找准边界,吃定安全 | 从访问控制谈起,再看零信任模型


山石网科零信任访问解决方案

洞悉防火墙访问控制本质

追求精益求精的访问控制

 

防火墙的本质

墙,始于防,忠于守。在古代,雄伟的城墙既能抵御外敌入侵,又可以通过守卫来引导正常的通商往来。在通信领域,网络防火墙也正体现了这一特点:防火墙用于两个网络之间的隔离。这种隔离是高明的,隔离的是网络中各种攻击,而又保证正常通信报文穿墙而过。
防火墙与路由器、交换机不同。路由器用于连接不同网络,通过路由协议保证互联互通,确保将报文转发到目的地。交换机通常用于组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文。防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。

路由器与交换机的本质是转发,而防火墙的本质是控制。

防火墙的发展

与人类的进化史相似,防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程,最早的防火墙可以追溯到上世纪80年代末期,距今已有三十多年的历史。在这一过程中,网络技术的不断发展,新需求的不断提出,推动着防火墙向前发展演进。


基于报文五元组的访问控制

最早出现的防火墙,是基于静态包过滤技术,来实现访问控制的。包过滤能够通过获取网络报文的包头信息,通过报文五元组:源 IP 地址、目的 IP 地址、源端口号、目的端口号、上层协议等信息, 和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。在此阶段,防火墙实现包过滤的核心技术是基于五元组信息的访问控制列表。

依赖于过滤规则的实施,包过滤防火墙得以正常工作,但偏又不能满足建立精细规则的要求,逐包匹配的话一旦流量数过大,那么检测效率将大大降低。且存在使用局限性,比如允许内部用户访问公网任意 IP,那么访问回包就需要防火墙放行,若针对公网回包做全部放行规则,那么等同于所有公网 IP 都能访问到该内部用户,内网的安全就无法得到有效保障。

此外,包过滤防火墙对于欺骗类攻击无法防止,容易受到拒绝式服务攻击(DDoS)。而它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害。

通过代理实现数据内容控制

由于包过滤防火墙无法对 IP 报文的数据部分进行检测,而攻击代码往往隐藏在数据内容中, 为实现应用层数据检查,应用代理服务技术走上台面。

基于安全会话转换协议(SOCKS)的防火墙,把所有的数据包都拦截下来,交给代理服务进程, 由代理服务进程把数据包的封装去掉,进行应用层数据安全检查,再重新封装,应用层没问题的报文才转发到网络之中。

通过代理服务技术,防火墙虽然实现了应用层数据检查,但因其“二转手”的特点,导致工作效率比包过滤防火墙大大降低。

会话状态机制优化控制效率

第一次创建完会话表验证了基础安全性,

后期根据会话表进行转发提高工作效率

状态防火墙引入了会话机制,优化包过滤防火墙的效率和能力。它将内网定义为信任区域,将外网定义为非信任区域,把网络上的数据以流的形式对待,流在状态防火墙会形成会话表:1、流的第一个包进入防火墙,防火墙先匹配规则(路由规则、NAT 规则、策略等),如果规则允许会到第二步,如果规则不允许则丢弃数据包;2、若规则允许,会为流建立会话表,后续所有流的包直接匹配会话表进行转发。

状态防火墙的会话表,可理解为流建立的包的预期表。会话是状态检测防火墙的基础,每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组(源目的 IP 地址、源目的端口、 协议号)为 Key 值,通过建立动态的会话表使得域间转发数据流更高效可靠。以上文内部用户访问公网场景为例,访问发起时在防火墙上建立了会话表项,公网的回包通过匹配会话表的 key 值,就能正常通过防火墙;而公网来的其他主动访问,则不能通过(假设防火墙策略拒绝公网访问内网)。

状态防火墙还可通过设置会话表的超时和连接次数限制,避免被异常访问塞满会话表,一定程度防御 DDoS 攻击。

状态型防火墙虽然增加了会话表机制,但还是主要检查三四层网络信息,仍无法查看到应用层内容,无法防止基于应用层的攻击。

应用层检查深化内容控制

随着数字业务的发展,对网络安全要求更为迫切,防火墙领域也迎来了两种新技术:深度包检 测技术(DPI)和深度流检测技术(DFI)。它们不仅检测五元组信息,还能识别各种应用及其内容, 深入到应用层,提取数据包的关键点的特征因素判断是否具有攻击字段。

