网络安全技术的演进
自诞生以来, 网络安全 领域经历了重大变革,本文回顾了网络安全的历史,重点介绍了其中几个重要里程碑,包括防火墙、VPN、下一代防火墙(NGFW)、零信任模型等技术的发展。此外,文中还讨论了诸如人工智能驱动的安全性和安全访问服务边缘(SASE)等趋势。最后,探讨了通用人工智能(GenAI)对网络安全的影响。
1980年代:防火墙的兴起
在网络技术发展的早期,安全措施还处于初级阶段,主要侧重于物理安全和简单的访问控制。随着网络的扩展,对更强大的安全措施的需求变得愈发明显。
包过滤防火墙:第一代防火墙主要侧重于数据包过滤。第一个防火墙系统称为“包过滤器”,由数字设备公司 (DEC) 于 20 世纪 80 年代末推出。这种最初的防火墙实现是在网络层操作的,通过决定是否允许或阻止特定的数据包来筛选网络流量。数据包的处理依据一套预设的规则进行,这些规则包括源IP地址、目标IP地址、第四层头部中的源端口和目标端口以及协议字段等标准。对于每个数据包的处理动作是允许或者拒绝其通过。这些规则构成了包过滤器的访问控制策略,并需要手动维护并推送到系统中。
这种基本的防火墙是在通用 CPU 上运行的软件中实现的。尽管它缺乏状态检查或深度包分析的能力,但它开启了防火墙演进的大门,为后续几代更高级和复杂的防火墙技术铺平了道路。随着时间的推移,包过滤防火墙继续进化,支持更复杂的规则集,如 IP 地址和端口号范围的最长前缀匹配。从2000年代初开始,这些防火墙也从CPU中的软件实现转变为ASIC中的原生实现。
1990 年代:状态检测防火墙
上世纪90年代初,状态检测防火墙的出现标志着防火墙技术的一次重大进步。它们能够追踪活跃连接的状态,并根据流量的上下文做出过滤决策,例如判断一个数据包是否属于现有连接的一部分还是一个新的连接请求。第一个商业化的状态检查防火墙是Check Point公司的FireWall-1,于1993年发布。该公司创造了“状态检查”这个术语。
状态防火墙维护状态表会记录正在进行的连接的详细信息,如源和目标IP地址、端口以及连接/会话状态(例如已建立、监听、关闭等)。这使得它们能够根据现有的连接信息做出明智的决策,决定是否允许数据包通过,确保只有与活动连接匹配的数据包才能通过防火墙。这种追踪连接状态的能力有助于防御各种类型的攻击所带来的未授权访问。
想象一下,一个攻击者试图劫持一个TCP连接以访问防火墙后面的Web服务器。使用无状态包过滤防火墙时,每个数据包都是独立检查的,仅基于源/目标IP地址和端口。无状态防火墙无法区分合法流量和攻击者伪造的数据包试图劫持已建立的连接。
相比之下,当攻击者的伪造数据包到达状态检查防火墙时,由于这些数据包并非源自与任何已跟踪连接相关的真实源IP地址,因此它们不会在状态表中有匹配的条目,从而被视为异常。防火墙随后会丢弃这些恶意数据包,防止劫持尝试的发生。
另一个例子是 SYN 泛洪攻击,攻击者向服务器发送许多 SYN 数据包(用于建立 TCP 连接的数据包),但不响应服务器发送的SYN-ACK数据包中的最终ACK。这会导致服务器上有许多半开的连接,消耗服务器资源,并阻止合法连接的建立。状态检查防火墙通过拦截TCP握手过程来缓解这种情况,在接收到每个SYN数据包时生成一个特殊的响应(SYN cookie)给客户端。当客户端发送ACK时,防火墙就会与服务器建立会话。防火墙还会对来自每个IP地址的SYN数据包进行速率限制,以减少泛洪攻击。
因此,状态检查防火墙通过理解网络连接的状态提供了更好的安全性。通过维护全面的状态表,它们可以区分合法流量与攻击,如IP欺骗、端口扫描或未授权连接。
随着网络流量的增长,会话查找的硬件加速和多核处理的会话设置使这些防火墙能够处理更高的流量和更复杂、更大的状态表。负载均衡和主动-被动故障切换也被引入到这些带有状态检查防火墙的系统中,以确保持续运行和可靠性。
1990 年代:入侵检测和入侵防御系统 (IDS/IPS)
