得益于新的引擎体系结构和管理网络流的新思想，新一代防火墙更加方便和安全。

为什么这篇文章出现？

屡次遇到使用新一代防火墙的安全工作者，他们看到他们继续在端口号上编写规则。 当我建议继续以应用程序的名称进行编写时，我听到了“如果那样行不通怎么办？” 如果您也感到“害怕”，或者不清楚为什么要编写应用程序规则，那么本文适合您。

第1部分。防火墙基础

内容

引言
定义
防火墙功能
L3防火墙
L4防火墙
L7防火墙
UTM
下一代防火墙
例子
代理服务器
什么是用户名
关于状态检查的误解：状态L4 vs L7
关于状态检查的误解：L4 vs L7的会话数
关于状态检查的误解：L4集群与L7集群
第2部分。L7防火墙的安全影响

引言

Skype，TOR，Ultrasurf，TCP-over-DNS和数百个应用程序和隧道悄悄地通过全状态检查防火墙和HTTP代理。 许多保护措施会打开连接，但不会检查其中的内容。 我建议找出如何以受控方式控制新一代防火墙中的应用程序连接，其中规则由应用程序名称编写，这对应于OSI ISO模型的第7级。 这种防火墙称为“下一代防火墙”，新一代防火墙或简称为NGFW。

防火墙管理员不仅需要允许连接，还需要确保所需内容在允许的连接内，包括检查传输的文件。 这称为安全应用程序许可 。

在使用流量时，有几个重要的区别，只有在切换到规则的实际使用时才能理解这些区别，其中的标准是应用ISO OSI模型的第7级：

• IT管​​理员看到NGFW可视化了网络流量，即显示了数据包数据字段的内容，用户名以及正在运行的应用程序和传输的文件。
  
• IT安全部门认为NGFW提供了安全的应用程序解析，因为对软件包中的数据进行了更深入的分析，您可以查看病毒，启用将未知文件发送到沙箱，检查文件类型，DLP的关键字，检查URL类别，检查SSL和SSH中包含的内容，与全世界已经知道的危害指标进行比较，启用DNS过滤器和其他现代技术。
  

要了解其原因，请比较L4和L7防火墙日志。

A）比较L4防火墙日志中的条目，该日志仅解析OSI ISO模型的传输（第四）级别的标头-在这种情况下为TCP：

是的，有关于源和目的地的信息，您可以通过端口号443猜测内部的SSL连接可能性很高（如英语所说）。 我个人看不到此条目中的任何事件。 那你呢

B）比较L7防火墙日志中同一TCP连接的条目，其中内容本身也被传输到TCP / IP数据字段：

在这里，您可以看到市场部的Ivanov将标记为“不用于分发”的文件上传到Slideshare。 这是一个真实事件的示例，其中一名员工在Internet上发布了一份为期一年的机密公司发展计划。 该信息是在L7防火墙中基于对L4防火墙的上述相同连接的分析而获得的，并且该信息立即变得足以了解发生了事件。 这是完全不同的流量分析方法。 但是，我会立即警告您，如此深入的分析会给处理器和设备的RAM带来沉重的负担。

有时会感到NGFW中杂志的详细程度与SIEM系统中的详细程度相似，SIEM系统从不同的来源一点一点地收集信息。 因此，NGFW是SIEM的最佳信息来源之一。

定义

有必要强调我们将继续运作的条件。 我无意详细给出所有定义。



七级OSI ISO模型是网络设备之间交互的模型，它指出有7个连续的交互抽象级别：第一个是物理的，第二个是通道，网络，第四个是传输，然后是会话，表示和第七个级别是应用程序（请参见上图） ）

每个网络设备都以其自己的抽象级别进行操作：Web服务器和浏览器-在应用程序级别（7或简要L7级别），路由器-在彼此传输帧和数据包时在通道（2）和网络级别（3）相互通信。 。

从网络拓扑的角度来看，防火墙也是网络设备，根据其类型，防火墙还可以是交换机和路由器，甚至是“虚拟电缆”，但是这些网络设备有额外的负担：它们必须分析数据包的内容。

网络数据包分析的深度可能会有所不同。 他们是分析4级还是7级是一个重要的区别。

防火墙功能

防火墙（ITU），网络防火墙是一种网络设备，它将网络分为具有不同安全策略的网段并控制这些策略。 例如，Internet网段-在那里可以做任何事情。 以及数据中心的一部分-您只能为允许的应用工作一个专用的员工列表。 在单个VMware主机中，可能会有多个虚拟网络，其中包含虚拟机和针对它们的不同访问策略。

