博文配套免费教学录像位置:http://edu.51cto.com/course/course_id-5321.html
1.1 现代化网络中常见网络安全设备
1.1.1防火墙、如何弥补防火墙与生俱来的缺点、关于防火墙的特性及注意事项:
1.1.2IDS/IPS(入侵检测与防御系统)
早期根据对实时主动检测系统的部署位置去区分IDS和IPS
现今的IDS和IPS都具备防御能力,依据理由
为什么笔者要在防火墙的书中花篇幅去描述入侵检测及入侵防御系统?
1.1.3上网行为管理与审计
使用上网行为管理设备的主要理由:
提问:上网行为管理与防火墙的实质区别是什么?
提问:上网行为管理与IDS/IPS都需要渗透到应用层做检测,哪么它们的实质区别是什么?
1.1.4×××网关
1.1.5防毒墙提问:防毒墙与IDS/IPS的区别在哪里?
1.1.6URL过滤系统、URL过滤系统的发展及当前的形式:
1.1.7Unified Threat Management(统一风险管理)
UTM的优势、UTM的缺点:
关于UTM处理能力分散,性能和稳定性的问题分析:
UTM过渡的集中化的安全防御会带来一些问题:
1.1.8关于防火墙发展的趋势及下一代防火墙(NGFW)
通过引擎的识别方式与性能来理解NGFW的特性:
通过硬件架构的先进性来识别NGFW的特性
1.1.9鉴评:防火墙、UTM、下一代防火墙(NGFW)之间的关联和区别
1.2 虚拟化防火墙及其体现形式
1.2.2一实体防火墙规划为多个逻辑防火墙的虚拟化
1.2.3用使用SDN定义防火墙的虚拟化
1.1 现代化网络中常见网络安全设备
一个成熟的、稳定的、健壮的网络安全边界应该至少包括:防火墙、入侵检测或入侵防御系统、上网行为审计与管理系统、×××网关、防毒墙、URL过滤系统等。下面将分别描述这些安全系统的特点、发展至今的演变和未来的趋势。
1.1.1防火墙
防火墙(firewall)是一种将信任网络(一般指用户内部网络)与非信任网络(一般指用户无法控制风险威胁的外部网络或者Internet)进行隔离防护的安全设备如图1.1所示。然后它遵守被管理员特定申明的数据通信允许进入被保护的网络区域。事实上,不难看出防火墙在信任网络和非信任网络之间树起了一道保护屏障,这就意味着入侵者要达到内部网络的计算机或者服务器上,就必须首先经过防火墙的检查。这就是防火墙“始于防,而忠于守”的体现。也充分说明防火墙是企业网络的第一道防线,它在网络安全中拥有不可替代的位置。
但是仅凭借安全规则的防火墙来防御当今网络世界各种纷繁的应用,不可预知的各种风险和攻击,这将显得太勉为其难,比如常规的对应用层识别并执行安全拦截这将是一个难题,什么意思呢?如图1.2所示,常规的防火墙将把80号端口HTTP看作是一项服务,如果在防火墙上拒绝了80号端口,整个HTTP应用将被丢弃,而往往现今Web2.0的时代,很多应用将被封装到HTTP载荷中,比如:MP3的下载、图片、甚至是电影或者其它类型的文件。这就意味着防火墙很难对应用层的负载进行识别,它的过滤粒度很粗糙,无法完全的渗透到应用层载荷中。
如何弥补防火墙与生俱来的缺点:
而面对这个问题,网络界正在从两个方向上努力来弥补防火墙的缺陷,这两个方向分别是:一、使用其它的网络渗透检测设备比如IDS/IPS、上网行为管理、防毒墙弥补防火墙的不足,对数据包执行更渗透的检测;二、在最节省能耗的前提下,加强防火墙自身对应用层深度检测的能力,比如产生下一代防火墙(NGFW)。而这两个方向又历经不同的阶段,同时他们在某个时期是存在交集的,关于这一切在后面的小节有更多的描述。
关于防火墙的特性及注意事项:
1、从管理和执行特性上来讲,防火墙是一种首先应安全需求而生的设备,而非仅为通信而存在,所以它和常规的路由器、三层交换机的差别在于,防火墙默认行为是不允许任何流量穿越自身而进入另一个网络的,需要管理员启动明确的条规来申明,所以即便是你把防火墙的IP地址及链路都配置正确了,如果没有安全策略,将还是无法通信,路由器和三层交换机则不然,它们默认配置正确就可以通信,所以用户在管理和配置防火墙是会比路由器和三层交换机更复杂,对的,是这样,请记住:“你希望网络安全就需要牺牲一部分管理的方便性,你希望极为方便的网络管理就要牺牲安全性,这是安全和管理永远存在的博弈.
