《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應用 > 下一代安全以人為本
下一代安全以人為本
來源:網(wǎng)界網(wǎng)
作者:岑義濤
摘要: 應用紛繁復雜,,網(wǎng)絡(luò)危機四伏,伴隨著新時代網(wǎng)絡(luò)帶來的各種問題,,安全廠商提出了很多關(guān)于下一代安全的構(gòu)想,。不論出發(fā)點是什么,所提出的理論模型能解決怎樣的安全問題,,下一代安全都應該以人為本,,更便宜、更安全,、更易用,,讓安...
關(guān)鍵詞: 安全 網(wǎng)康 防火墻
Abstract:
Key words :

 四年,從聲名鵲起到走向成熟,,從高高在上的企業(yè)級專屬到日漸形成落戶千萬家之勢,,下一代防火墻(NGFW)伴隨著爭議成長,伴隨著低價普及,。

四年過去了,,下一代防火墻已成大勢,但市場中對其解讀方式卻越來越多,,也愈發(fā)復雜,。隨著時間的流逝,越來越多的廠商舉起了NGFW的大旗,,也讓這個市場變得更加混亂,。而這些混亂,一方面源自產(chǎn)品質(zhì)量的參差不齊,,另一方面一個重要原因是對于Gartner經(jīng)典定義的“發(fā)揚光大”,。對于NGFW中應該包括和不該包括的功能,眾廠商均持有不同意見,。

今年又有幾家國內(nèi)廠商陸續(xù)發(fā)布了NGFW產(chǎn)品,,至此國內(nèi)網(wǎng)絡(luò)安全廠商全面擁抱NGFW。而在之前發(fā)布NGFW的廠商,,也不斷向其產(chǎn)品中添加新的功能(比如定位僵尸主機或DLP相關(guān)),。且不論其是否符合NGFW的發(fā)展方向,至少在創(chuàng)新這一點上比拉大旗扯虎皮者強得多。

便宜沒好貨?未必!

下一代防火墻的價格目前還處于居高不下的階段,,主要是由于下一代防火墻的研發(fā)成本和硬件成本都較高,,以某國際知名下一代防火墻提供商的產(chǎn)品為例,使用了Intel,、FGPA和ASIC三種不同的硬件芯片來分攤業(yè)務處理壓力,,同時國內(nèi)也有幾家知名安全廠商采用了相似的Intel搭配MIPS的混合架構(gòu)模式來提升NGFW產(chǎn)品的穩(wěn)定性和處理能力,多芯片分布式處理的情況會在初期對產(chǎn)品價格有明顯的提升,。因為各家廠商的銷量還不足以攤平其前期投入成本,,因此現(xiàn)階段無法提供親民的價格也屬情理之中。但是也有一些NGFW產(chǎn)品采用了最新的Intel DPDK架構(gòu),。采用通用處理器的優(yōu)勢就在于在前期可以有效控制研發(fā)成本,,從而降低前期產(chǎn)品售價。

誠然,,部分下一代防火墻由于硬件成本的問題導致價格虛高,,但是也有個別廠商在使用通用芯片架構(gòu)配以服務模式來提升產(chǎn)品性價比,通過向用戶收取整套服務費用的策略銷售下一代防火墻,,而不是將產(chǎn)品的初期高昂成本附加到用戶頭上,,打破了傳統(tǒng)“賣盒子”的模式,很大程度上降低了用戶采購成本,。

當然,,在實際采購過程中,用戶購買時更重要地還是看功能模塊,。因此,在NGFW的功能授權(quán)方面,,雖然NGFW的應用識別是與防火墻深度集成,,卻不是所有的NGFW提供商在銷售產(chǎn)品時都能將應用識別的授權(quán)向用戶免費開放。因此,,如果用戶采購了需要單獨付費的NGFW產(chǎn)品,,那么無異于提升了其采購成本。筆者認為,,應用感知和控制需要與防火墻固化,,不應存在具有應用感知和不具備應用感知兩種交付形態(tài)。對于NGFW來說,,根本就不應該存在這個問題,,但現(xiàn)實還是被廠商搞混淆了。采購時應注意應用感知和控制功能是否需要另付費,,或是打包到其他功能模塊中付費,,以免產(chǎn)生不必要的投入。

Gartner定義的NGFW部署在對延遲敏感的大型企業(yè)網(wǎng)絡(luò)環(huán)境中,這是區(qū)別于用在SMB的UTM的一個因素,,但是卻有個別廠商將NGFW產(chǎn)品主要定位于中小企業(yè)市場,。筆者認為,若是能夠做出性價比很高的產(chǎn)品,,對于價格敏感的中小企業(yè)也是個福音,,還能促使NGFW更加普及,使其成為防火墻的真正替代者,,而不只是部分替代,。其實不論是大企業(yè)還是中小企業(yè),都是在乎TCO的,。如果NGFW能夠有效地降低部署成本,,同時又可以提升安全性,那么何樂而不為呢?

