2013年6月6日,,網(wǎng)絡(luò)世界百家講堂欄目第31期——“下一代防火墻,,安全可以很簡(jiǎn)單”如約與廣大技術(shù)愛好者見面。本期欄目備受關(guān)注的原因在于邀請(qǐng)到了國(guó)內(nèi)最早研究下一代防火墻的專家之一,,網(wǎng)康科技高級(jí)市場(chǎng)經(jīng)理嚴(yán)雷先生為大家解讀下一代防火墻的方方面面,。
下一代防火墻的技術(shù)背景
應(yīng)用大爆炸與下一代防火墻
嚴(yán)雷先生首先就下一代防火墻產(chǎn)品提出的背景做了講解。他談到,,網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展以及當(dāng)代企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)的緊密結(jié)合是下一代防火墻誕生的一個(gè)最主要背景,。傳統(tǒng)防火墻從網(wǎng)絡(luò)協(xié)議棧的角度來說主要工作在第三層第四層也就是地址層和傳輸層,然而這種設(shè)計(jì)卻對(duì)第七層應(yīng)用無法進(jìn)行很好的安全管控,。為了解決這個(gè)問題,,傳統(tǒng)防火墻上出現(xiàn)了ALG技術(shù),類似于在防火墻上開一個(gè)洞,,以硬編碼(hard code)的形式針對(duì)特殊的應(yīng)用進(jìn)行開發(fā),。然而隨著網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展,ALG方式就完全跟不上了,,目前一般來說防火墻上的ALG總數(shù)都在10個(gè)以內(nèi),,而單單蘋果AppStore上就有100萬以上的應(yīng)用。這迫切要求防火墻產(chǎn)品能夠在應(yīng)用層上重新構(gòu)建安全體系,,這種體系不是圍繞哪種具體應(yīng)用,,而是針對(duì)所有應(yīng)用設(shè)計(jì)一個(gè)全新的安全管控框架。下一代防火墻便是這樣一款產(chǎn)品,,網(wǎng)絡(luò)流量在下一代防火墻上被從“人,、內(nèi)容、應(yīng)用”三個(gè)角度進(jìn)行解析,,然后再進(jìn)行相應(yīng)的安全監(jiān)測(cè)和控制,。在這種全新的框架下,應(yīng)用得以被準(zhǔn)確的識(shí)別,、精細(xì)的檢測(cè)和嚴(yán)格的控制,。
快速變種的惡意代碼
網(wǎng)絡(luò)威脅的發(fā)展趨勢(shì)則是另一個(gè)重要的技術(shù)背景。惡意代碼正在變得越來越復(fù)雜越來越隱蔽越來越難于被識(shí)別,。首先惡意代碼的復(fù)雜度越來越高,,“火焰病毒”的代碼量是之前名噪一時(shí)的“震網(wǎng)病毒”的20倍,是普通病毒的100倍,。而且惡意代碼的傳播變得越來越有針對(duì)性,,往往是為攻擊目標(biāo)量身定制的,這使得惡意代碼特征很難在其他地方被捕獲進(jìn)而令被攻擊者獲得防御能力,。同時(shí),,惡意代碼的變種速度也非??欤ㄟ^“代碼特征”來進(jìn)行識(shí)別變得越來越困難,。針對(duì)惡意代碼的這些發(fā)展趨勢(shì),,下一代防火墻采用了一條截然不同的道路來進(jìn)行安全防護(hù)——那就是從“代碼特征”走向“行為特征”。下一代防火墻通過對(duì)應(yīng)用的準(zhǔn)確識(shí)別,,以及對(duì)加密流量的識(shí)別,,使得網(wǎng)絡(luò)上的各種細(xì)節(jié)被清晰地展現(xiàn)在管理員面前,從而使得管理員可以識(shí)別到高風(fēng)險(xiǎn)和異常的網(wǎng)絡(luò)行為,。無論惡意代碼如何變形,,它總是要進(jìn)行一些惡意的網(wǎng)絡(luò)行為,相對(duì)于代碼自身來說,,行為特征很少改變,,通過對(duì)行為的分析,就可以有效地發(fā)現(xiàn)惡意代碼,。