2、当然任何厂商的防火墙上也提供了使用指令来改变防火墙默认拒绝一切行为的方式,但是笔者强烈建议不要这样做,这是一种违背安全设计原则的行为。
3、由于防火墙设备的不断演变,特别是下一代防火墙的产生,事实上NGFW已经能够以高性能的方式来识别到应用层封装中,关于这一点,在本章描述下一代防火墙时会有更多说明。
1.1.2 IDS/IPS(入侵检测与防御系统)
入侵检测与防御系统是一种针对防火墙控制粒度太粗,无法渗透到应用层的载荷进行检测的一种深度检测(又叫渗透检测)设备如图所示,从某种程度上讲入侵检测系统可以弥补防火墙的不足,实现实时检测与主动防御,但是正是由于它的渗透检测特性,需要读取应用层载荷中的内容,所以入侵检测系统的性能开销较大,有时候面对突发而来的高压力流量,它只能通过Bypass(旁路-直接让数据通过),放弃检测来解决性能问题,所以说很多时候安全设备的优点和缺点随时共舞而存,甚至于极端的讲“可以是优点暴露了缺点”。
注意:笔者提笔于此处时,暂不论是入侵检测(IDS)与入侵防御(IPS)现在笔者暂时都给他统称为“实时主动检测系统”为什么呢?因为现在随着安全产品的先进性和互容性,再加上发展的年代差异。入侵检测(IDS)和入侵防御(IPS)的界线越来越模糊,但是再模糊,也应该去区别它们,因为这对于实践安全项目中的设计非常有帮助!
早期根据对实时主动检测系统的部署位置去区分IDS和IPS
最早的实时主动检测系统有如图所示的两种部署架构,一种叫杂合模式,如图所示的左边部分,一种叫在线模式如图所示的右边部分,注意观察设备处于风险路径的位置,这两种模式的区别在于杂合模式下实时主动检测设备没有部署在可能存在的风险的路径之上,而是通过在交换设备上实现端口镜像技术将风险路径上的流量镜像到实时检测系统上做分析,这样实时检测系统当然就能渗透分析出风险及威胁所有,并产生告警,但是由于它没有处于风险路径之上,在哪个特定的年代,它是不能对发生的风险行为作防御的,所以管这种部署的实时检测系统叫入侵检测系统(IDS),所以才会有后人对IDS的一个定义:是只检测,不能自动作防御处理。
如图所示的右边部分,将实时检测系统部署在风险路径之上,这样所有潜在的风险流量都要经过实时检测系统,那么当发现风险时,由于设备在路径之上,当然就能快速的做出防御措施。所以在早期管这样的一种部署架构为叫入侵防御系统(IPS)。
现今的IDS和IPS都具备防御能力,依据理由
上述描述了对实时检测系统早期的分类(IDS和IPS),IDS是无法自动做出防御响应的,IPS则可以。但是现今的IDS和IPS都具备自动做出防御响应的能力,传统对IDS和IPS的定义和区别将仅以部署架构的形式,存在于当今的统一风险管理概念中,为什么呢?早期对传统IDS和IPS分类和规划,已经不能满足和应对,当前互联网越来越繁杂的安全需求,不能再采取一种“头痛治头,脚痛医脚”的态度来应对。在传统安全的概念中,任何一个安全设备包括IPS都以安全“孤岛”的形式体现,这意味着,它只能防御它所在路径位置的风险,不能将多个安全设备进行“联动”。那什么又是“联动”,联动的意义在于多个安全设备可以协同工作,并且彼此都具备相应程度的防御能力,如图所示在风险路径1和2上,主动检测系统2因为处于风险路径之上,所以可以直接渗透检测并防御风险路径1和2上的入侵行为;相反主动检测系统1未处于风险路径1之上,但是由于整体防御和联动概念的产生,所以当主动检测系统1检测出存在风险时,可以下发指令请求路由器和防火墙协同防御。所以此时的主动检测系统1事实上也具备了IPS的功能,因为当今安全设备的联动能力破除了传统安全对IDS和IPS的D(检测)和P(防御)的保守定义。所以在当今强调网络统一安全协同防御的时代,我们最好将IDS和IPS统一的称作主动检测系统。进一步讲就是这个传感器既可以作IDS也可以作IPS,而且它们都具备主动防御能力,而不是以单纯的名称去识别谁做检测,谁做防御!