漢王科技是NGFW的用戶之一,,對于漢王科技這樣的上市企業(yè),,并且是創(chuàng)造高智力附加值產(chǎn)品的企業(yè)來說,保障信息系統(tǒng)安全是信息部門日常工作的第一要務,。在信息安全治理方面,,既要滿足監(jiān)管單位的合規(guī)性要求,又要充分識別,、抵御威脅,,降低信息資產(chǎn)暴漏的風險。因此他們對于網(wǎng)絡(luò)的整體安全性要求是很嚴格的,。漢王科技股份有限公司信息技術(shù)部IT運維負責人李錦毅講道:“對于核心服務器區(qū)的安全防護,,要求安全設(shè)備必須在保證高性能的前提下提供網(wǎng)絡(luò)攻擊防護、入侵防御,、病毒防護,、URL過濾等一體化的安全防御解決方案。而在互聯(lián)網(wǎng)邊界處,,除了要求提供全面的安全防御以外,,還要對辦公網(wǎng)用戶的外發(fā)信息做到精細、嚴格的控制,,僅允許用戶向互聯(lián)網(wǎng)上的可信目標發(fā)送文件,,嚴防敏感數(shù)據(jù)泄漏”。

漢王科技股份有限公司信息技術(shù)部IT運維負責人李錦毅

李錦毅補充道:“在實際測試過程中,,給我們留下深刻印象的是網(wǎng)康NGFW在開啟入侵防御,、病毒防護、URL過濾,、數(shù)據(jù)防泄漏等安全功能后,,同樣還能保證很高的數(shù)據(jù)轉(zhuǎn)發(fā)性能,,這與我們先前曾使用過的UTM產(chǎn)品有著天壤之別”。


“看得見”才能更安全

“你不能保護你所不知道的”是安全圈的一句名言,。但遺憾的是,,雖然防火墻的功能越來越強大,但是仍然會產(chǎn)生越來越多的“不為人知”的信息,。網(wǎng)康科技市場部產(chǎn)品市場經(jīng)理熊瑛談道:“在安全建設(shè)過程中,,管理比技術(shù)上的控制更加重要,但是管理需要有技術(shù)手段提供強有力的支撐,。幾乎所有的技術(shù)人員在面對由傳統(tǒng)安全設(shè)備輸出的單調(diào),、重復、難懂的日志和報表時,,都在為如何將它們與安全風險聯(lián)系在一起而面露難色,。”

網(wǎng)康科技市場部產(chǎn)品市場經(jīng)理熊瑛

NGFW完全基于應用層構(gòu)建安全,可幫助網(wǎng)絡(luò)管理者深入地看到數(shù)據(jù)傳輸中人,、應用和內(nèi)容的情況,。此外,在對大量行為信息收集的基礎(chǔ)之上,,可在同一頁面通過一系列的單次點擊就可以完成數(shù)據(jù)的挖掘和鉆取,,并且提供了基線對比的方式,能夠以時間,、流量,、威脅為維度,對比出當前與同一歷史時間段的差異,,幫助管理者了解網(wǎng)絡(luò)的變化趨勢,,分析可疑行為。這無疑可以幫助管理員“看得更透”,。

北京藍星環(huán)境工程有限公司是中國藍星(集團)總公司在北京唯一一家子公司,,2005年開始大規(guī)模建設(shè)信息系統(tǒng),到目前70%~80%的無形資產(chǎn)均以數(shù)據(jù)的形式保存在應用服務器上,。該公司CIO胡振環(huán)講道:“我們也曾使用過一些安全設(shè)備,不過坦率地講,,傳統(tǒng)的設(shè)備所呈現(xiàn)出的各種日志總是很難讀懂,,尤其是我們并不能很好地把網(wǎng)絡(luò)語言翻譯為業(yè)務語言,將某一個攻擊事件與業(yè)務風險相掛鉤,。即便有時設(shè)備報出發(fā)現(xiàn)了網(wǎng)絡(luò)攻擊行為,,我們還是很難了解到攻擊事件發(fā)生的整個過程。幾個月前我們上線了一款NGFW設(shè)備,,第一感覺是這款防火墻提供了非常豐富的可視化界面,,有各種形式的監(jiān)控和報表直觀地呈現(xiàn)給用戶,。登錄設(shè)備管理界面,我們就可以輕松地看到網(wǎng)絡(luò)中的流量構(gòu)成,。印象比較深刻的是還可以看到IP地址所屬的國家或地區(qū),。這些在先前我們所使用的設(shè)備中是看不到的。”胡振環(huán)還強調(diào)說:“下一代防火墻強大的可視化功能,,讓我們通過直觀的查看和簡單的點擊,,就能及時發(fā)現(xiàn)隱蔽性很強的攻擊,實現(xiàn)了更加主動的防御,,我想這也體現(xiàn)了下一代防火墻帶給我們的變革,。”