防火墙安全策略包含通过分析来自防火墙的每个帧和数据包来强制执行设备程序代码的规则。 在防火墙规则中，定义了检查标准（限定符），根据该标准做出允许或阻止流量的决定。 规则中的限定词示例为：地址，端口，应用程序，用户，区域。 防火墙按规则依次从列表的顶部到底部扫描标准，如果传入流量符合规则的所有标准（标准之间的逻辑运算“ AND”，则）将执行指示的操作：阻止或跳过。 对于相同TCP / IP连接的第一个数据包和所有后续数据包，都将执行该操作。

防火墙有不同的类型和实现。 我们将根据使用的流量分析深度的程度来考虑分类：L3，L4和L7。

L3防火墙

L3防火墙是一种防火墙，防火墙将自身通过流量，并仅分析IP协议标头，即流量来自何处和何处的地址。 这种防火墙称为数据包过滤 。 这些规则称为“访问列表”或访问列表（ACL），如今，此功能几乎可以在任何路由器和操作系统中使用。 这样的分析不需要在处理器和防火墙存储器上增加负担。

L4防火墙

L4防火墙是一种通过其自身传递流量并检查4个级别协议的标头的防火墙：TCP，UDP，ICMP，即，流量传递的主要验证标准是IP地址和TCP / UDP端口或ICMP服务。

状态检查的概念也出现在L4防火墙中，其中存储了每个通过的请求，并存储了请求的状态，以便允许必要的响应连接。 也就是说，出现了连接启动器的概念，这在基于客户端-服务器技术的网络中是合乎逻辑的。 这样的防火墙在存储有关每个连接的数据上花费了内存，也就是说，内存中同时存储的最大会话数受到限制。 在L4防火墙中，您不再需要像L3防火墙中那样为反向连接编写响应规则，因为防火墙会根据连接状态自动允许反向连接。 也就是说，L4防火墙比数据包过滤器更方便。

现代的L4防火墙不仅存储TCP，UDP和ICMP的状态，而且还跟踪某些L7应用程序的交互。 例如，FTP，HTTP，SIP和其他应用程序的状态已经取决于防火墙的特定实现。 我们需要问L4防火墙制造商一个问题：他们的状态检查防火墙引擎支持哪些特定的应用程序？

L7防火墙

L7防火墙是一种防火墙，它通过自身传递IP网络流量，并同时检查4级标头和每个IP数据包的数据段，也就是说，它了解L7应用程序级别的流量，向下传输文件的方向。 由于分析了更多的数据，因此L7防火墙规则中有更多的验证标准：用户名，应用程序，URL类别，用户计算机上的软件状态。

L7防火墙的负载要高得多，因为它的处理器必须不断分析应用程序传输的数据字段的兆字节，而L4防火墙仅检查IP数据包头中带有源地址和目标地址以及端口的几个字节。 用于存储每个L7应用程序状态的缓冲区大小需要更多，因为要传输到L7的数据不仅仅是在TCP / IP标头中。 由于使用应用程序分析时缓冲区大小增加，因此同时存储在L7防火墙的内存中的会话数少于具有相同内存量的L4防火墙。 由于L7防火墙可以通过内容查看通过网络运行的是哪种应用程序，因此端口号意义不大，并且可以通过L7应用程序的名称来编写规则。 此外，现代应用程序会生成许多连接，而所有这些连接都是单个应用程序的一部分。 这种类型的防火墙允许您重新控制对任何端口运行的现代动态应用程序的控制，例如，teamviewer，bittorent，tor，L4防火墙对此一无所知。 也就是说，如果网络需要安全性，则需要现代现实中的L7防火墙。

如果在阅读本文之后您仍在使用L4防火墙，那么这意味着您不会对安全性一窍不通。

UTM

UTM是一种网络设备，内部装有几个不同的安全组件，这些组件依次分析通过该设备的流量。 UTM的核心是L4防火墙，攻击防御系统（IPS），防病毒以及HTTP和HTTPS中URL类别的分析。 通常，UTM仍提供VPN网关功能。 所有这些组件通常都由几个不同的控制系统进行管理。 UTM内部的流量按顺序通过过滤模块，并且输出是每个模块的安全策略所允许的纯流量。 UTM可以用作其他功能的平台：病毒防护，IPS，DDoS，QoS，DLP，DNS筛选器，威胁情报指示器数据库，网络钓鱼防护等（取决于制造商）。

