NGFW产品关键技术分析与市场分析-v10

NGFW产品产品关键技术分析与市场分析陈岌：CISSP，CISA，不玩咨询玩产品啦！技术分析目录NGFW关键技术分析技术分析目录国内主要厂商的技术分析NGFW技术发展趋势分析NGFW技术发展趋势分析NGFW产品的需求分析应用安全逐渐且必将成为企业的基础安全需求移动互联网新应用数量巨大，且web化移动联网新应用数量巨大，化越来越多的攻击针对企业的各种应用新兴安全威胁突出d攻击(高级逃逸技术)等未知威胁突出0-day攻击，APT，AET(高级逃逸技术)等未知威胁突出攻击具有明显的经济目的，针对企业关键应用以及业务数据已有安全解决方案强调全面安全但存在性能瓶颈以及已有安全解决方案强调全面安全，但存在性能瓶颈以及效能较低传统防火墙五元组不能满足企业多变复杂的需求；等动UTM、IPS,FW等缺乏有效的联动，安全效能低对应需求，NGFW应具有的基本功能基本防火墙Anti-VirusVPNGartnet定义厂商在此基础上的各自发挥基本防火墙可视化应用识别集成入侵检测智能防火墙Anti-Virus，VPN强调Web应用保护内网安全扫描数据防泄漏(DLP)智能防火墙高性能数据防泄漏(DLP)……技术分析各厂商都基本实现了G的定义又根据自身积累和客户特点进行演化各厂商都基本实现了Gartner的定义,又根据自身积累和客户特点进行演化演化总结起来：就是从最初的网络安全，到对应用的管控，直至高性能的、全面的应用安全防火墙作为边界设备其最基础最本质的功能是对进出流量的访问控制防火防火墙作为边界设备，其最基础最本质的功能是对进出流量的访问控制，防火墙的技术演变必将围绕访问控制需求（访问者、被访问者以及通信内容）展开具备这些功能，NGFW必要的关键技术功能实现的关键技术体化安全引擎功能保障的关键技术统安全控制台一体化安全引擎应用识别技术统一安全控制台智能安全策略管理技术分析一体化处理架构即满足高性能要求又同时提供并支撑丰富的PRD闭环架构即满足高性能要求，又同时提供并支撑丰富的PRD闭环架构该架构中，DPI技术为所有安全业务提供整体支撑应用识别技术:NGFW的核心，为企业提供更为丰富的细粒度控制手段功能保障方面:实践中,NGFW并未像厂商所宣传的那样简化了安全，其功能增多反而增加了运维的复杂性，究其原因是NGFW的运维相关技术做得并不到位一体化安全引擎缘由:一体化安全引擎是在UTM的数据包多次解析、多安全引擎、多次匹配串行处理的基础上提出的；其主要内容是单通道并行处理技术一次协议解析，相关业务并行处理并行处理技术大多依赖专用硬件实现以满足高性能要并行处理技术大多依赖专用硬件实现，以满足高性能要求，目前主要的硬件架构包括：x86架构+DPPK数据软件包架构数据软件包ASIC架构NP(网络处理器)架构多核架构多核架构networking和安全业务，分离or整合？NGFW作为边界安全产品，必须完成两个基本业务：networking和安全业务在networking和安全对计算资源消耗不在一个数量级，安全业务中特别是深度的内容检测更是耗费计算资源,绝大多数解决方案采取分离的方式分离：软件架构层面网络层与应用层分离，保障数据转发；数据通信服务与L4-L7层的深度检测异步并行处理，这将减少延时，但是存在少量具有风险的数据包被放行，这种处理方式以PaloAlto,深信服网康为代表；信服，网康为代表；数据通信服务于L4-L7层的深度检测同步并行处理，这将会有较大延时，但不存在少量具有风险的数据包被放行；整合：软件架构层面网络层与应用层串行数据通信服务与L4-L7整合：软件架构层面网络层与应用层串行，数据通信服务与L4L7层的深度检测串行处理，这种处理方式以飞塔为代表安全业务:分开or整合、多引擎or统一引擎？