(报告出品方/作者:兴业证券,蒋佳霖、吴鸣远、桂杨)
1、防火墙:守护 IT 设施安全的门与锁1.1、网络保护屏障,功能逐渐丰富
防火墙是内部网络与外部网络之间、专用网络和公共网络之间的一道保护屏障。作为目前使用最为广泛的网络安全防护技术,防火墙是解决网络隔离与连通矛盾 的一种较好的方案,在网络环境下构筑内部网和外部网之间保护层。尽管防火墙 是网络安全产品中最为基础和基石的部分,但随着 IT 基础设施的不断升级和迭代, 防火墙的功能与产品也随之演化,并继续作为整个网络安全的重要组成部分而存 在。因此,研究防火墙对于研究网络安全板块,具有十分重要的意义,本篇报告 将聚焦防火墙,进行深度分析。
防火墙最基础的功能是隔离和访问控制。隔离功能是在不同信任级别的网络之间 “砌墙”,访问控制功能是在墙上开门并派驻“守卫”。防火墙通过隔离来过滤不 安全的服务、降低风险、提高内网安全性;访问控制能将口令、加密、身份认证 等安全软件配置在防火墙上,实现集中安全管理。防火墙从安全管理的角度出发, 一般将设备划分为不受信区域、受信区域、DMZ 区域,例如电子邮件服务器接在 DMZ 区域来接受内外部的访问,实现网络隔离和访问控制。
基础功能之外,防火墙其他功能也快速发展。除了提供基础组网和防护功能之外, 防火墙还可以记录和监控网络存取访问,收集关于系统和网络使用和误用的信息 并做出日志记录;实现网络中网段隔离,防止影响一个网段问题通过整个网络传 播;并作为部署 NAT(Network Address Translation,网络地址转换)逻辑地址来 缓解地址空间短缺问题;同时,支持通过 VPN(Virtual Private Network,虚拟专 用网络)将世界各地局域网或专用子网有机联成一个整体。
防火墙部署位置灵活。在企业中,可以部署在公用互联网与企业局域网之间,防 止外部恶意流量入侵盗取数据和私密信息;也可以部署在内部网络与数据中心之 间,防止核心数据从内部泄露出来。如果企业规模较大,拥有分支机构,也可以 将防火墙部署在各分支机构之间,防止不必要的数据流通,以及阻止恶意流量从 某个局域网扩散出去。企业云数据中心同样需要部署防火墙,用以应对专门针对 云服务的外部流量攻击。
1.2、分类形式多元,应用场景广阔
从软硬件形式分类,防火墙可以分为软件防火墙、硬件防火墙和芯片级防火墙。软件防火墙将软件部署在系统主机上,使用便捷、价格便宜,广泛应用于个人 PC 中;硬件防火墙由防火墙软件和运行该软件的特定计算机构成,把防火墙程序做 到硬件里执行防护功能,能减少 CPU 的负担,使路由更稳定;芯片级防火墙基于 专门的硬件平台,使用专用的嵌入式实时操作系统,并使用专有 ASIC 芯片进行 运算,速度更快,处理能力更强,性能更高。
从过滤层次分类,防火墙可以分为包过滤防火墙、电路级网关防火墙、应用层网 关防火墙。包过滤防火墙在 OSI 的网络层和传输层,会查看所流经的数据包的包 头,根据源地址、目标地址、端口号等标志确定是否允许数据包通过,具有原理 简单,运行速度快的特点;电路级网关防火墙在 OSI 的会话层,用于监控主机间 的 TCP 握手信息,以此决定该会话是否合法,较包过滤防火墙更为安全;应用层 网关防火墙工作在 OSI 的应用层,与用户距离最近,安全性最为可靠。
从应用部署位置分类,防火墙可以分为边界防火墙、个人防火墙、混合式防火墙。边界防火墙运行于内外部网络之间,对内部网络和外部网络实施隔离,保护内部网络,有效将有害信息隔绝在主机之外;个人防火墙应用于个人用户和企业内部 的主机,通常为软件防火墙,成本较低且更为灵活;混合式防火墙则综合了以上 二者的优点,分布于内部网络和外部网络的边界、内部网络各主机之间,性能和 安全性更好,由若干软硬件组件组成,复杂性也更高。
在实际应用中往往使用不止一种防火墙类型。在个人及小型服务器使用中,防护 目标主要是外部入侵,一般选择软件防火墙即可。而在企业级服务器使用中,不 但要降低外部威胁,还要进行数据中心之间的访问控制、隐私加密、流量监控等, 因此需要在网络层、传输层、会话层、应用层等各个网络层级中,综合使用多种 防火墙产品,并在软件端和硬件端都进行部署,确保核心信息和数据安全。企业级防火墙通常价格较高。个人防火墙一般为软件形式,功能较少,只需要满 足普通用户日常需求,通常价格较低,例如 McAfee 防病毒+防火墙组合套装 1 用 户 1 年约 89 元,卡巴斯基 2021 安全软件 1 用户 1 年约 110 元;而企业级防火墙 一般为硬件或软硬结合形式,技术难度大,应对的安全威胁多,通常价格较高, 例如华为 USG6305E-AC 硬件防火墙价格约 10999 元,友讯 F100-A-G5 应用层网 关防火墙约 19999 元。
