下一代防火墙概述

1.防火墙概述

1.1定义

1.2防火墙分类

1.3防火墙功能

1.4防火墙的策略

2.防火墙发展史

2.1 包过滤防火墙：一个严格的规则表

2.2 应用代理防火墙：为每个应用添加代理

2.3 状态检测防火墙：建立会话表

2.4 入侵检测系统（IDS）：网络摄像头

2.5 入侵防御系统（IPS）：抵制2~7层已知威胁

2.6 防病毒网关（AV）：基于网络侧识别病毒文件

2.7 Web应用防火墙（WAF）：保护Web应用

2.8 统一威胁管理（UTM）：多合一安全网关

2.9 下一代防火墙（NGFW）：UTM的升级版

3.性能指标

3.1 吞吐量

3.2 时延

3.3 丢包率

3.4 背靠背

3.5 并发连接数

4.深信服下一代防火墙解决方案

4.1传统安全产品的形态

4.2 深信服的下一代防火墙

4.3 安全产品的其他特点：

1.防火墙概述

1.1定义

防火墙，顾名思义，阻挡的是火，此词起源于建筑领域，正是用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。

引入到通信领域，防火墙也正是形象化地体现了这一特点：防火墙这一具体设备，通常用于两个网络之间的隔离。当然，这种隔离是高明的，隔离的是“火”的蔓延，而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。那么，用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

在实际应用中，由于公网地址的不足，我们多数是在企业网中使用局部私网也就是局域网，所以整个局域网的安全最重要的就是在私网和公网交界的地方，也就是网络出口出的设备上。因此我们一般在网络出口安放防火墙来保护整个局域网的边界安全。

路由器与交换机的本质是转发，防火墙的本质是控制和防护；防火墙的工作原理是通过设置安全策略，来进行安全防护。

1.2防火墙分类

（1）按物理特性：软件防火墙、硬件防火墙

（2）按性能：百兆级防火墙、千兆级防火墙

（3）按结构：单一主机防火墙、路由集成防火墙、分布式防火墙

（4）按防火墙技术：包过滤防火墙、应用代理防火墙、状态监测防火墙

1.3防火墙功能

随着防火墙的发展，防火墙能提供的安全功能也越来越多。主要是提供了以下7个安全功能：

访问控制（防火墙是一种高级的访问控制设备）
地址转换（都会部署在内外网之间，尤其是互联网出口，因此会涉及到地址转换问题）
网络环境支持（2层或3层之间的内部连接，DHCP环境、动态路由环境、VLAN环境、ADSL拨号环境、SNMP网络管理环境）
带宽管理QOS（可以根据业务进行不同的流量分配，以保证重要业务的应用）
入侵检测和攻击防御
用户认证（多种用户认证方式）
高可用性（双机、多机/冷备、热备）

1.4防火墙的策略

一、安全策略

定义：安全策略是按一定规则，控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。

主要应用：对跨防火墙的网络互访进行控制、对设备本身的访问进行控制。

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。

通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制，例如限制哪些IP地址可以通过Telnet和Web等方式登录设备，控制网管服务器、NTP服务器等与设备的互访等。

二、策略原理

防火墙安全策略定义数据流在防火墙上的处理规则，防火墙根据规则对数据流进行处理。因此，防火墙安全策略的核心作用是：根据定义的规则对经过防火墙的流量进行筛选，由关键字确定筛选出的流量如何进行下一步操作。

在防火墙应用中，防火墙安全策略是对经过防火墙的数据流进行网络安全访问的基本手段，决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测，检测出流量的属性，包括：源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务（源端口、目的端口、协议类型）、应用和时间段。

我们设置安全策略是为了对不同的访问者和被访问的对象进行安全防护，所以在这个基础上，就有了区域和接口的概念。

三、安全策略分类

域间安全策略用于控制域间流量的转发（此时称为转发策略），适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny）或高级的UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访（此时称为本地策略），按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny），允许或拒绝与设备本身的互访。

缺省情况下域内数据流动不受限制，如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，然后对流量进行安全检查。例如：市场部和财务部都属于内网所在的安全区域Trust，可以正常互访。但是财务部是企业重要数据所在的部门，需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测，阻断恶意员工的非法访问。

当接口未加入安全区域的情况下，通过接口包过滤控制接口接收和发送的IP报文，可以按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量并执行相应动作（permit/deny）。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧，可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作（permit/deny）。硬件包过滤是在特定的二层硬件接口卡上实现的，用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现，所以过滤速度更快。

2.防火墙发展史

2.1 包过滤防火墙：一个严格的规则表

判断信息：数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口（五元组）

工作范围：网络层、传输层（3-4层）

和路由器的区别：

普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。
防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。

技术应用：包过滤技术

优势：对于小型站点容易实现，处理速度快，价格便宜

劣势：规则表很快会变得庞大复杂难运维，并且只能基于五元组

2.2 应用代理防火墙：为每个应用添加代理

判断信息：所有应用层的信息包

工作范围：应用层（7层）

和包过滤防火墙的区别：

包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。
应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务。

技术应用：应用代理技术

优势：检查了应用层的数据

劣势：检测效率低，配置运维难度极高，可伸缩性差

2.3 状态检测防火墙：建立会话表

判断信息：IP地址、端口号、TCP标记

工作范围：数据链路层、网络层、传输层（2-4层）

和包过滤防火墙的区别：

包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。
是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行。