NGFW安全业务包括传统的简单安全业务和复杂的应用安全业务复杂业务包括：应用安全、IPS，AV，URL过滤等简单业务包括：包过滤VPNSYN泛洪IP地址欺骗等简单业务包括：包过滤、VPN、SYN泛洪、IP地址欺骗等简单业务和复杂业务是整合一起处理还是分开处理？简单业务一般只需在L2-L4层进行处理，计算量小，一般与networking业务整合在一起而复杂业务需要在L4-L7层进行，计算量大，需要单独进行；而复杂业务需要在L4L7层进行，计算量大，需要单独进行；分开处理是当前NGFW的主流处理方式，且大多并入networking业务中处理复杂业务中的安全引擎采取多特征库多引擎(应用安全、IPS，AV，URL过滤)还是统一特征库统一引擎？统一描述语言统一特征库，统一引擎、统一匹配特征，这将简化软件架构，提升匹配速度；多特征库多引擎，这将使得软件架构复杂，特征库维护变得困难；受厂商自身技术积累和研发实力的影响，多数厂商必须在不同程度上依赖安全细分领域的提供商提供特征库以及相关引擎，因此多特征多引擎将比较长时间存在于NGFW产品中；商提供特征库以及相关引擎，因多特征多引擎将较长时间存在于产中；应用识别技术应用识别技术是下一代防火墙产品的核心要素依赖深度智能的应用感知实现全面透明的应依赖深度、智能的应用感知实现全面透明的应用管理;应用识别的本质是应用协议识别每个应用都应用识别的本质是应用协议识别，每个应用都有自己独特的协议特征（指纹）应用识别的主流技术包括应用识别的主流技术包括：DPI，同时也是内容深度检测的主要技术DFIDFI和DPI整体特征对比分析基流量相关参数的基于特征匹配技术DFI(深度流量检测)DPI（深度报文检测）基于流量相关参数的统计分析技术基于特征匹配技术依赖特征库不依赖特征库计算要求低需逐包匹配，计算要求高计算要求低只能识别应用类别对新应的支持较高可识别具体的应用新应用要逐个具体分对新应用的支持较高新应用要逐个具体分析DPI/深度数据包检测技术DIP技术是NGFW整个安全业务的基石，完成对NGFW核心功能比如具体应用识别、AV、IPS、敏感信息保护等功能的支撑；结特征识别方法包括特征字与掩码相结合的协议识别以及正则表达式协议识别，前者的本质是显示字符串匹配，后者已经成为模式特征的主要表现形式；著名的Snort、Bro、L7filter等网络安全系统已经全面支持正则表达式，对数据包负载内容的检测开始广泛地走向商用；另外，DPI技术与IPFIX(IP流信息输出)的结合，则能依赖第三另外，DPI技术与IPFIX(IP流信息输出)的结合，则能依赖第三方支持IPFIX的网络设备，以降低设备自身的计算压力；深度包检测技术还有很多应该考虑的方面，包括匹配准确率、大规模匹配等大规模匹配等。DPI引擎由于速度与存储容量的问题，软件配合专用硬件的优化都具有很好的前景，面前主流的DPI技术正朝着这个方向在发展；DPI引擎主要包括以下算法DPI引擎主要包括以下算法：基于启发式的字符串匹配算法典型算法有BM算法，VM算法该算法主要特征是加快了单模式匹配速度不适合多模式匹配实际DPI很少使该算法主要特征是加快了单模式匹配速度，不适合多模式匹配，实际DPI很少使用该算法基于过滤器的字符串匹配算法是模糊匹配算法典型算法是BloomFilter是模糊匹配算法典型算法是BloomFilter算法的主要特征：依赖并行处理，是快速搜索的必要模式特征基于状态机的字符串匹配算法用存储空间换时间的方式，提供匹配性能存，性是目前主流的识别算法基于状态机的字符串匹配算法具有存储空间换时间的优势，结合正则表达式的有限状态机的特征匹配方式是当前模式匹配的主流表现形式典型算法:AC算法DFA算法NFA算法技术分析DFA算法由于正则表达式包含许多复杂形式这可能导致状态爆炸问题DFA算法，由于正则表达式包含许多复杂形式，这可能导致状态爆炸问题，这会严重加剧DFA的空间消耗;NFA算法,具有高效的存储结构，不存在状态爆炸问题，但是由于其一个字符可能引起多个状态转移的不确定性，也会使得时间性能大大降低；可能引起多个状态转移的不确定性，也会使得时间性能大大降低；近7年来国内外许多学者针对DFA的状态爆炸问题进行了广泛的研究，减少DFA的状态数与空间消耗上取得了显著的成果，例如D2FA，XFA，但仍存在实用性的问题，因此在深度包检测技术性能优化方面仍然存在大量研究空间。