一种下一代防火墙系统设计
2019-04-26唐宏斌覃晓宁
文/唐宏斌 覃晓宁
随着以WEB2.0为代表的网络时代的到来,互联网进入了以论坛、博客、社交、视频、P2P分享等应用为代表的下一代互联网时代,越来越多的应用呈现出WEB化。传统的防火墙的基本原理是根据五元组,包括IP地址、端口号或协议标识符等来检测网络流量,对中标的数据包执行相应的策略。针对WEB2.0应用,传统防火墙无法有效区分各种应用程序。传统防火墙无法鉴别和防护应用层攻击手段。 同时,以窃取企业核心数据为目的的APT攻击逐渐增多,传统防火墙被动防御已经无法应对日益严峻的网络安全风险。
为了解决传统防火墙的不足,本文设计了下一代防火墙系统,该系统覆盖一代墙的所有功能且满足了Gartner定义的下一代防火墙的功能要求。
1 下一代防火墙功能架构
Gartner将下一代防火墙定义为在不同信任级别的网络之间实时执行网络安全策略的联机控制,其应该具有以下属性:
首先,在不影响网络运行之下支持内嵌的bump-in-the-wire配置;
其次,作为网络流监测和网络安全策略执行平台,应至少具有以下特性:
(1)具有标准的一代防火墙功能;
(2)具有集成而非仅仅堆砌的网络入侵防御系统;
(3)应用感知和全栈可见性;
(4)超级智能防火墙。
针对上述需求,本文设计了一种下一代防火墙系统,该系统的功能架构如图 1所示。
1.1 高性能基础平台
基础平台采用了多核并发技术,使并发处理数据包无需排队等待;一体化安全引擎技术,统一对数据包进行基础解析,避免每个功能模块重复解析数据包;零拷贝技术,数据面与控制面共享内存,避免同步时的数据拷贝动作;三种技术结合使第二代防火墙性能较传统墙有极大提升,可获得极高吞吐量。
1.2 基本功能
二代墙覆盖了一代墙的基本功能,包过滤、网络地址转换、身份认证、防DDoS攻击、VPN、流量控制、地址绑定、内容检测过滤、上网行为管理、Web应用防护、木马防护、入侵防御、恶意代码防护、僵尸网络检测、支持802.1Q VLAN Trunk协议、监控与审计、日志审计、双机热备等基本功能。
1.3 智能分析
图1:下一代防火墙功能架构图
平台支持精细化上网行为管控,采用基于机器学习的流量异常检测和行为异常检测,综合使用端口识别、关联识别、DPI识别、DFI识别几种技术,抽丝剥茧逐步解析流经设备的网络数据,从而达到对应用的精准识别。
1.4 主动防御
平台提供虚拟网络服务,主动追踪黑客轨迹;支持对应用的精确识别,感知网络安全态势,智能调整安全策略达到主动防御的目的;同时集成DOS防御、用户认证、应用控制、入侵防御、站点分类过滤、病毒过滤、Web应用防御、数据防泄密等多种安全防御手段为用户提供集成式的多方位的安全防护。
1.5 智能防御与对抗
本平台搭载最新的AI威胁检测引擎,能够识别恶意代码变种、未知威胁等特征匹配模式无法识别的高级威胁,不再特征库规则匹配,而是通过机器学习模型判定安全威胁,能够识别变种木马,检测未知威胁攻击和预防零日攻击等。
2 关键技术路线
2.1 过滤技术
包过滤是防火墙所要实现的基本功能,现在的防火墙已经由最初的地址、端口判定控制,发展到判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。尤其是状态监测技术,在不影响网络正常工作的前提下,模块在网络层截取数据包,继而在所有的协议层上提取相关状态信息,据此判断该数据包是否符合安全策略。过滤技术包括包过滤防火墙、应用层防火墙和混合型防火墙,本平台采用混合型防火墙技术。
2.2 防DDoS攻击技术
DoS(Denial of Service) 和DDoS(Distributed Denial of Service)是近年来黑客最常用的也是最难防御的攻击模式,DDoS攻击主要包括Syn f lood、Land-based、Teardrop attack、Ping of Death、Smurf attack、Ping sweep、Ping flood等几种类型。本平台采用 “零积累智能识别”技术,不但能有处理各种SYN攻击包,而且彻底解决了积累问题。
2.3 Web应用防火墙技术
防火墙的Web应用防护模块,应用了先进的多维防护体系,对Web应用渗透攻击形成一套专用特征规则库,对时下主要的Web渗透攻击实现了有效的防范,可防范的攻击类型包括SQL注入攻击、跨站脚本攻击、冲区溢出、遍历目录、信息泄露、DDoS攻击等。
2.4 虚拟防火墙技术
本平台具备虚拟防火墙功能,一台物理防火墙在逻辑上可虚拟出多个虚拟防火墙,每台虚拟防火墙都是独立的虚拟设备,有独立的管理系统,能够实现防火墙基础路由功能、访问控制功能、安全防护功能和审计管控功能。每个虚拟防火墙之间不能直接通信,有独立的管理系统、管理员账号、安全策略、审计日志、安全域等,可以分配独立的物理接口或者逻辑接口。
2.5 AI威胁检测引擎技术
本平台搭载最新的AI威胁检测引擎,能够识别恶意代码变种、未知威胁等特征匹配模式无法识别的高级威胁。平台可采用千万级样本库对模型进行训练,同时不断从全网收集最新的威胁样本用于模型的训练,为设备提供模型更新服务。
3 结论
进入以WEB 2.0为代表的网络时代的到来,传统防火墙在防护功能上已经心有余而力不足。本文设计了一种下一代防火墙系统,系统基于高性能基础平台,覆盖了一代墙的功能,并提供入侵防御功能、Web应用防火墙功能,具有策略自动演进的内核和人工智能监测大脑,既满足了传统防御,也能针对APT等高级攻击类型进行防御。