技术应用：状态检测技术

优势：主要检查3-4层能够保证效率，对TCP防御较好

劣势：应用层控制较弱，不检查数据区

2.4 入侵检测系统（IDS）：网络摄像头

部署方式：旁路部署，可多点部署

工作范围：2-7层

工作特点：根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

目的：传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

2.5 入侵防御系统（IPS）：抵制2~7层已知威胁

部署方式：串联部署

工作范围：2-7层

工作特点：根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通

目的：IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御

2.6 防病毒网关（AV）：基于网络侧识别病毒文件

判断信息：数据包

工作范围：2-7层

目的：防止病毒文件通过外网络进入到内网环境

和防火墙的区别：

防病毒网关	防火墙
专注病毒过滤	专注访问控制
阻断病毒传输	控制非法授权访问
工作在2~7层	工作在2~4层
识别数据包IP并还原传输文件	识别数据包IP
运用病毒分析即使处理病毒体	对比规则控制访问方向
具有防火墙访问控制功能模块	不具有病毒过滤功能

2.7 Web应用防火墙（WAF）：保护Web应用

判断信息：HTTP协议数据的request和response

工作范围：应用层（7层）

目的：防止基于应用层的攻击影响Web应用系统

主要技术原理：

代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制
特征识别：通过正则表达式的特征库进行特征识别
算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

2.8 统一威胁管理（UTM）：多合一安全网关

包含功能：FW、IDS、IPS、AV

工作范围：2-7层（但是不具备web应用防护能力）

目的：将多种安全问题通过一台设备解决

优点：功能多合一有效降低了硬件成本、人力成本、时间成本

缺点：模块串联检测效率低，性能消耗大

2.9 下一代防火墙（NGFW）：UTM的升级版

包含功能：FW、IDS、IPS、AV、WAF

工作范围：2-7层

和UTM的区别：

与UTM相比增加的web应用防护功能，功能更全
UTM是串行处理机制，NGFW是并行处理机制，效率更高
NGFW的性能更强，管理更高效

功能：

3.性能指标

为什么我们需要防火墙性能测量？

首先，尽管防火墙部署迅速崛起，但是没有标准的方法进行性能测量。其次，不同防火墙实现差异很大，使得难以直接进行比较。最后，更多和更多的组织正在内部网络上部署防火墙以相对较高的速度运行，而大多数防火墙实施仍然优化，以便在相对较低的速度上使用广域连接。结果用户往往不确定是否他们购买的产品将承受相对较重的负荷。

3.1 吞吐量

吞吐量：防火墙能同时处理的最大数据量

有效吞吐量：除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率

衡量标准：吞吐量越大，性能越高

3.2 时延

定义：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标

用于测量防火墙处理数据的速度理想的情况，测试的是其存储转发（Store and Forward）的性能。

衡量标准：延时越小，性能越高

测试时长通常是设置2分钟的流量，然后测试几次取平均值最为最终结果。一般比较好的是在us和ns级的。

时延=发送时延+传播时延+处理时延+排队时延

这里的时延一般是指防火墙的处理时延

传输时延=数据帧长度（bit/s）/信道带宽（bit/s）
传播时延=信道长度（m）/电磁波在信道上的传播速率（m/s）
处理时延：主机或路由器在收到分组时要花费一定的时间进行处理，例如分析分组的首部，从分组中提取数据部分，进行差错检验或查找适当的路由等，这就产生了处理时延。处理时延=信道长度（m）/电磁波在信道上的传播速率（m/s）
排队时延：分组在进入路由器后要先在输入队列中排队等待处理。在路由器确定了转发接口后，还要在输出队列中排队等待转发。这就产生了排队时延。

3.3 丢包率

定义：在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比。

衡量标准：丢包率越小，防火墙的性能越高

测试的意义在于通过过载的流量来考查对设备正常转发性能的影响。

3.4 背靠背

衡量标准：背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量（例如：NFS，备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

背靠背缓冲测试主要测试被测设备缓冲处理突发数据的能力。考验的是被测设备处理突发数据流缓存数据并快速处理的能力。

3.5 并发连接数

定义：由于防火墙是针对连接进行处理的，并发连接数目是指防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/ UDP的访问。并发连接数指的可以同时容纳的最大的连接数目。并发连接数指标越大，抗攻击能力也越强。当防火墙上并发连接数达到峰值后，新的连接请求报文到达防火墙时将被丢弃。

衡量指标：并发连接数指标越大，抗攻击能力也越强。

4.深信服下一代防火墙解决方案

4.1 传统安全产品的形态

成本高：环境、空间、重复采购
管理难：多设备，多厂商、安全风险无法分析
效率低：重复解析、单点故障

我们知道安全的建设有一个基本的原则叫做木桶原理，也就是说安全建设做得如何是取决于最短的那块木板，导致使用传统产品的安全建设形成了串糖葫芦式的部署方式。这种方式，采购成本高、管理困难，同时也降低了网络运行的效率。

一、有几款设备就可以看到几种攻击，但是难以对安全日志进行统一分析；有攻击才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导客户进行安全建设。

二、有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流进行防护，在面临新的未知攻击的情况下缺乏有效防御措施，还是存在被绕过的风险。

过去，我们的安全几乎是在被动的应对，但安全形势的恶化使得我们不得不重视安全。从用户安全运维、安全管理的角度：我们认为传统的安全面临两个非常大的挑战：

1、缺乏安全认知的能力：我们只能看到碎片化的攻击日志、只能看见图形化的统计报表。这些信息其实都是无效的，我们并不需要关注这些已经被防护住了的信息。更重要的是我们看到的源IP、攻击方式、目的IP，都跟安全保护的对象：“资产”无关。而我们真正需要的认知是，我需要保护谁？他有什么风险？保护的结果怎样？

2、另外一个问题是由于长期以来安全打补丁式的建设，使得我们现有的保护手段是割裂的，难以形成协同配合。并且，这些静态的防御策略，在面对新威胁的时候显得非常的无力，难以动态的管理，动态的应对新威胁。使得很多用户认为，这些割裂的，打补丁的手段已经失效。