世界是灰色所以你的決定不能只是黑或白
2024-12-31 22:43:09
——對NGFW的幾點思考
當相機拍攝出一幅幅黑白影像,其實是灰度圖像,有著豐富的層次感。「灰」並不是黑與白的調和,而是這個世界的本來面目。我們所處的世界如此,在攻防尤為激烈的網絡安全行業更是如此,除了黑白之外,還存在著很多灰色流量,那裡隱藏著各種看不見的風險。
網絡安全行業,從來不缺乏新產品、新技術,尤其以2012年在國內不斷興起的下一代防火牆為代表。然而一直困擾企業用戶的,就在於大家很難明確區分下一代防火牆與傳統防火牆、UTM的區別。為此,筆者將網絡安全中三類最易產生理解誤區的FW、UTM、NGFW產品理念問題進行梳理,追溯到一類產品所產生的起源、背景,幫助大家對這三種不同品類的產品有一個更加深入的了解。筆者用三種情境進行概括:確定性的情境(FW的白色世界)、半確定性情境(UTM的黑色世界)、混沌模糊的情境(NGFW的灰色世界)。在這三種情境裡,來看我們所面對的問題及其解決方法,就會非常清晰了。
第一種情境:確定性的情境——FW以「白名單」為中心,類似兒童時期認知
FW就像兒童時期孩子對世界認知只有黑與白一樣,沒有混沌,也沒有灰度,只有非黑即白的 「確定性的世界」。傳統防火牆就是基於這個原理工作:只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆。這個過程中,流量的影響變量即五元組信息是確認已知的,變量轉為目標值也是確認即allow或deny,總結起來就是傳統防火牆是以「白名單」為核心配置相關策略,執行阻斷或者允許動作。
FW的黑白世界
但是這個認知有較大局限性,就像孩子們經常通過一個人長相外貌等外在東西去判斷一個人好壞,對於「偽裝者」卻無法進行辨別。例如Skype通信可以偽裝成80埠,這種簡單「偽裝」成白名單上合法埠後,「天真」的傳統防火牆也一樣識別不出來。那麼面對FW這樣「防守」現狀,誰將站出來接替它守護網絡邊界安全大門呢?它就是UTM。
第二種情境:半確定性的「黑色世界」——尋找灰色空間中「黑名單」為核心,青少年時代
隨著網際網路發展,FW也從兒童長大到青少年時代UTM,接觸到更多人和事,對世界的認知也慢慢開始逐漸走向成熟,逐漸明白黑白世界之外還有灰色空間存在,並對灰色空間的認知也有一些判斷標準。
本質上來說,防火牆產品從FW成長為UTM,最根本變化是從僅僅依靠五元組信息做控制策略狀態,增加應用識別能力、集成IPS、AV等安全模塊方式加強對應用層安全防護能力,能夠檢測識別「灰色內容」中的「黑名單成員」,比如某些合法應用中可能跑著惡意流量,可以根據已有特徵識別出來並阻斷。不過,UTM基於已知特徵庫進行檢測且對不能識別的「灰色」內容全部允許通過,結果自然是某些已知惡意流量能夠識別出來,有些未知威脅卻成為漏網之魚。問題就在這裡,「棄之不管」那部分灰色空間中還隱藏著很多未知風險威脅,只是我們不知道罷了。
FW的黑白世界 黑白世界之外還有灰色空間 UTM尋找「灰色區」中黑名單
面對應用層中大量「灰色內容」,UTM「黑名單」防護理念已經顯得捉襟見肘,那麼又是誰肩負起網絡邊界安全大門?NGFW就此橫空出世。
第三種情境:模糊的灰色世界——以「灰名單」為核心,成人的世界
UTM進一步從青少年長大成NGFW,需要挑戰的是「灰色世界」,這是一種超越白色系統和黑色系統之外的空間,狀態很混沌,環境變量也很多,每個變量都可能引起系統的整體變動,就像管理對象由原先的IP和埠變為應用的時候,不確定性就大大增加了。
NGFW在基礎傳統防火牆功能上,深度集成IPS功能,對一體化、應用識別與管控、高性能等要求更高,通過應用、用戶、內容等多個維度的識別將模糊的網絡環境映射為實際的業務環境,從而實現精準的訪問控制和安全檢測,發現灰色空間中的「黑名單」,完成deny動作。
除此之外,NGFW引入風險視角思維,對於無法做出確切判斷的「灰色內容」,對其做一個概率性質和威脅性質的判斷,並嘗試為其進行應用風險打分。這是一種對模糊系統的控制,而不是一個確定系統的控制。在不明確未來會怎樣的情況下,NGFW必須對業務應用的風險狀況進行監控,並通過持續的策略調優,確保其安全有效性,而此部分內容在防火牆和UTM概念模型中並無對應的設計。本質上來說防火牆,從UTM演進到NGFW最大變化便是理念的不同而導致的價值不同。NGFW引入風險的視角,以關聯分析等技術,通過可視化這樣工具將灰色空間中的不確認的威脅告知用戶,讓用戶參與決策。
FW的黑白世界 白名單中存在灰色內容 UTM尋找灰色空間中黑名單阻斷,灰色內容不處理 NGFW聚焦UTM不能處理「灰色空間」
那麼用一句話總結NGFW與FW、UTM差別是怎麼樣的呢?筆者認為:NGFW開始聚焦FW、UTM尚未涉及的「灰色地帶」,通過引入風險視角和可視化工具,解決「灰色區」的安全問題。