傳統(tǒng)安全模式和下一代安全模式的對(duì)比
復(fù)雜的安全體系結(jié)構(gòu)
越來越復(fù)雜的安全體系架構(gòu)同樣是催生下一代防火墻的重要原因,。網(wǎng)絡(luò)上的安全產(chǎn)品越來越多,包括殺毒,、IPS,、IDS、網(wǎng)址過濾,、惡意代碼掃描等,,從安全的角度看這些產(chǎn)品都有其獨(dú)特的產(chǎn)品價(jià)值。但如果一個(gè)組織全部采購(gòu)這些產(chǎn)品,,那么就必然要面臨著高昂的購(gòu)置成本,、維護(hù)成本和管理配置成本。更為嚴(yán)重的是,,這些設(shè)備彼此獨(dú)立,,他們產(chǎn)生的報(bào)告彼此之間也沒有關(guān)系,這就使得管理者無法或者很困難從這些報(bào)告中獲得對(duì)網(wǎng)絡(luò)安全的整體了解,。UTM產(chǎn)品雖然將不同的安全引擎放置在了一個(gè)盒子里,,但是這只能解決購(gòu)置成本問題。即使不考慮性能上的巨大下降,,分散的安全引擎在配置管理上和安全分析上同樣是非常困難的,,這直接導(dǎo)致了UTM在市場(chǎng)上的表現(xiàn)不佳。下一代防火墻是圍繞著應(yīng)用層對(duì)安全框架進(jìn)行了重新搭建,,同樣是多引擎結(jié)構(gòu),,但是這些是圍繞著應(yīng)用層進(jìn)行了重新的架構(gòu),安全配置是統(tǒng)一進(jìn)行的,,安全日志也是集成關(guān)聯(lián)分析的,。這使得多安全引擎被有機(jī)整合為一個(gè)整體,相互關(guān)聯(lián)相互配合的多安全引擎,,直接推動(dòng)網(wǎng)絡(luò)安全走向了一個(gè)新的臺(tái)階,。
“人民安全”——網(wǎng)康眼中的下一代安全理念
下一代安全的本質(zhì)究竟是什么?嚴(yán)雷認(rèn)為,下一代防火墻對(duì)于防火墻的貢獻(xiàn),,類似于蘋果對(duì)手機(jī)的貢獻(xiàn),,一方面在安全技術(shù)上下一代防火墻有新的建樹——主要集中在多安全引擎集成分析和行為分析方面。但更重要的是下一代防火墻改變了“安全”的管理方式,,降低了安全的“門檻”,,真正將安全技術(shù)變?yōu)橐环N人人都可以理解和掌握的技術(shù),把安全從專家的專屬領(lǐng)域變?yōu)榱巳嗣竦念I(lǐng)域,,這也就是網(wǎng)康科技主張的“人民安全”的含義,。
更簡(jiǎn)單的安全
下一代安全首先是更簡(jiǎn)單的安全。下一代安全的一個(gè)基本特征就是所謂的“可視化”,,意指對(duì)網(wǎng)絡(luò)信息進(jìn)行分析整理并以圖形的方式進(jìn)行直觀展現(xiàn),。這種產(chǎn)品設(shè)計(jì)給安全管理帶來的改變要比人們想象得還要深刻。以一個(gè)案例為例:
在這個(gè)案例中,,網(wǎng)康的下一代防火墻架設(shè)在客戶網(wǎng)絡(luò)中后,,我們的客戶從主界面一眼就發(fā)現(xiàn)網(wǎng)絡(luò)中的流量構(gòu)成不正常,并利用設(shè)備提供的關(guān)聯(lián)鉆取功能,,和IP地址國(guó)家展示功能很快的定位到問題主機(jī)和問題原因,。這使得我們的客戶非常興奮,第一次我們讓客戶有了一種對(duì)安全的理解和信心,。這就是下一代防火墻的魅力所在,。由于下一代防火墻對(duì)網(wǎng)絡(luò)信息的洞察能力和生動(dòng)地呈現(xiàn)方式,使得網(wǎng)絡(luò)管理者可以很容易地發(fā)現(xiàn)網(wǎng)絡(luò)中的問題,,并利用防火墻進(jìn)行追蹤定位進(jìn)而進(jìn)行應(yīng)用級(jí)安全策略配置來解決問題,。在下一代防火墻的幫助下,每一個(gè)IT管理人員都可以變成安全專家,,都可以主動(dòng)地對(duì)網(wǎng)絡(luò)進(jìn)行觀察,,探索,和控制,,這就是一款“人民安全”產(chǎn)品的價(jià)值!
