些流量和减少哪些流量做出更明智的决定。
例如,某些ngfw执行URL过滤,可以终止SSL (secure sockets layer)和传输层安全(TLS)连接,并支持软件定义广域网(SD-WAN)提高了执行有关连通性的动态SD-WAN决策的效率。
防火墙是不够的
以前由独立设备处理的特性现在被包含在许多ngfw中,包括:
入侵防御系统(IPS)
虽然基本的防火墙技术可以识别并阻止某些类型的网络流量,“诱导多能性”使用更细粒度的安全,如签名跟踪和异常检测,以防止威胁进入网络。一旦平台分离,IPS功能就越来越成为标准的防火墙功能。
深度包检测(DPI)
深度数据包检测是一种包过滤,它不仅查看包从哪里来,从哪里去,并检查它们的内容,例如,显示正在访问的应用程序或正在传输的数据类型。此信息可以使防火墙执行更智能和粒度更细的策略成为可能。DPI可用于阻塞或允许流量,但也限制特定应用程序允许使用的带宽数量。它也可以是保护知识产权或敏感数据不离开安全网络的工具
SSL / TLS终止
ssl加密的流量不受深度包检测的影响,因为其内容无法读取。有些ngfw可以终止SSL通信,检测它,然后创建第二个SSL连接到预期的目的地址。例如,这可以用来防止恶意员工向安全网络外发送专有信息,同时允许合法流量通过。虽然从数据保护的角度来看这是好的,但DPI可能会引起隐私问题。随着传输层安全作为SSL的改进,这种终止和代理也可以应用于TLS。
沙盒
传入的附件或与外部源的通信可能包含恶意代码。使用沙箱,一些ngfw可以隔离这些附件和它们包含的任何代码,并执行它,并查明它是否是恶意的。这个过程的缺点是它会消耗大量的CPU周期,并在通过防火墙的流量中引入明显的延迟。
ngfw还可以添加其他特性。它们可以支持接收其他平台收集的数据,并使用这些数据来做出防火墙决策。例如,如果研究人员发现了一个新的恶意软件签名,防火墙就可以接收该信息,并开始过滤包含该签名的流量。
曾经使用NGFW这个词的高德纳公司(Gartner)现在表示,以前的防火墙已经过时了,他们现在把NGFW简单地称为企业防火墙。
最流行的防火墙供应商
根据最新的Gartner企业防火墙排名,供应商指定的领导者是Checkpoint, Cisco, Fortinet和Palo Alto Networks。Sophos处于领袖象限的边缘,但在执行能力和愿景的完整性方面却很害羞。
根据国际数据公司(IDC)的数据,按产品产生的收入衡量,高德纳的这四家领军企业也名列前茅。IDC表示,去年第一季度,两家公司加起来控制了超过一半的防火墙市场份额。
五年前,高德纳的防火墙领头羊只有Checkpoint和Palo Alto,但在2017年,Fortinet突破了这一瓶颈,2018年,思科也加入了这一行列。
在这些供应商中,高德纳还根据客户对其产品的评价,授予思科、Fortinet和帕洛阿尔托客户选择奖。总的来说,客户评审了17家供应商,共提交了3406条评审,其中2943条是关于排名为领导者的供应商的。
这里没有提到的其他12家供应商包括AhnLab、Barracuda Networks、Forcepoint、GreyHeller、Hillstone Networks、华为、Juniper Networks、New H3C、Sangfor、Sonic Wall、Stormshield和Watchguard。
相比之下,Forrester不仅对许多顶级防火墙供应商进行了排名,还对其设计的名为Zero Trust的框架进行了排名,该框架考虑了供应商提供的所有安全组件以及它们的集成程度。根据其报告《Forrester Wave:零信任扩展(ZTX)生态系统供应商,2018年第四季度》,仅依赖防火墙已成为历史。在这份报告中,Forrester只将排名靠前的两家供应商——帕洛阿尔托(Palo Alto)和赛门铁克(Symantec)。