还为UTM客户编写了有关从一张皮肤订购7顶帽子的人的比喻：购买后要启用的功能越多，UTM处理器用于分析相同流量的负载就越大。 功能更多-设备速度更低。

UTM的想法-向一个处理器加载尽可能多的功能成为了发展的死胡同，因为功能数量不断增加，并且处理器无法承受所有这些负载。 如今，尽管已宣布具有良好的功能，但没有人包含UTM中的所有功能来消除流量延迟。

UTM的目标：在一台服务器上实现尽可能多的功能，以便为用户降低设备成本。

现在，UTM制造商已开始安装7级应用程序分析引擎，说它们是NGFW，这使消费者感到困惑。 但是，如果您查看安全策略，这很容易识别：规则仍然基于检查L4字段的条件。 为了过滤L7应用程序，使用了一个单独的设置部分，即L7应用程序不是限定符，因为它应该在L7防火墙中。 认识到L7应用程序并将L7应用程序用作安全策略的标准是“两个很大的区别”。

下一代防火墙

NGFW是在其中实施L7防火墙的网络设备。 由于主限定符成为L7应用程序的名称，因此将根据新条件编写规则。 在NGFW中，IP地址到网络用户的动态映射始终有效，因此用户名也成为限定符（标准）。 NGFW包括SSL / TLS和SSH解密功能，用于识别其中的应用程序和攻击，IPS，防病毒和URL过滤。

NGFW一词最早由营销公司Palo Alto Networks创造。 但是逐渐扎根市场，所有UTM制造商现在也都自称为NGFW。 确实，NGFW还同时执行多项功能，为什么NGFW不是UTM？ 区别很重要。 正是在NGFW应用程序中，安全功能（IPS，防病毒，URL过滤）由硬件加速。 有专门的硬件芯片：IPS检查其芯片上的攻击，自行检查签名防病毒，自行检查SSL解密等等。 如在UTM中一样，不同处理器之间的功能分离使并行运行保护功能成为可能，而不必等待先前的功能完成工作。 例如，在Palo Alto Networks硬件防火墙中最多安装了60个
Cavium专用处理器可加快安全性，网络和管理功能。 NGFW必须包含一个用于同时管理所有功能的软件界面，这一点很重要。

与UTM不同，NGFW的想法是在单独的处理器上实现每个功能，该处理器专门用于所需的功能。

计算机制造商过去一直遵循相同的模式，他们将数学和图形功能整合到单独的数学和图形协处理器中。 因此，NGFW具有单独的处理器，用于识别L7应用程序，解密SSL / SSH，检查防病毒签名，检查IPS签名等等。 这使您可以同时启用所有功能，而不会降低设备在扫描过程中的流量和延迟。 为什么没人买没有图形加速器的计算机而买没有加速器的防火墙呢？ 因为在低速时不需要加速，但是当流量分析速度超过1-5 Gb时，如果不加速就不可能实现所有安全功能。

NGFW设备的目的是使公司能够安全地工作，而不会减慢流量。 这使您能够不断检查应用程序是否向您需要的公司传输安全内容，并且保护引擎与一个流量流的并行操作可在所有安全功能打开的情况下确保指定的性能，并最大程度地减少流量延迟。

例子

Palo Alto Networks NGFW的L7策略示例

为什么需要URL类别作为限定符？ 例如，您可以允许某些员工仍然使用浏览器访问恶意站点，但阻止他们进行文件下载。

使用主机信息配置文件检查和类别URL的示例Palo Alto Networks策略。

该策略还涉及在“ HIP配置文件”列中检查TRAPS主机保护，这将防止用户在计算机上未安装保护的情况下使用恶意代码和漏洞利用该站点。 TRAPS是一种反恶意软件和漏洞利用保护代理。

在配置文件列的设置中阻止了文件下载，在其中应用了用于阻止任何应用程序传输所有文件的配置文件。 这是其设置的外观：

代理服务器

代理服务器是一种设备，可自行终止应用程序的流量，使用各种方法检查此流量并进一步发送此流量。 最常用于HTTP和HTTPS的代理网络中。 由于UTM和NGFW透明地分析HTTP和HTTPS流，而无需客户端提供明确的代理服务器设置，因此HTTP代理逐渐从公司中消失。