更完整的安全
其次,,下一代防火墻還是更加完整的安全產(chǎn)品。對(duì)于中小企業(yè)來說,,無論是從購(gòu)置成本來考慮,,還是從復(fù)雜的部署、管理,、維護(hù)對(duì)人力成本的巨大要求來考慮,,都不太可能部署所有的主流安全設(shè)備到網(wǎng)絡(luò)中,。而下一代防火墻一體化多威脅檢測(cè)引擎的產(chǎn)品設(shè)計(jì),使得用戶可以擁有完整的安全能力,,而且區(qū)別于UTM之處在于,,下一代防火墻是圍繞應(yīng)用層重新構(gòu)建的安全架構(gòu),多安全引擎通過應(yīng)用層進(jìn)行統(tǒng)一配置,,安全日志通過應(yīng)用關(guān)聯(lián)進(jìn)行統(tǒng)一分析,,讓管理人員能夠真正以管理一臺(tái)設(shè)備的方式工作,而不是像UTM那樣在一個(gè)界面中管理多臺(tái)無關(guān)設(shè)備,。這使得用戶可以真正將所有主流的安全技術(shù)輕松地應(yīng)用在自己的網(wǎng)絡(luò)中,,隨著下一代防火墻在普及,整個(gè)中國(guó)的安全防護(hù)水準(zhǔn)將得到極大的提升,,從這里我們又能理解到“人民安全”更深一層次的含義!
下一代防火墻的具體實(shí)現(xiàn)
當(dāng)前市場(chǎng)上已經(jīng)出現(xiàn)了很多下一代防火墻產(chǎn)品,,根據(jù)不同公司對(duì)產(chǎn)品的不同理解以及不同的技術(shù)積累,在產(chǎn)品實(shí)現(xiàn)過程中就出現(xiàn)了很多差異性,。網(wǎng)康科技在做具體實(shí)現(xiàn)的時(shí)候,,也做出了很多差異性的實(shí)現(xiàn)。
云查殺技術(shù)
Gartner定義下一代防火墻的時(shí)候,云計(jì)算并沒得到普及,,然而今天,,“云”已經(jīng)成為了眾多安全廠商競(jìng)相采用的一種技術(shù)。結(jié)合防火墻產(chǎn)品,,云主要表現(xiàn)出了兩方面的優(yōu)勢(shì),。首先是特征數(shù)量更大和特征更新更快。受限于本地存儲(chǔ)空間大小和cpu運(yùn)算能力,,一般的獨(dú)立防毒墻,,或者UTM、防火墻產(chǎn)品中嵌入的殺毒引擎所具備的特征庫(kù)數(shù)量基本上都是10萬級(jí)的,,而云端的病毒庫(kù)由于不受計(jì)算能力和存儲(chǔ)能力的限制,,因此擁有多達(dá)500萬以上的特征庫(kù)。而且云端安全引擎不會(huì)出現(xiàn)擴(kuò)展性問題,,隨著樣本庫(kù)的增長(zhǎng)我們只需要調(diào)整云中心的硬件配置就可以了,。需要指出的是,木馬的危害性遠(yuǎn)遠(yuǎn)超過病毒和蠕蟲,,它是僵尸網(wǎng)絡(luò),、數(shù)據(jù)泄露的重要途徑,是對(duì)企業(yè)安全的巨大威脅,。云安全技術(shù)是應(yīng)對(duì)木馬的有力武器,,事實(shí)上,由于木馬具有快速變種的特點(diǎn),,可以認(rèn)為這種解決方案對(duì)于木馬是唯一有效的檢測(cè)方案,。根據(jù)我們的測(cè)試,,在和幾款主流的安全硬件的對(duì)比中,同樣的樣本數(shù)據(jù),,網(wǎng)康下一代防火墻的檢出率高達(dá)90%而其他設(shè)備的檢出率不超過60%,。