为什么笔者要在防火墙的书中花篇幅去描述入侵检测及入侵防御系统?
因为当今的防火墙已经不再停留于大家对先前对它的认识了,特别是下一代的防火墙(NGFW),它们已经具备了对应用层进行深度识别的能力,而由于芯片技术及处理能力日异月新的提升。如果,笔者不对各种安全设备的发展及演进过程做一个大概的描述。这将导致读者在本书的后期很难从实质上去区分:下一代防火墙与入侵检测及防御系统、包括后面即将要描述的防毒墙、UTM等安全设备的核心差异在哪里,就会误把NGFW当成是防火墙与IPS做了一个简单功能能叠加。而且现今所有的高级防火墙都可以完成安全联动这个概念,所以笔者在此处埋下伏笔方便后面的章节来描述防火墙与安全联动的配置。
1.1.3上网行为管理与审计
上网行为管理与审计主要是针对现今企业网络访问Internet的一种行为规范和对访问Internet行为执行监管的一种设备,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。其实总结上网行为管理设备的核心作用就是:行为和流量管理、应用与信息监控。它应如下问题而生:
使用上网行为管理设备的主要理由:
一、解决企业员工上班时间滥用Internet、QQ、炒股、网购、访问非法网站。
二、由于流量被违规用户占用,无论怎么加WAN带宽,正常业务都觉得慢。
三、希望统计分析员工在工作时间使用Internet的情况。
四、对使用Internet的准入行为进行控制。
五、对垃圾邮件和即时通信内容进行过滤。
提问:上网行为管理与防火墙的实质区别是什么?
防火墙主要用于防御从外部世界进入内部世界(安全区域)违反安全策略的行为,而上网行为管理设备主要是监管内部用户使用Internet的行为及信息,它们的实施对象和管控范围是完全不一样的。它们之间确实存在着部分功能上的交集,但只是一部分较小的交集。但是请注意:在现今的安全世界中,UTM和下一代防火墙将集成上网行为管理。关于这一点后述有更详细的描述。
提问:上网行为管理与IDS/IPS都需要渗透到应用层做检测,哪么它们的实质区别是什么?
首先,一般情况下,上网行为管理与IDS/IPS确实存在较大的交集,比如:它们都要执行基于应用层的检测,它们对内部用户的私隐都有少许侵害,都是针对内部网络做检测,都能发现一些安全违规行为,但是侧重点确不一样,IDS/IPS主要侧重于带有主动入侵行为的分析,而上网行为管理则是针对使用习惯和规范上对行管控,如果需要更直白讲它们的差异,将是这样:IDS/IPS主要是防御代码风险属于高技术类违规现象;上网行为管理主要是结合企业行政规则控制人,属于人性及使用习惯违规现象。而往往很多网络风险是因为人和使用习惯所造成的。
1.1.4 ×××网关
这里所指的×××网关是指基于完成多种类型虚拟专用网络(×××)连接的硬件设备,以达到高性能和高速度来完成×××连接的效果。其实很多软件或者防火墙都能实现×××接入,为什么还要硬件×××网关?实施×××技术在加密和解密数据时是非常消耗性能的,特别是加密的强度越高,性能开销就越高,硬件×××网关就是将加解密的过程通过专来的硬件加密卡来完成,达到高性能低开销的目标,同时还在×××网关上集成了广泛的特性,以达到专业治理×××的效果。
1.1.5防毒墙
防毒墙是一种查杀病毒的硬件设备,被用于查杀从外部世界进入安全区域的病毒,很多用户可能有这样的认识:“我在企业网络中已经部署了网络版的杀毒软件并配合防火墙一起工作,应该可以很高效的保证网络安全,为什么还要配置防毒墙?”防火墙对数据报文的渗透检测能力是有限的,而单机版和网络版的杀毒软件能有效的查杀控制企业网络内部的病毒,但是对可能即时发生的从Internet上感染到企业网络内部的病毒缺有些力不从心。而防毒墙正是一种防止从Internet感染病毒至内部网络的安全设备。
提问:防毒墙与IDS/IPS的区别在哪里?