两种技术的到来带来很多新产品,企业为内网安全,在网络边界架设各种安全设备, 诸如防火墙(策略和会话)+ IPS(处理应用层的数据)+ 应用代理(管理流量、上网行为)+ WAF(Web Application Firewall)+ 防毒墙(AV,过滤病毒)+ 漏洞检测设备 + 负载均衡设备等一系列设备。这虽使企业网络安全性得到了保障,但同时导致边界的专用安全设备种类过多,网络管理的复杂度提升,转发效率也急剧下降。

UTM 多功能防火墙解决了统一管理的问题,整合上述所有设备的模块功能,使网络边界设备种类和数量大大减少。但数据包检测采用串行扫描方式,还是得一个个模块的过,模块间貌合神离, 网络转发效率没有得到改善。

为同时满足安全需求和转发效率,NGFW 下一代防火墙应运而生。NGFW 采用一体化引擎,只需对报文进行一次扫描,就可提取所有内容安全功能所需的数据,识别出流量的应用类型、包含内容与可能存在的网络威胁,并阻断其中的不安全因素。NGFW 超越了前辈安全系统,在兼顾效率的同时,将五元组、用户、应用等多维元素综合检测判断,进行深度应用层防护。

融入更多元素的零信任管控

NGFW 很好的执行了网络边界安全防护的职责,但时代的潮流还是滚滚而来,网络安全面临新的挑战。随着云计算、移动互联等新业务技术的普及应用,企业办公不再局限于传统的企业网络边界内,企业用户需随时随地在任何终端访问企业数据,企业网络边界正逐渐模糊。NGFW 这类应用在边界安全守护的安全网元,渐渐无力应对现今的业务形态。

无界办公虽更为便利,但随之带来接入终端不可控、应用授权过于宽泛、访问可信度评估无法持续等问题。在此背景下,基于零信任理念的安全防护方式脱颖而出,当前业界零信任理念的最佳实践主要有 SDP、MSG 和 IAM 三个技术方向。
SDP(Software Defined Perimeter),即软件定义边界,解决方案组成部分有 SDP 控制器、 SDP 网关和 SDP 客户端,主要实现南北向访问的安全控制。SDP 通过进一步对用户身份、终端状 态的持续检测,动态调整访问策略,实现最小颗粒度的访问授权。同时,在 SDP 解决方案中引入 SPA(单包认证)技术,终端用户需先单包认证、再状态鉴权、后业务访问,将真实业务入口隐藏于网络中,做到业务隐身,使网络威胁入地无门。
MSG (Micro Segmentation),即微隔离,主要实现东西向访问的安全控制。MSG 理念下, 需在数据中心和云部署中,针对不同的应用和数据,创建精准小的安全区域,减少网络被攻击面, 改善横向运动的安全性。
IAM(Identity and Access Management),即身份接入管理,结合 SDP 和 MSG,提供用户身份管理和分析,将访问方的身份、状态、行为等用作访问控制的关键组成部分,辅助决策访问的授权范围。

综上,零信任理念借助更为丰富的终端状态校验、用户行为分析,以及叠加的 SPA 认证、动态策略授权等安全手段,将边界定义到用户、应用颗粒度,形成了更为精细的可持续访问控制。

追求精益求精的访问控制

包过滤,相当于过海关时查验护照 / 身份证;会话控制,在护照基础上比对签证有效期;基于应用层检查的 UTM/NGFW,在证件查验同时,进行人脸识别;到零信任理念阶段,还需出示动态的健康码 / 核酸报告,过关的检查要素持续演进。与此同理,无论未来网络时代走向如何,防火墙作为最关键的安全网关,也将在访问控制上始终追求精益求精。

山石网科正是洞悉防火墙访问控制本质,面向当前丰富多元的企业办公边缘接入方式,提供更安全可控的零信任访问。山石网科零信任访问解决方案提供完整的零信任客户端、零信任网关及零信任管理平台,实现终端用户基于零信任理念接入企业网络。山石网科零信任访问解决方案支持丰富的终端标签类型、基于SPA(单包授权)认证以及动态零信任策略等,实现终端持续检测、应用始终隐身、业务永不信任的零信任安全理念,为边界防护打开新的安全大门。

山石网科秉承着“为您的安全竭尽全力”的使命,在数字业务演变过程中,不断的探索和求新,守护每一位山石网科用户的网络安全,成为您优质、可靠的伙伴!