數(shù)據(jù)防泄漏技術(shù)
DLP的要求同樣沒有出現(xiàn)在Gartner的定義中,然而隨著大數(shù)據(jù)時(shí)代的來臨,,數(shù)據(jù)已經(jīng)成為了企業(yè)的核心資產(chǎn),在國(guó)家對(duì)公共信息保護(hù)日益嚴(yán)格的情況下,,數(shù)據(jù)泄露在給企業(yè)帶來巨大損失的同時(shí),,還會(huì)為企業(yè)帶來法律風(fēng)險(xiǎn)。所以,,下一代安全技術(shù)中有必要針對(duì)數(shù)據(jù)泄露設(shè)計(jì)專門的防范措施,。當(dāng)前的許多數(shù)據(jù)檢測(cè)都是發(fā)生在協(xié)議層的,例如FTP,,HTTP等,。而實(shí)際上,數(shù)據(jù)泄露卻有著很多的渠道,,許多網(wǎng)絡(luò)應(yīng)用都可以進(jìn)行數(shù)據(jù)傳輸,,例如網(wǎng)盤、P2P,、IM等等,,這些應(yīng)用都有自己獨(dú)特的數(shù)據(jù)傳輸機(jī)制,這不是從協(xié)議層可以檢測(cè)出來的,。所以要進(jìn)行有效的數(shù)據(jù)泄露檢測(cè),,必須能夠針對(duì)具體應(yīng)用來進(jìn)行。而這恰恰是下一代防火墻的核心能力所在,。網(wǎng)康科技針對(duì)300種能夠進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用進(jìn)行了檢測(cè),,并支持66種文件類型的檢查。而且還支持通過正則表達(dá)式的形式來進(jìn)行關(guān)鍵字規(guī)則限定,,并且預(yù)定義了許多數(shù)據(jù)類型例如“身份證號(hào)”,、“銀行卡號(hào)”、“信用卡號(hào)”等,。
鏈路負(fù)載均衡與應(yīng)用引流
除了在下一代安全技術(shù)的進(jìn)一步加強(qiáng)外,,網(wǎng)康還針對(duì)一些客戶的實(shí)際需求做出了一些極具實(shí)用價(jià)值的新功能。比如,,網(wǎng)康科技觀察到很多客戶都具有多鏈路出口的場(chǎng)景,,負(fù)載均衡對(duì)這些客戶有著明顯的價(jià)值,于是引入了鏈路負(fù)載均衡功能,,這對(duì)于提升我們客戶的網(wǎng)絡(luò)吞吐有著很好的幫助,。除了傳統(tǒng)的鏈路負(fù)載均衡功能,,網(wǎng)康還將其獨(dú)有技術(shù)“應(yīng)用引流”引入到了下一代防火墻平臺(tái)上,用戶可以根據(jù)應(yīng)用類型來決定選擇哪條鏈路,,這可以讓客戶將核心業(yè)務(wù)分布到優(yōu)質(zhì)高價(jià)鏈路上,,將無關(guān)業(yè)務(wù)分布到劣質(zhì)低價(jià)鏈路上,更好的發(fā)揮IT投資的價(jià)值,。
如何選擇下一代防火墻