其实这两个设备具备很多的交集,即便是部分防毒墙的厂商不认可这种说法。但事实上它的确如此,它们都对进入内部世界的流量进行渗透检测。如果必须要给他们区分一个界线,那就只能说IDS/IPS是针对入侵的一列系行为进行防御,而防毒墙是针对病毒的防御,但是又不得不说,入侵的系列行为与病毒行为本身就有很大的交集,有时候,入侵行为中有病毒,同样病毒中是也包含入侵行为,所以当前很多厂商都把IDS/IPS和防毒墙进行了集成,使其一个硬件机体,同时具备两种功能。
1.1.6 URL过滤系统
早期URL过滤系统事际上是属于Web过滤系统中的一种,它的主要功能是用于控制内部世界访问Internet的行为,让用户只能访问合适、合法的站点。如图所示,可以看出内部世界的主机企图访问某个URL链接时,需要将URL的请求发送到URL的过滤服务器,由服务器通过比对自身数据库的规则决定是否允许通过,如果允许则进行正常的URL目标连接,如果不允许别丢弃请求或者重定向到指定的URL。
URL过滤系统的发展及当前的形式:
URL过滤这种行为的性能和扩展性都很差,原因是URL过滤也需要渗透解读用户数据,同时要实现URL过滤还需要在用户主机上申明代理服务器(URL过滤系统)的位置,当然发展到后期,可以在用户所处子网的路由器上去统一申明代理服务器,但是无论如何独立行运URL过滤系统的时代必将终结。URL过滤被集成到防火墙或者上网行为管理设备是大势所趋。
1.1.7Unified Threat Management(统一风险管理)
前面描述了安全领域的各种核心安全设备及其功能,后来当网络安全发展到一个新的时期时,各个安全厂商根据自身的核心业务,开始做一些事情比如:有些防火墙生产商不断的加强防火墙的应用层识别功能,确实在那个特点的年代,有些高级防火墙具备了部分或者叫有限的应用层识别能力,并把×××功能集成到防火墙上。有些厂商把防毒墙(AV)和IDS、IPS进行了集成、有些厂商把URL过滤功能集成了自己的防火墙或者上网行为管理设备上,总之在那个特点的年代,各个安全厂商有点各自为政、不断在安全设备上做功能叠加的味道。直到这种趋势发展到一定时候,人们发现与期这样做不完整安全功能的叠加,不如把安全领域中的典型应用:包括防火墙、IDS/IPS、防毒墙、URL过滤系统、×××网关全面的叠加在一起,形成一种Unified ThreatManagement管理的概念,那么就叫这种多功能叠加在一起的设备叫UTM网关。
UTM(UnifiedThreat Management)如图所示,可以很明显的看出它是把前面所描述安全设备的功能进行了叠加,这就使其一个机箱可以完成原本多个设备才能完成的工作,顾得名统一风险管理也叫集中式风险管理。那么UTM的优势和缺点分别是什么?是理解UTM部署的关键。
UTM的优势:
ü 在网络边界统一了风险管理,解放了机架空间(一个设备可替代多个设备)。
ü 从某种程度上讲节省了用户在安全边界上的整体投入成本。
ü 基本能满足2-7层的防御,传统的防火墙能满足2-4层的防御。
ü 降低了管理员的安全工作的技术与维护成本。
UTM的缺点:
ü 处理能力分散,性能和稳定性对于UTM是一种挑战
ü UTM过渡集中的安全防御会带来一些问题。
优势很明显,缺点也很突出,那么现在我们就重点来讨论它的缺点,这为读者弄明白为什么要产生下一代的防火墙打下基础。下面来分析传统UTM面对的问题。
关于UTM处理能力分散,性能和稳定性的问题分析:
首先传统的UTM的内核引擎是基于路由引擎所构造的,然后其它的功能模式(比如:IPS、AV、URL、上网行为管理)是叠加或者叫插入到路由引擎上,这样进入UTM的数据必须要经过路由引擎才能进入各个安全模式。如图所示。在这种情况下UTM的处理能力将被分散,暴除出传统UTM的致命缺陷,什么意思?这意味着传统的UTM对数据包的深度检测采取的是一种串行方式,再具体点讲安全设备要执行渗透检测,肯定是需要对数据包进行识别,先得知道它属于那种应用,然后再进行解包(也叫解码),事实上就是分解数据包的报头和数据载荷及行为。为什么要分解,因为只有分解后,才能送给IPS、AV等模块做渗透检测。而串行方式处理就是说,数据包在进入不同安全模块时,要分别执行多次解码,不能达到“一次识别,并行处理”的效果,这对于设备的性能消耗很大。特别是当管理员启动UTM上的所有的安全模块时,负荷相当大。关于如何弥补这个问题在NGWF中描述。
UTM过渡的集中化的安全防御会带来一些问题:
UTM的过滤的集中化安全防御,将导致单一风险问题,因为UTM是集成了典型的安全功能模块在一个机箱内,如果该机箱出现故障,那么所有的安全功能将丧失。更假设故障的UTM原本是设置在企业的入口的,那么企业网络将丢失所有防御能力,这是毫无疑问的。所以在安全世界里面没有一种办法是绝对完善的,永远都是在做博弈。另外就即便UTM不故障,那么它多数据情况也只能用于防御外部世界的风险,对于内部网络的风险将险得有些无能为力,非险你有充裕的资金在企业网络内部多处实施UTM。所以在更多的情况下笔者建议将UTM和哪些传统的独立的安全设备协同使用,来防御安全风险的同时让已经存在的资产使用更充分。
注意:UTM并不是下一代防火墙(NGWF),但它是NGFW的雏形!为什么这样讲,那么NGFW与UTM的核心区别在哪里,后面两小节将有相关描述!
1.1.8关于防火墙发展的趋势及下一代防火墙(NGFW)
下一代防火墙Next Generation Firewall(NGFW),首先从功能上讲NGFW集成了传统UTM的所有功能,注意笔者的用词“从功能上讲”。这就意味着用户不能从功能上去理解下一代防火墙,因为传统UTM单纯从功能上讲也能做到。而笔者认为要从核心实质上去理解真正意义上的NGFW需要从三个方面来入手:一、引擎的识别方式与性能;二、支持NGFW的硬件架构的先进性;三、对当前云和虚拟化环境的支持方式。
注意:哪些关于描述NGFW的其它特性比如:能基于应用层识别、能多维度的控制方式,基于用户控制资源访问都不是识别NGFW特性的核心,为什么呢?因为就传统的UTM也能基于应用层识别、好些高级的防火墙都能支持基于用户控制资源的访问。如果读者有使用大量不同厂商的安全设备的经历,那么这将是一个不争的事实。换言之这些特性只能是被NGFW包括或向下兼容,但并非是NGFW的独特性!
通过引擎的识别方式与性能来理解NGFW的特性:
如图所示,NGFW是不会架构在传统UTM的路由引擎上,它架构在智能感知引擎之上,能做到“一次应别识别与解码,并行处理送不同安全模块”的特性,来避免了将数据包送到不同安全模块(IPS、AV、URL等)反复解码的过程,这样实际上优化了CPU的处理性能,消耗明显降低。这是NGFW的第一个重要特性。注意对比图。这样做的目标是终结了在传统UTM时代将各个安全模块(IPS、AV、URL等)做简单叠加的行为。使其各个安全模块能在最低性能开销的基础之上联动起来,然后才是方便去实现多维度的控制和精确度更高的检测。
通过硬件架构的先进性来识别NGFW的特性
关于这一块,不同厂商的处理方式是有所不同的,但是笔者总结了一下,无论各个厂商用什么硬件架构模型,应该存在下面三个部分才能算真正的NGFW,如图所示,多核级的MIPS处理器、具备基于硬件的从处理器(也叫协助处理)、高速的交换矩阵等硬件来合力支撑NGFW,为什么呢?