入侵检测系统(IDS)的概念出现是为了应对防火墙的局限性。IDS能够检查数据包的内容(有效载荷)并检测可疑活动,从而提供额外的安全层。IDS非常依赖基于签名的检测方法,这种方法会在数据包的内容中搜索与数据库中任何签名匹配的情况。这些签名可能是有效载荷或数据包头部中的字节序列、文件哈希值,以及与恶意软件服务器之间的命令与控制通信模式。基于签名的检测可以准确地识别已知威胁,但它无法检测新的未知威胁(零日攻击),因为这些威胁与现有的签名不匹配。其有效性取决于定期更新签名数据库以包括新出现的威胁。
后来,入侵防御系统(IPS)被引入,不仅能够检测威胁,而且还能根据配置自动阻止或减轻威胁,这样可以减少响应时间和潜在损害。
1990 年代:应用代理防火墙
1990 年代中期,出现了应用代理防火墙,通常也称为代理防火墙。这些防火墙比状态检测防火墙更进一步,不允许通信直接穿过受保护的环境。它们在客户端与目标网络中的服务器之间建立代理连接,通过这个连接路由流量,避免两者之间直接相连。这些防火墙结合了状态检查防火墙的功能与应用层(OSI模型中的第7层)的检查和过滤能力。它们能够理解和执行基于特定应用协议及其有效载荷的规则。这使得应用代理防火墙能够:
- 进行深度包检查和内容过滤:应用代理防火墙可以在应用层执行深度包检查,分析网络流量的实际内容和有效载荷。这使它们能够更有效地检测和阻止恶意内容、恶意软件及未授权活动。
- 细粒度的访问控制和用户身份验证:它们可以根据用户身份、角色和认证来实施细粒度的访问控制政策。
- 改善网络隔离和分割:代理防火墙作为内部网络与互联网之间的中介,阻止直接连接。这种隔离使得攻击者更难直接访问内部资源。
- IP地址屏蔽和匿名性:作为中介,代理防火墙隐藏内部客户端的真实IP地址,提供匿名性。这使得攻击者更难以识别和针对网络中的特定设备。
- 安全缓存和性能优化:许多代理防火墙实现缓存机制来本地存储经常访问的Web内容。这可以提高性能,同时实现内容检查。
简而言之,应用代理防火墙的代理架构、深度包检查能力、缓存和身份验证集成相比传统的状态检查防火墙提供了一层额外的安全保障。这些防火墙还受益于深度包检查和其他特性的硬件加速。
到了2010年代后期,在云原生时代,基于云的应用防火墙提供了与传统防火墙类似的能力,但它们设计用于保护云原生应用和服务。这些基于云的防火墙适应了容器环境中东西向流量的检查和安全,确保在微服务内部强制执行安全策略。
1990 年代中期:VPN 和安全远程访问的兴起
虚拟专用网络 (VPN) 技术在安全性较低的网络(例如公共互联网)上创建了安全加密的连接。这种安全连接通常称为“隧道”,允许用户像直接连接到私有安全网络一样发送和接收数据。最早的VPN技术可以追溯到微软开发的PPTP(Point-to-Point Tunneling Protocol)协议。PPTP允许用户通过调制解调器拨号,并通过IP/Ethernet创建隧道,安全地连接到企业网络。
随着时间的推移,IPsec和SSL VPN成为通过公共网络创建安全连接的标准协议。
- SSL VPN使用SSL或其后继者传输层安全(TLS)协议,在互联网上创建安全且加密的连接。这项技术使用户能够通过标准的Web浏览器安全地远程访问私有网络和资源。
- IPsec VPN使用IPsec协议套件建立安全且加密的连接。这种VPN通常用于站点到站点的连接。例如,一个组织可以通过IPsec VPN在其两个分支机构之间建立连接。
企业广泛采用了VPN技术,以便让在家办公或外出工作的员工能够安全地远程访问。然而,VPN可能会引入延迟并降低连接速度,这是因为加密带来的额外开销以及流量需要通过VPN服务器进行额外的路由。2000年代后期,防火墙设备中IPsec加密/解密和隧道终止的原生硬件实现帮助在一定程度上缓解了性能问题。
2000年代初期:统一威胁管理 (UTM)
到2003年,产生的数据量超过了以往所有信息的总和。这种数据爆炸也增加了网络攻击的风险。UTM设备在2000年代初期应运而生,它将多种安全功能(如防火墙、IDS/IPS、防病毒和内容过滤)集成到一个单一的设备中。
2000 年代中期:下一代防火墙 (NGFW)
2000年代中期,出现了高级持续性威胁(APT)。这些复杂的威胁需要新的防御策略和技术。频繁的零日漏洞利用(以前未见过的威胁)和其他威胁也导致了下一代防火墙(NGFW)硬件设备的出现。