防火墙应用场景十分广阔。在 to c 端,防火墙可以进行异常流量检测,防止黑客 入侵及数据泄露,有效保护用户资产信息安全。在 to b 端,防火墙产品功能更为 复杂和立体,守护企业数据安全、运维安全和信息安全,是网络安全的重要一环。而随着云计算与企业运营的深度结合,防火墙也发展了云安全技术,聚合更多安 全能力,在云上保护着企业数据和个人用户数据的安全,筑牢当下企业运营的安 全基础。根据应用场景不同,往往将防火墙市场划为不同子市场。单一防火墙产品不能覆 盖所有客户需求,例如对于企业级防火墙市场,防火墙被划分为政企市场、金融 市场、运营商市场、数据中心市场、SMB 市场等,由于每个子市场的客户行业属 性存在差异,防火墙产品将存在不同的特性区别。随着客户需求升级、厂商间的 横向竞争,大多防火墙产品都从原来标准化、同质化的状态向精准匹配客户场景、 差异化方向发展。未来定位清晰、特征鲜明、能精准匹配不同业务需求的专用型 防火墙将更受到客户青睐。
1.3、产品不断进化,新兴技术崛起
防火墙发展经历七个重要阶段。从第一代防火墙出现至今已有 33 年历史,在发展 过程中,不断改进的网络技术对防火墙也提出各种新需求,并推动防火墙技术不 断进化迭代。第一代防火墙至第五代防火墙依附于 OSI 不同层次,采用逐一匹配 方式对流量进行检查,计算量太大导致检测效率较低。因此,第六代防火墙(统 一威胁管理)采用了多功能和一体化等综合检测手段,对网络流量进行立体式检 测,提高了检测灵活性。
防火墙的每一次进化,都伴随流量及客户需求的变化。防火墙本质上是部署在网 络边界出口,对流量进行检测和放行。防火墙产品形态及技术的发展,背后的主 要驱动力在于用户边界流量及需求的演进。在网络应用有限时期,网络流量不大 且用户较少,防火墙过滤规则简单且有效,利用包过滤防火墙对进出的每一个报 文,按照提前设置好的双向规则(ACL)进行检测并放行即可。在互联网应用兴 起时期,网络应用类型和数量大幅增加,由于流量目的端口随机,无法采用人工 静态配置“进和出”策略来放行每一个访问行为,因此采用动态策略进行放行。在移动互联网爆发时期,网络带宽再次革命,新一轮应用爆炸,根据端口和访问 地址禁止掉所有的不同类型应用的检测机制过于粗放,因此增加 APP ID 和 UserID 等机制,构建新的过滤规则,形成下一代防火墙核心工作原理。
下一代防火墙具有更高级安全能力和更健全防御体系。传统防火墙产品的主要原 理是在计算机网络的不同层级针对数据包头信息或 IP 报文内容进行安全性检测, 通常只对端口及 TCP/IP 协议进行限制和封堵,在诸多新场景下存在不足,无法满 足用户对业务流量可视可控的要求、无法识别应用层攻击威胁,并且在开启较多 安全功能后性能衰减严重。下一代防火墙不仅包含传统防火墙全部功能(基础包 过滤、状态检测、NAT 和 VPN 等),还集成应用和用户识别与控制、Web 攻击防 护、入侵防御系统(Intrusion Prevention System,IPS)等更高级安全能力,因此 拥有更快处理效率和更强外部拓展联动能力。
下一代防火墙需求保持高速增长。根据 Research and Markets 预测,到 2023 年, 全球市场针对下一代防火墙解决方案的需求将以 13.6%年均复合增长率,达 47 亿 美元。由于网络安全威胁趋势的变化,市场对下一代防火墙将会有更高的要求。从安全发展趋势看,下一代防火墙将会在应用识别技术、整合威胁情报应对未知 威胁等方面做出进一步技术创新,推动相关领域规模化放量。随着网络攻击技术日益先进、手段日趋复杂,下一代防火墙引入 SASE、零信任 和云 WAF 等技术,有效满足用户日常安全需求。
SASE
SASE(Secure Access Service Edge,安全访问服务边缘)是一个集合概念。其关 键组件包括软件定义广域网(Software Defined Wide Area Network,SD-WAN)、 防火墙即服务(FireWall as a Service,FWaaS)、零信任网络访问(Zero Trust Network Access,ZTNA)、云访问安全代理(Cloud Access Security Broker,CASB)和安 全 Web 网关(Secure Web Gateway,SWG)等。综合来看,SASE 是基于实体身 份、实时上下文、企业安全合规策略以及在整个会话中持续评估风险信任的服务。与传统的 WAN 不同,SASE 取消了将分支机构连接到中心机构的概念,转变为将 设备连接到基于云的集中式服务模型,可以更好地支持企业上云安全。
撤稿申请|
备案号:鄂ICP备2022006215号 Copyright © 2002-2022 metaversezj.com.cn 元宇宙之家 版权所有