为什么NGFW需要多核的MIPS处理器支持
从工程嵌入的原理上讲,因为MIPS处理架构是基于一种固定长度的编码指令集、就是精简的指令集、这种指令集的一个特性就处理性能快。当NGFW的软件系统与这种处理方式进行集成并嵌入后,性能上就比传统的X86架构更高效和快速。如果所谓的NGFW还处于X86架构,那么这个所谓的NGFW最多算是一个UTM的plus。并且真正的NGFW应该还具备一个特性,那就是可以扩展基于MIPS的CPU模块卡。这样可以使NGFW的硬件处理速度成倍增长。
为什么NGFW需要基于硬件的从处理器(也叫协助处理)
首先大家应该明白一个道理,加密和解密对处理器的开销是很大的特别是在实施×××的时候,还就是发生类似于泛洪的碎片攻击时对处理器的开销也大,模式匹配等。当基于NGFW的底层设计采用了从处理器的方式,那么上述这些高开销的处理能耗将转移到从处理器上,而你的CPU就不需要参与计算,所以很大程度上降低了CPU的开销。除此之外对有些NGFW上存在的存储设备如RAID的硬加速都可以由从处理器完成。
为什么NGFW需要基于高速的交换矩阵(SwitchFabric)
SwitchFabric这个概念是工作在机体内部的逻辑概念,它是不同的业务处理模块,扩展接口模块之间的互联总线,足够高容量的交换总线为模块之间提供更高的速度与带宽。这是NGFW非常重要的一个特性。
通过对当前云和虚拟化环境的支持方式来识别NGFW的特性:
在当前云时代的大背景下,NGFW除了需要比传统的防火墙有更先进、更快速的硬件支持,使用比传统UTM更高效的识别与解码方式以外,还需要支持一个非常重要的特性,那就是防火墙自身能否被虚拟化来满足不同的逻辑环境。
1.1.9鉴评:防火墙、UTM下一代防火墙(NGFW)之间的关联和区别
防火墙是一种基于OSI模型和2-4层防御的设备,对应用层封装的载荷内容进行识别是有一定困难的。如果要做更渗透的检测,那么防火墙就必须要联动其它的独立安全设备,比如:IDS、IPS、URL过滤、防毒墙等。而UTM和NGFW的同共点都是基于OSI模型的2-7层进行防御,它们都将多种安全功能集于一身。具体的那些安全功能前面已经做了描述。所以仅从功能上来看UTM和NGFW两者是非常相似的设备。所以从专业角度的区分UTM和NGFW是不应该仅从功能上去识别,关键的核心差异在识别与解码的方式及硬件的高效性上去识别UTM和NGFW之间的差异。而UTM和NGFW都支持运行防火墙模式,换言之,在防火墙上的安全规划原则和策略实施原则都被UTM和NGFW所引用。其实说得更直明点:NGFW是UTM演进的一种高级形态,UTM是传统的防火墙演变为下一代防火墙的一个过渡形态。中间再搀和一些商业渲染就导致了这两者之间出现了很多难以别识的误区。
注意:笔者反复在调强一个问题很多时候从应用层识别、多维粒度控制、基于用户的策略等功能角度去描述UTM和NGFW的区别是非常不严密的定义,其关键还是在于要从安全设备的发展阶段、识别与解码方式、硬件平台支撑上去区别它们。在很多西方国家,很少引用UTM这个概念,而是直接从传统防火墙过渡到NGFW,哪是因为在过渡到多安全功能集成的那个时代,还不足以为防火墙来一次“断代史”。比如:思科就直接从传统防火墙PIX过渡到了ASA,事实上ASA就是思科的NGFW。那么它的竞争产品是谁?当然是华为的USG特别是USG6000及6000以上的产品。
1.1.10什么是华为的USG,为什么推荐它
Unifiedsecurity gateway是华为的统一安全网关,所谓统一安全网关就是指USG是集成了多种安全模块(IPS\URL过滤\AV等)的设备,但是,您是否能使用USG上面的所有安全功能模块,这得看你购置模块和许可的情况而定。一般而言在USG6000系列之前的产品属于华为的UTM系列,在USG6000系列之上的产品就是华为的NGFW。 为什么推荐它呢?因为“没有信息安全,就没有国家安全”笔者窃认国家信息安全的核心建设,应该重点投放在国产自主知识产权的安全设备之上吧,因为US-984XN(梭镜计划)给全球带来太大的深思和反省了