NGFW是防火墙的一种高级形式,它包含了上述所有功能,即数据包过滤、状态/应用防火墙、IDS/IPS、NAT、VPN等,以极高的性能提供增强的安全功能和对网络流量的更精细控制。
下一代防火墙的主要功能
- 应用识别和控制:NGFW能够识别并控制应用程序,无论这些应用程序使用的端口、协议或IP地址如何。这意味着它们可以根据应用程序本身而非仅仅是网络级别的属性来执行策略。
- 身份感知:NGFW 可以与身份管理系统(例如 Active Directory)集成,根据用户身份而非 IP 地址应用策略。这允许更精细的访问控制和审计。
- 深度数据包检测:NGFW 执行深度数据包检测来分析数据包内容,从而检测并阻止隐藏在数据有效负载中的威胁。如 IDS 部分所述,这种检测通常是基于签名的。检查每一个数据包可能会占用大量资源,并且由于性能限制,在高吞吐量网络中并不总是可行。管理员通常会配置安全策略,根据应用程序、用户、源/目标IP地址和端口等因素指定哪些流量应该被检查。这些策略决定了是否需要对特定类型的流量进行更深入的内容检查。这种检查通常在完成状态检查和包过滤之后进行,这样也可以减轻深度包检查引擎的负担。
- 策略执行:基于应用、用户和内容执行策略的能力使 NGFW 能够应用更精确的安全控制。这种精细度有助于最大限度地降低未经授权的访问和数据泄露的风险。
- SSL/TLS 检查:如果允许,NGFW 可以检查加密流量(SSL 代理)以检测可能隐藏在 SSL/TLS 会话中的威胁。这一点至关重要,因为大部分互联网流量都是加密的,如果不检查流量,威胁很容易逃避检测。
- 威胁情报集成:NGFW 通常与威胁情报服务集成,提供有关新兴威胁的最新信息。这使防火墙能够动态更新其威胁数据库并有效阻止已知的恶意流量。
- 自动响应:NGFW 可以通过隔离受感染的设备、阻止恶意流量和向管理员发出警报来自动响应检测到的威胁。它们还集成了沙箱沙盒等高级恶意软件防护功能,有助于快速有效地减轻攻击的影响。
- 分段和微分段:NGFW 支持网络分段,将网络划分为更小、隔离的分段(区域),以限制威胁的传播。微分段更进一步,在网络内创建高度精细的安全区域,从而增强安全性。
- 网络功能:许多 NGFW 还支持 L2/L3 转发功能。通过集成路由和交换功能,NGFW 可以减少对单独设备的需求,从而简化网络设计和管理。将功能整合到单个设备中可降低硬件成本并降低网络基础设施的复杂性。
因此,通过将多种安全和网络功能整合到单个设备中,NGFW提供了针对各种威胁的全面保护。它们还提供了对网络流量和用户活动更好的可见性,使管理员能够洞察潜在的安全问题并应用有效的控制措施。
大多数NGFW都有专门的硬件(ASICs/FPGA)和高性能CPU来处理高流量,同时尽量减少延迟,确保安全性不会影响网络性能。Palo Alto Networks 被广泛认为是第一家引入NGFW概念和技术的公司。目前,包括Fortinet、瞻博网络和思科在内的许多公司都提供NGFW硬件设备。
NGFW 的局限性
此前,NGFW设备提供的边界安全性非常有效,但在当今的数字化环境中,网络流量高度分散,不再局限于明确界定的边界内,NGFW有效性被削弱。
组织使用多个云服务提供商来托管他们的应用程序和数据,形成了分布式的基础设施。将流量通过集中式的NGFW设备进行路由可能会导致效率低下和远程用户的性能瓶颈。
随着软件即服务(SaaS)的采用,关键业务应用驻留在云端并通过互联网访问。此外,现代网络架构,如SD-WAN,通常将用户流量直接路由到互联网,而不是回传到企业的中心数据中心。
鉴于网络流量分布的性质,需要新的安全方法来补充传统的边界安全。
2010 年代:云/虚拟 NGFW
随着云计算的兴起,保护云环境变得至关重要。云或虚拟防火墙是一种基于软件的 NGFW,可在云环境中提供防火墙功能。它提供与硬件 NGFW 设备类似的功能,但针对云和虚拟环境的独特挑战进行了量身定制。
云防火墙在企业托管的云平台、基础设施、应用程序和数据资产周围创建虚拟安全屏障。这些通常由第三方安全供应商以服务形式提供。云防火墙与企业中的NGFW设备相辅相成,提供多层次的安全策略。
2010 年代后期:SASE
