防火牆(Firewall),也稱防護牆,是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網。當下互聯網時代,無論是大小企業,大部分都會部署有防火牆的設備,但這些防火牆往往並不是都利用得很到位。所以企業對於不同防火牆設備的選擇,如何才能使防火牆可以增強對企業本身的網絡安全防護就至關重要。按目前的趨勢來看,未來的防火牆正在向著可視化、智能化、軟件化三大方向上進行著演進。
防火牆有必要開嗎?
很多人都會問:防火牆有必要開啟嗎?防火牆有必要開!防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等。
防火牆最基本的功能就是控制在計算機網絡中,不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域,而內部網絡是高度信任的區域。以避免安全策略中禁止的一些通信,與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域)和一個內部網絡(一個高信任的區域)。最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。
傳統的防火牆能力大幅滯後
防火牆是一種位於內部網絡與外部網絡之間的網絡安全系統。一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過,來使得確保內部網絡不遭受惡意攻擊。其中傳統的硬件防火牆是指採用狀態檢測機制、集成VPN、支持橋/路由/NAT等工作模式的作用在2-4層的訪問控制設備。
然而隨著互聯網的發展,如今傳統的硬件防火牆已經無法跟上網絡威脅的進化速度。隨著網絡威脅的進化速度非常快,很多企業或是IT團隊在監控流量方面常常無法及時發現威脅。而其中也有一些傳統防火牆背後甚至隱藏著不為人知的“後門”。
但是即便這樣,企業防火牆的的市場規模並未因此遭受到影響,防火牆對於企業還是尤為重視,可見防火牆作為企業網絡防護關鍵組件的重要性。
防火牆正在進行演進的三大方向
1.可視化關鍵
目前簡單的安全規則、端口和協議過濾已無法滿足威脅防禦的需求,由此傳統防火牆已逐步向下一代防火牆演進。而部署下一代防護牆的目的是能夠抵禦諸如WannaCry等集中出現的威脅,不過這些威脅依然能夠爆發至全球規模,拿到訪問權限,並通過公司網絡傳播,顯然就是個大問題了。
引發此類問題凸顯出一個難以接受的事實,那就是下一代防火牆經常單打獨鬥,無法形成集群作戰的效果。因此,部署防火牆的企業通常還需要單獨配置防火牆規則、應用控制、TLS檢驗、沙盒機制、網絡過濾、殺毒和IPS。此外,IT決策者在採購防火牆時還應尋找可提供簡易和可行的可視度的整合系統。
對於企業來說,最有效的系統是能夠識別未知應用和協同工作的同步系統,以便提供對網絡中所有流量的可視化和可控性。
2.智能化保障
雖然下一代防火牆被定義為是一種深度包檢測防火牆,超越了基於端口、協議的檢測和阻斷,更增加了應用層的檢測和入侵防護了。不僅具備傳統防火牆的功能,還具備應對綜合威脅的發現能力、阻斷能力,並不是簡單的功能堆砌和性能疊加,而是從全局視角,幫助用戶解決網絡面臨的實際問題。
但實際上,下一代防火牆卻有下述三方面侷限:
- 以本地規則庫為核心,無法全面檢測已知威脅;
- 缺乏數據智能,無法感知未知威脅;
- 沒有協同防禦機制,依然在用單機的、私有的思路來解決網絡的、公有的威脅。
因此,面對數據及隱藏其中的各種威脅,防火牆不能再孤軍作戰,而是需要藉助AI(人工智能)建立起協同防禦的安全體系,並依託於持續更新的威脅情報的技術能力,持續提升自身提升發現和響應高級威脅的能力,從而在邊界上成為一個智能化的防火牆,為企業對抗各種安全威脅提供更好的防護平臺。
3.軟件化態勢
進入雲計算時代,面對如多租戶混合部署,多應用混合部署,虛擬機(容器)規模體量極大,資源按需分配,邏輯架構與物理架構無關等安全需求。硬件防火牆的效果勢必將捉襟見肘,甚至到無處安放的地步。
然而即便傳統基因的防火牆在雲環境中已無用武之地,但用戶面對APT攻擊、勒索病毒,以及多租戶、多應用的混合部署,都需要雲平臺提供有效的隔離防護才行。因此,可以接駁威脅情報系統和雲端可視化分析,支持雲內虛擬化動態邊界安全防護,更可藉助互聯網安全大數據來準確定位攻擊源頭的軟件定義防火牆成為未來防火牆設備演進的目標。
這就需要顛覆傳統物理隔離網絡架構,在防火牆策略的保護下,使用全網邏輯隔離構建出全新網絡,並對安全區域重新定義劃分,甚至可通過軟件定義出防火牆陣列,來把控企業網絡流量。
隨著網絡的發展,威脅的來臨,防火牆正在向可視化、智能化、軟件化三大方向進行演進,而防火牆在演進過程中也必須集成並具備與其他系統協同工作的能力才能最終強化網絡管控。
閱讀更多 網絡安全焦點 的文章
