下载掌阅APP,畅读海量书库
立即打开
本节首先介绍防火墙的标准定义,然后介绍防火墙在传统网络安全纵深防护中的地位和作用,最后介绍防火墙在新型零信任安全模型中的局限性和发展。
国家标准《信息安全技术防火墙安全技术要求和测试评价方法》(GB/T 20281—2020)给出的防火墙定义是,防火墙是对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。
根据这个定义,防火墙具有以下4个基本特征。
●部署位置上,防火墙是一个边界网关,设置在不同网络(如可信的企业内部网络和不可信的公共网络)或不同安全域之间,而且应当是不同网络或不同安全域之间信息的唯一出入口。
●工作原理上,防火墙根据网络安全策略对流经的数据进行解析、过滤、限制等控制。
●功能上,防火墙主要在网络层、传输层和应用层控制(允许、拒绝、监测)出入网络的信息流,新型防火墙还能实现对更多应用层程序的访问控制、Web攻击防护、信息泄漏防护、恶意代码防护及入侵防御等功能,保证受保护部分的安全。
●性能上,防火墙应具有较高的处理效率和较强的自身抗攻击能力。
防火墙理论上可以工作在TCP/IP参考模型中的各层。防火墙的主要工作在于实现访问控制策略,且所有防火墙均依赖于对TCP/IP各层协议所产生的信息流进行检查。一般说来,防火墙越是工作在协议的上层,其能够检查的信息就越多,也就能够获得更多的信息用于安全决策,因而检查的网络行为就可以越细致深入,提供的安全防护等级就越高。
传统的网络安全架构是将不同的网络(或者单个网络的一部分)划分为不同的区域,每个区域都被授予某种程度的信任(安全级别),不同区域之间使用防火墙进行隔离,并部署入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS,也称作Intrusion Detection Prevention,IDP)等一系列网络安全策略。这种安全模型提供了非常强大的纵深防御能力。
(1)攻击发生前的防范
使用防火墙作为网络安全的第一道防线,可以识别并阻挡许多黑客的攻击行为。防火墙主要用来隔离内部网和外部网的直接信息传输,对于出入防火墙的数据流施加基于安全策略的访问控制,但对于内部入侵却无能为力,防火墙能否正确工作依赖于安全管理员的手工配置。这样的安全防御系统在复杂网络中要做到合理配置是十分困难的,而且在大规模部署时的可缩放性和实时响应功能较差。
除了应用防火墙,还可以使用漏洞扫描工具来探测网络上每台主机乃至路由器的各种漏洞,并将系统漏洞一一列表,给出最佳解决方法:使用动态口令,用户每次登录系统的口令都不同,可防止口令被非法窃取;使用邮件过滤器,阻挡基于邮件的进攻;使用网络防病毒系统,以有效防止病毒的危害;使用VPN技术,使信息在通过网络的传输过程中更加安全可靠。另外,事前防御体系还包括系统的安全配置,对用户的培训与教育等。
(2)攻击发生过程中的防御
随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的用户的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,当今的网络环境也变得越来越复杂,各式各样复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便会造成巨大损失。在这种环境下,入侵检测系统和入侵防御系统愈来愈多地受到人们的关注,而且已经开始在各种不同的环境中发挥着关键作用。
IPS相对于传统意义的防火墙是一种主动防御系统,入侵检测作为安全的一道屏障,可以在一定程度上预防和检测来自系统内、外部的入侵。防火墙正在与IPS、主机防护等安全设备融合,共同进行攻击发生过程中的防御,本书将在2.4.3节中介绍相关内容。
(3)攻击发生后的应对
防火墙、IPS等都提供了详细的数据记录功能,可以对所有误操作的危险动作和蓄意攻击行为保留详尽的记录,而且记录在一台专用的安全主机上,这样可以在黑客攻击后通过这些记录来分析黑客的攻击方式,弥补系统漏洞,防止再次遭受攻击,并可进行黑客追踪和查找责任人。此外,应急响应、灾难备份与恢复和安全管理等,都是网络攻击发生后的常用应对方法。
随着业务上云、数据上云、移动办公的普及,跨数据中心和多云环境移动的动态工作负载的复杂性日益增加,传统的安全边界不再存在。通过基于边界的安全防御体系和传统防火墙来防范漏洞和攻击越来越困难。大量新漏洞和黑客攻击风险以及勒索软件和恶意软件爆发等针对性威胁说明了以下事实,暴露了传统安全模型的不足。
●网络无时无刻不处于危险的环境中。
●网络中自始至终存在外部或内部威胁。
●网络的位置不足以决定网络的可信程度。
2010年,Forrester公司的分析师约翰·金德维格(John Kindervag)提出了“零信任”的概念。其核心思想就是,在默认情况下对网络内部和外部的任何人/设备/系统“零信任”,其需要基于认证和授权重构访问控制的信任基础。
零信任网络模型关键技术涉及以下3点。
(1)以身份为中心
网络无特权,所有的设备、用户和网络流量都应当经过认证和授权。例如,可以通过手机即令牌的方式提供指纹识别、人脸识别等生物识别技术对用户进行身份确认,同时对用户智能手机终端进行病毒查杀、Root/越狱检测,通过注册建立用户与设备的唯一绑定关系。确保只有同时满足合法的用户与可信的终端两个条件才能接入到业务系统。为了提高用户的使用便捷性,用户认证支持动态口令、二维码扫描、推送验证等多种身份认证方式。
(2)业务安全访问
通过可信接入网关接管企业所有应用、资源、服务器的访问流量,将访问控制规则设定为只允许通过可信接入网关对应用进行访问,防止内网访问逃逸问题。所有的业务隐藏在可信接入网关之后,只有通过身份安全认证与终端可信检测的用户才可以访问业务系统。
(3)权限动态化
每次用户发起访问请求后,智能身份平台会基于多种源数据分析,包括安全策略、用户属性、环境属性、其他风险因子等,对此次访问进行授权判定,得到一个信任等级,最终根据评估得出的信任等级分配用户一个最小访问权限。
当然,零信任并不代表不需要传统的边界防护,而是在传统边界防护的基础上进行互补。零信任也不是去除边界,而是将边界收缩到端。
隔离(Segmentation)实际上是零信任等安全框架的基础。零信任方案通过微隔离(Micro-segmentation)和深度可视化来定位和隔离威胁,给安全人员提供了一个识别威胁、减缓威胁的系统性方法。基于主机的安全隔离是成本效益和可靠性更好的隔离方法,并且在保护数据中心和云生态系统免受横向攻击造成数据泄露的影响方面更加有效。
谷歌公司花了6年时间(2011年—2017年)构建了名为BeyondCorp的零信任环境,在企业网实现了零信任模型落地。