什么是用户名

NGFW发明了一种识别用户的机制。 该算法可以在内部运行，也可以在外部代理上运行。 我将其称为USER-ID机制。 USER-ID为用户名及其当前IP地址创建并维护一个映射表。 如果用户通过VDI工作，则表中还会存在给定用户的值和端口（即，用户来自同一地址，并且只能通过端口进行区分）。

我将在Palo Alto Networks中列出USER-ID机制

1. 服务器监视 ：用户ID代理从Exchange服务器，域控制器或Novell eDirectory服务器读取事件
2. 客户端探测 ：用户ID代理通过WMI轮询Windows客户端
3. 终端服务代理 ：TS代理向不同的用户分发不同范围的TCP / UDP端口，以用于Windows / Citrix终端服务器
4. Syslog消息解析：用户ID代理从各种系统，无线控制器，802.1x设备，Apple Open Directory服务器，代理服务器，VPN网关，Cisco ISE读取syslog身份验证消息
5. 通过GlobalProtect客户端进行身份验证：可以将VPN +用户名和密码添加到MFA
6. 通过Captive Portal进行身份验证：Web流量通过NTLM或AAA Web表单进行身份验证（在莫斯科地铁和咖啡馆中使用CaptivePortal。NTLM允许您使身份验证透明）
7. XML API ：有关进入和退出的信息由用户ID代理通过REST API防火墙使用特殊命令传输
8. X-Forwarded-For ：代理将在HTTP请求中填写此字段，以便清楚地知道是谁隐藏了代理

从Active Directory控制器读取日志是USER-ID中最常用的功能。 USER-ID AD, IP , USER-ID NGFW, Windows 2008/2012 :
— 4768 – Authentication Ticket Granted
— 4769 — Service Ticket Granted
— 4770 – Ticket Granted Renewed
— 4264 – Logon Success
USER-ID Even Log Reader.

Stateful Inspection

我应该为每位网络工程师和安全工程师专门介绍这一神圣概念。有必要强调和补充防火墙课程中经常错过的重要内容。如果您已经了解了状态检查的基础知识，那么您很可能会有一些误解。我有时会在同事中看到

一种误解。注意！状态检查不仅涉及TCP，UDP或ICMP连接状态！它还涉及其他更复杂的协议和应用程序的状态：FTP，SIP，RPC，SMTP，SMB等！

.

FTP — . PORT, TCP . firewall, stateful inspection firewall, FTP PORT , . : firewall PORT , FTP NAT.

L4 firewall , L7 . : HTTP, RPC, … 7 Application Layer Gateway (ALG).

.

«» – ALG SIP, , SIP ALG L4 firewall , .

L4 firewall 7 . L4 firewall ALG. L4 firewall, : Stateful Inspection? .

, L7 firewall — stateful inspection firewall, , , L4 firewall.

firewall. datasheet, , « ». : stateful TCP, L7 ?

我们知道每个协议或应用程序都有防火墙记住的状态。为了存储此状态，您需要在设备的内存中分配一个缓冲区。实际上，参数“同时会话数”是指设备内存中可以容纳多少个用于存储状态的缓冲区。您需要了解，对于L4防火墙，此参数通常是针对裸TCP甚至UDP测量的。也就是说，TCP需要一个仅适合IP和连接端口的缓冲区。但是，在针对L7应用程序的测试（例如HTTP）中，此缓冲区将更大，因为例如在HTTP内存储GET请求参数需要更多的内存。而且内存不是橡胶的。因此，如果制造商写入诸如“同时会话数”的参数，则他应写入：

• /, c stateful inspection,
• L4, TCP/IP,
• - L7 .

L7 firewall HTTP, : 64, 44, 16, 1.5. , - UDP 1518 , , UDP 1518 – , HTTP. , L7 firewall HTTP. , : NSS Labs.
firewall , , : 30% HTTPS, 10% SMB, 10% FTP .

.

IXIA UTM:

• L4 firewall — 4 000 000 ,
• L7 firewall — 200 000 .

, L7 - .

, , : 10 , . 4 , .

– . , , « » — . «» firewall , firewall. , ? firewall , IP L7 : - SSL IPS – , . L4 L7 firewall : L4 , L7. .

, L7 firewall — , L7 . L4, .

L4 L7 firewall, . L7 firewall , ! .

2. L7 Firewall