1.1.11 理解和学习各个厂商传统的防火墙的配置是否过时,是否跟得上时代的进步
“理解和学习各个厂商传统的防火墙(或者叫上一代防火墙)的配置是否过时,是否跟得上时代的进步?”这个问题是很多学习防火墙的初学者都存在的疑问,现在笔者可以肯定的回答:一定不会过时。相反,如果你有上一代防火墙的基础,学习NGFW将是如鱼得水为什么这栏讲?理由如下:
根据前面笔者对NGFW特性的描述,大家不难看出,NGFW正真与传统防火墙的差异在于实现了一次识别解码,并发处理、基于先进的硬件架构、与交换矩阵构成,不难看了这三个特性都与配置形态无关,换言之,你在传统的防火墙上的安全原则、配置方式、注意事项等仍然在NGFW上适用,只是NGFW可能会增加更多的精度控制策略,各个安全功能模块的识别库更加的强大,但这对于应用和配置层面来讲NGFW与传统的防火墙无太大差异,这并非是哪一个厂商的特性,而且世界知名厂商的通用原则,比如:思科的PIX(思科的传统防火墙)与ASA(ASA为思科的下一代防火墙)在配置形态上是没太大差异的;华为的传统USG与USG6000系列及6000以上的系列(USG6000及以上系统为华为的下一代防火墙)在配置形态上也没太大差异。学习读者完全不用担心NGFW会为传统防火墙的管理员提出新的配置与管理挑战。相反没在传统防火墙的基础,直接进入NGFW的配置学习相对比较困难。
1.2 虚拟化防火墙及其体现形式
防火墙的虚拟化分为两种体现行形:一种形式是将一台物理的防火墙虚拟化为多台逻辑的防火墙;另一种形式是使用SDN的方式来定义防火墙,在整个网络中形成一个大的跨越整个企业全局的虚拟防火墙。下面来简单描述这两种防火墙的虚拟化
1.2.2一实体防火墙规划为多个逻辑防火墙的虚拟化
在某些情况下,我们需要将一台物理的硬件防火墙虚拟化成为多台逻辑的防火墙以避免高成本的反复投资或者尽量可能的提供安全租赁服务。如图所的整栋商务楼有一台高性能的硬件防火墙,在该商务楼里有两家企业A和B,假设此时硬件防火墙的性能非常优越,存在没有被充分使用的性能资源,那么就可以把这台硬件防火墙虚拟化成为两台逻辑的虚拟防火墙FW_A和FW_B,分别供应给该商务楼里的企业A和B使用。
事实上这种虚拟化防火墙的特点是在一台物理防火墙上运行多个不同的防火墙实例,而每个不同的防火墙实例是独立的,互不干预。它具备如下特点:
ü 每个虚拟防火墙的管理特性独立。可以为不同的虚拟防火墙使用不同的管理帐号。
ü 每个虚拟防火墙的路由表、安全策略、会话表独立
ü 每个虚拟防火墙可以独自运行自己的架构模式。
ü 每个虚拟防火墙可以使用重复的IP地址。
ü 不同的虚拟防火墙之间不能通信
ü 虚拟防火墙与物理防火墙之间通过配置可以通信
一实体防火墙规划为多个逻辑防火墙的虚拟化的典型应用范围:
一般这种形式的防火墙虚拟化适合用于一些小型企业,因为这可以降低小型企业的总体安全投入成本,承揽总体安全架构建设单位可以提供防火墙的租赁服务;可以在企业防火墙部署执行隔离管理;特别是具备×××接入的企业,那么可以使用这种防火墙的虚拟技术来针对不同的×××做防火墙的部署,这将显得非常的方便。
1.2.3用使用SDN定义防火墙的虚拟化
使用SDN (Software Defined Network软件定义网络 )的方式来完成防火墙的虚拟与前面所描述的的虚拟防火墙是两个不同的概念,这种方式完全改变了传统网络的基础架构,初学者暂时可以这样来理解基于SDN定义的防火墙虚拟化,如图所示,它就在逻辑上形成一个跨越整个企业全局的逻辑防火墙,它类似于虚拟化技术中的分布式交换机的概念那样,“将零化整”,而一实体防火墙规划为多个逻辑防火墙的虚拟化是“将整化零”。而使用SDN的方式来定义防火墙的虚拟化也正处于积极的深入研发和试水阶段,所以这不属于本书讨论的范围,如果有性趣的读者可以参考更多使用SDN方式定义网络的文档和资料。