DFI/深度流量检测技术DFI是基于流量参数的统计分析技术，这些参数包括：业务流持续时间DPI在快速完成异常流量监测方面发挥DPI不具备的优势攻击与蠕虫的流量监测业务流持续时间数据包大小传输速率攻击与蠕虫的流量监测P2P流量，即使是采取流量加密的P2P优化技术，而DPI无法识别某些加密传输速率连接目标地址连接协议识别某些加密未知类型流量异常特征提取技术分析-DFI支撑主动防御理念流量的深度检测和分析的有效性和前瞻性依赖应用细粒度识别和用户识别技术以及大数据技术；结合行为分析和相关性分析，对0-day攻击，API攻击以及未知威胁进行主动识别，实现主动防御的理念；衡量应用识别技术的重要指标日益普遍的应用层威胁是应用识别技术成为下一代防火墙产品的核心要素下一代防火墙要具备未知威胁的主动防御能力，需利用大数据的思想对网络信息进行分析和挖掘，而在数据收集、行为掌握的阶段，同样需要应用识别技术作为支撑分析和挖掘，而在数据收集、行为掌握的阶段，同样需要应用识别技术作为支撑应用识别技术必须考虑以下重要指标：应用识别的广度和深度新应用识别的响应速度应用识别技术的准确性和效率应用识别引擎的的可扩展性应用的地缘因素技术分析应用识别的相关广度和深度以及新应用识别的响应速度更多与厂商的研发投入，而地缘因素主要是那些跨国厂商应用特征库的本地化考量应用识别引擎的的可扩展性缘因素主要是那些跨国厂商应用特征库的本地化考量；而应用识别技术的准确性和效率是当前存在的实际困难，需要配合硬件平台进行软件结构的优化应用识别引擎的的可扩展性的焦点主要集中在特征库统一描述以及特征库的整合上，应用识别引擎的的可扩展性的焦点主要集中在特征库统描述以及特征库的整合上，统一描述通用的描述语言，这倒不存在问题，核心是特征库的整合，由于厂商各自的技术积累和优势的不同，大多数不同程度的依赖别的供应商提供AV特征库，威胁特征库或URL分类表库，甚至包括相关的引擎主要厂商NGFW关键技术分析PaloAltoNetworksCheckPoint深信服深信华为山石网科山石网科PaloAlto关键技术分析单通道并行处理架构单通道软件单通道软件并行处理架构APP-IDContent-IDContentIDUser-ID单通道并行处理架构的技术分析单通道并行处理架构，配合专用并行处理硬件，这为其产品提升内容检测性能同时降低延时提供关键性的技术支撑同时降低延时提供关键性的技术支撑其两个组件相互补充相互依赖单通道软件，对每个数据包只做一次内容检测操作，且是基于流的处理方式和统的特征匹配统一的特征匹配；并行处理架构，控制平面和数据平面分离，这为数据包只做一次操作提供技术保障，且使用专门处理组完成数据平面的几个重要功能这又将提升产品的稳的几个重要功能，这又将提升产品的稳定性；控制平面专注于协议解析和业务分类，将数据包送到数据平面合适的组件以及配置管理、日志和报告功能；管理、日志和报告功能；数据平面按照业务特征的不同，分别采用专用硬件来处理,网络通信处理与安全业务软件分离，保障数据流APP-IDAPP-ID的功能需求分析流量分类，这也是任何防火墙系统的基础因为细粒度的安流量分类是APP-ID在流量处理时第一件要做的事情流量分类是由简及繁，逐渐深化的过系统的基础，因为细粒度的安全策略都是构建在流量分类的基础上的基于端口和IP的流量分类将很流量分类是由简及繁，逐渐深化的过程①先依据Ip地址和端口②接下来识别独特的应用属性及