1. 主页 > 黑客技术

[web渗透]网络安全基础知识,2022:下一代防火墙演进思考

[web渗透]之:网络安全基础知识,2022:下一代防火墙演进思考

1.0 综述

在网络安全硬件子市场中,防火墙是体量最大的单品,具有最广泛的应用场景。即便是今日在云化大潮下,防火墙依然占有体量第一的首要位置。

防火墙历史较久,这些年几个重要的演进阶段,包括:包过滤防火墙、代理防火墙、状态监测防火墙、统一威胁管理(简称UTM)、下一代防火墙(简称NGFW)。时至今日,如果按照Palo Alto在2007年第一次推出NGFW来算,下一代防火墙迄今已经15年历史了。那么2022年了,下下一代防火墙是不是该来了?

关于防火墙的未来走向,有不少文章讨论。不过大部分是就某个技术趋势讨论,没有讲清楚根因是为什么。安全产品,演进的本质上是以客户需求的变化为主线,这是一条稳定的脉络,决定了产品形态的演进路线。

防火墙是部署在网络边界出口位置的,负责流量的检测和放行。这几十年来防火墙演进的主要线索,是随着用户边界流量的变化,而带来的防护要求的变化而演进的。

那么,这些年网络边界流量发生了什么变化?

30年前,网络应用有限,流量不大,用户较少,只有简单的如Email,BBS,文件服务器等。举个例子,那时候的防火墙就像农家小院的铁门,客人来敲门,主人就会去开门;客人走了,主人就送客关门,(过滤规则)简单且有效。所以,包过滤防火墙,原理就是对进出的每一个报文,按照提前设置好的双向规则(ACL)进行检测并放行即可。

后来,互联网开始繁荣,网络应用的类型和数量大大增加,上网人数急剧增多,带宽也大大增加;与此同时,网络应用也变得日益复杂起来,往往有自身的交互逻辑和运行状态,如PC从内部网络访问外部网站,出流量需要进行ACL检测放行,而入流量的目的端口是随机的。

在这种情况下如果采用人工静态配置“进和出”策略这样来放行每一个访问行为,是不可能做到的。所以,可行的办法是防火墙智能记住这条流量的出入端口,采用动态策略进行放行:只要首包ok,就建立状态表,记住这条流的来回端口,这样后续这条访问相关的持续的报文就不再逐包检测,而是根据状态表进行放行。

一些防火墙技术如nat,alg,sip支持等都是在这个历史时期产生的。这就好比农家小院里的人口增加了,主人来来回的开门关门觉得很烦,这个时候在门口绑了一条狗,凡来过的客人,狗就认识了(有了状态),下次再来就根据记忆(状态表)默认放行,这让主人觉得“既方便也安全”,即“状态防火墙”。

再后来,网络带宽再次革命,加上3G的落地催生了移动互联网,带来了新一轮的应用爆炸。有代表性的应用就是Web2.0,在这种环境下,以往的检测机制过于粗旷且不够准确:举例来说,一个80端口可以是访问一个网页,也可以是一个网盘,或者一个页游。

因此,传统的基于五元组过滤的策略模式,根据端口和访问地址禁止掉所有的不同类型的应用,过于粗放,无法满足应用发展的实际情况了。所以在这个时候,PaloAlto这个公司,重新定义了防火墙,核心原理就是在五元组的基础上,增加了APP ID和User ID,通过深度识别用户和应用,并结合传统五元组,共同组成了新的过滤规则,能够更为精准的检测和识别流量内涵应用,从而满足应用爆炸带来的新的流量管控问题。

此处,还是得再接着举个例子:农家小院人口爆炸,院子住不下了,所以大家都搬进了大型小区。狗的记性再好,也记不住这么多人(应用)了。张家的人,李家的人,王家的人,车库的车,小区对外营业的麻将馆,还有保洁、外卖、装修·····各色人等。所以,得设立专业的物业保安队伍,对人员进行深度识别(登记),各色人等按照安全规则放行,比如有门禁卡的业主,默认放行;没有门禁的,门岗登记并问询业主确认后放行,这就是新一代防火墙(NGFW)的核心工作原理。

防火墙的每一次演进,都是随着流量的变化而变化。而流量变化的根因,是随着网络基础设施的演进而带来的应用爆炸。现实中“应用类型、网络架构、攻击方式、企业信息管理机制、算力基础设施”等多个因素会综合影响防火墙的形态,需要要把这些因素关联起来分析,

本文话题是[web渗透]网络安全基础知识,2022:下一代防火墙演进思考

本文由黑帽达人官网发布,不代表黑帽达人官网立场,转载联系作者并注明出处:https://czlg.net/article/wangzhanseo/589.html