如果用戶希望選購(gòu)下一代防火墻,,那么在選型過程中應(yīng)該如何評(píng)估不同的產(chǎn)品呢?嚴(yán)雷針對(duì)這個(gè)問題給出了幾點(diǎn)建議。
應(yīng)用層吞吐
首先從性能方面來看,,用戶一定要注意區(qū)分“網(wǎng)絡(luò)層性能”和“應(yīng)用層性能”以及“安全能力全開啟性能”這三個(gè)指標(biāo)的差異,。傳統(tǒng)防火墻往往會(huì)以網(wǎng)絡(luò)層性能作為參數(shù)。然而網(wǎng)絡(luò)層性能對(duì)于下一代防火墻而言基本沒有意義,。因?yàn)橄乱淮阑饓κ窃趹?yīng)用層上工作的防火墻,,因此,客戶應(yīng)該考察的是“應(yīng)用性能”,,也就是在應(yīng)用識(shí)別能力開啟條件下的防火墻性能,。另外,下一代防火墻的核心特征之一就是多安全引擎開啟不會(huì)導(dǎo)致嚴(yán)重的性能下降情況,。因此客戶還必須要考察在多安全引擎全部開啟的情況下,,防火墻的性能表現(xiàn)。
應(yīng)用識(shí)別能力
第二點(diǎn)就是從應(yīng)用識(shí)別能力來考量,。下一代防火墻是工作在應(yīng)用層基礎(chǔ)上的防火墻,,因此應(yīng)用識(shí)別能力成為下一代防火墻的核心能力。首先要考察防火墻的應(yīng)用庫(kù)有多大,,比如說網(wǎng)康的應(yīng)用識(shí)別數(shù)為3000,,網(wǎng)址為2600萬,這在國(guó)內(nèi)是領(lǐng)先的,。其次是應(yīng)用識(shí)別的細(xì)粒度,,比如應(yīng)用是否有足夠多的分類,以便于客戶管理,,平臺(tái)型應(yīng)用是否還支持子應(yīng)用識(shí)別等,。另外,應(yīng)用庫(kù)的更新速度也很重要,。
可視化能力
除了以上兩點(diǎn)之外,,還有一點(diǎn)比較重要那就是產(chǎn)品的可視化能力。下一代防火墻是一款“人民安全”產(chǎn)品,,他最大的價(jià)值在于通過可視化方式,,讓安全變得簡(jiǎn)單生動(dòng)。因此,可視化能力是決定下一代防火墻能否真正發(fā)揮作用的關(guān)鍵所在,。當(dāng)然這一點(diǎn)很難量化衡量,,需要用戶自己親自動(dòng)手比較過才能得出結(jié)論。網(wǎng)康產(chǎn)品中一些可視化的點(diǎn),,可以作為大家的參考,,比如“基線對(duì)比”功能可以幫助用戶發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況,“ip國(guó)家屬性”可以幫助用戶了解來自其他國(guó)家的流量(這往往是異常流量),,應(yīng)用風(fēng)險(xiǎn)評(píng)分可以幫助用戶了解網(wǎng)絡(luò)中應(yīng)用的可能風(fēng)險(xiǎn),。
安全能力
從安全的角度看,下一代防火墻的主要貢獻(xiàn)在于多安全引擎的深度整合,。用戶首先可以考察產(chǎn)品中集成了哪些安全引擎?不同安全引擎的配置是一次完成還是分別完成?安全日志是分散的和一體的?日志數(shù)據(jù)是否支持相關(guān)性跳轉(zhuǎn)?這些問題都可以判斷這是一款真正的下一代防火墻還是一款UTM產(chǎn)品,。