安全访问服务边缘(SASE)是由Gartner在2019年定义的一种网络架构概念。它代表了广域网(WAN)和网络安全功能的融合。在SASE之前,传统的安全解决方案涉及管理、扩展和部署等单点解决方案/工具。SASE通过将这些工具融合到一个单一平台上简化了这一过程。SASE的基础组件包括软件定义广域网(SD-WAN)、安全Web网关(SWG)、云访问安全代理(CASB)、防火墙即服务(FWaaS)和零信任网络访问(ZTNA)。
ZTNA提供了一种比传统VPN更为强大的方法,并且正在许多企业中迅速取代VPN。原因显而易见。VPN 在用户通过身份验证后以隐式信任为前提运行。用户在连接时通常可以广泛访问内部网络,如果他们的凭据被泄露,风险就会增加。ZTNA 在应用程序级别实施细粒度、基于上下文的访问控制。用户被授予所需的最低访问限度,从而减少了未授权访问和在网络内横向移动的风险。
因此,SASE利用上述提到的云原生技术从分布式云位置提供网络和安全服务,以确保低延迟、高性能和可扩展性。单一管理控制台整合了网络和安全策略,简化了管理并提供了全面的可视性。SASE强调身份为主要参数,确保访问决策基于用户身份、设备状态和实时上下文。它可以轻松扩展以满足不断增长的需求,而无需额外的硬件。它通过消除对多个单点解决方案的需求并利用云规模经济,降低了运营支出。
如果企业出于遗留原因(拥有大量已安装的单点解决方案)或为了避免供应商锁定,不想部署SASE,他们可以选择继续使用针对ZTNA、SWG(安全Web网关)和其他云安全解决方案的单点解决方案。
2020 年代:网络安全中的AI/ML
在这个时代,AI/ML在增强安全态势以及威胁检测和响应机制的有效性方面发挥着关键作用。然而,广泛采用AI/ML也面临着一些挑战。实时的AI/ML处理需要大量的计算资源,这可能是昂贵的并且会影响网络性能。网络威胁不断演变,需要不断改进AI/ML模型以保持其有效性并减少误报。不完整或质量差的数据可能导致模型不准确和遗漏威胁。过多的误报可能会压垮安全团队,并在AI/ML自动阻止流量的情况下干扰流量。
最后,模型本身可能成为安全攻击的目标。用于模型训练的数据可能会被污染或篡改。组织使用各种技术来防范这种情况。最基本的是实施严格的访问控制,仅限授权人员访问AI/ML模型及其训练数据。对抗性训练,即在训练过程中定期引入对抗性示例,可用于使模型抵抗被污染的数据。使用多个模型交叉验证预测结果也有助于提高准确性。
2020 年代:5G 网络安全
5G网络的部署带来了新的安全问题,主要是由于连接设备数量的增加,这增加了攻击者潜在的入口点。管理这些终端,尤其是其中许多是具有有限安全能力的IoT设备,是一项挑战。5G支持网络切片,即在单一物理基础设施上创建多个虚拟网络。然而,这也增加了复杂性和配置错误的可能性。一个切片中的安全漏洞可能会影响到其他切片,导致广泛的安全问题。在过渡期间,5G网络必须与现有的4G和其他遗留系统互操作。确保安全互操作性的同时保持向后兼容性可能会引入漏洞。
5G网络的复杂性和规模意味着它们需要更先进的威胁检测和响应能力。实施基于AI/ML的实时监控以进行威胁检测,并确保对安全事件的快速响应是至关重要的。
未来:网络安全的 GenAI/LLM
GenAI 有可能改变人工智能在网络安全中的使用方式。大模型擅长理解文本的上下文,通过大量历史网络安全数据对LLM进行微调,可以让模型从模式和趋势中学习,并能比传统的AI/ML模型更精确地识别未来的威胁。
通过对供应商文档进行微调的LLM可以帮助安全专业人员更快地学习新的安全工具。GenAI能够从多个来源进行快速、精确的数据分析,并生成自然语言形式的事件和威胁评估摘要,从而提高生产力。这样一来,人们就可以专注于战略性和复杂的挑战,而将重复性的任务,如日志分析、威胁追踪和事件响应等工作,委托给GenAI来完成。
总结
网络安全领域的演进一直伴随着对新兴威胁的持续创新与适应。从最初的包过滤防火墙到当今复杂的下一代防火墙(NGFW)、SASE框架以及人工智能驱动的安全解决方案,这一领域经历了显著的进步。然而,随着genAI/LLM等新技术的出现,威胁环境也在不断变化。总的来说,唯有不断创新才能始终领先一步!