北京藍星環(huán)境工程有限公司CIO胡振環(huán)

中國自動化集團有限公司網(wǎng)絡(luò)信息化主管儲可與筆者分享了他在運維中使用NGFW的經(jīng)驗。他說:“在我們的日常辦公中,,使用QQ進行溝通是非常普遍的,,但根據(jù)公司的信息安全策略,使用QQ及其他即時通信軟件進行文件傳輸?shù)男袨槭遣槐辉试S的,,而網(wǎng)康NGFW對QQ子功能的支持多達9種,。有了如此深入的識別能力,我們就可以通過設(shè)置訪問控制策略,,靈活地實現(xiàn)對QQ及其他即時通信軟件文件傳輸行為的禁止,,而僅開放這些軟件文本聊天的功能。”


向復雜說再見

“由于價格和管理復雜度的問題,,目前很多中小企業(yè)都處于裸奔狀態(tài),,或是只把下一代防火墻當做流控或傳統(tǒng)防火墻使用。雖然很多產(chǎn)品銷售出去了,,但是卻并沒有發(fā)揮出應有的作用,,這不是一件安全業(yè)界值得慶幸的事情。也就是說,,目前下一代防火墻的產(chǎn)品和技術(shù)并沒有真正地為廣大需要它的客戶去服務,,這是我們需要努力改進的一個方向。” 網(wǎng)康科技高級市場經(jīng)理嚴雷如是說,。

網(wǎng)康科技高級市場經(jīng)理 嚴雷

傳統(tǒng)安全設(shè)備的組合,,比如防火墻、IPS,、AV等設(shè)備的日志信息只將其羅列出來,,對于普通IT運維人員想要分析清楚,從中得到有價值的信息可謂比登天還難,。傳統(tǒng)的報表型日志閱讀難度高,,分析起來更加無從入手。這樣的情況下,,對于多數(shù)人來說,,安全還算是什么呢?

從傳統(tǒng)安全角度講,,每一個設(shè)備從自己的角度出發(fā),產(chǎn)生日志報表,,可是不同設(shè)備,、不同安全引擎之間并沒有聯(lián)動起來,使彼此對安全情況的認知不能交流,,這就使得我們無法了解整個網(wǎng)絡(luò)安全的全貌,。

NGFW改善了以往獨立IPS產(chǎn)品對于事件記錄挖掘不深,無法提供給安全運維人員友好的報表顯示等頑疾而受到了眾多IT人員的歡迎,。在NGFW中,,對于安全事件的深度挖掘是相當重要的?;诖罅咳罩居涗浀年P(guān)聯(lián)分析來給運維人員提出安全性建議,,無疑會加快安全問題的定位和解決的速度,某種程度上還能防患于未然,。

胡振環(huán)通過一個親身經(jīng)歷的攻擊事件向筆者講述了NGFW可視化體驗,。他說:“NGFW設(shè)備上線后,我們通過可視化界面中的色塊顯示,,發(fā)現(xiàn)網(wǎng)絡(luò)中的高風險流量占比很大,,引起了我們的懷疑,通過鼠標的一系列點擊,,發(fā)現(xiàn)內(nèi)網(wǎng)的一臺數(shù)據(jù)庫服務器被境外IP頻繁訪問,,我們隨即調(diào)整了安全策略,切斷了所有異常連接,。所有的操作都通過簡單的點擊完成,,十分方便。”

可視化技術(shù)的初衷是為了提供直觀,、簡單的信息,,為管理策略的調(diào)整提供技術(shù)支撐。傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備輸出的日志,、報表,,多以IP、連接,、帶寬為維度,,縱使統(tǒng)計全面,數(shù)據(jù)充分,,但仍然很難幫助網(wǎng)絡(luò)管理者了解網(wǎng)絡(luò)的變化趨勢,只是能被少數(shù)既精通技術(shù)又了解業(yè)務的專家所讀懂,。

NGFW的發(fā)展與異化

下一代防火墻把檢測的高度提升到應用層,,按照目前互聯(lián)網(wǎng)發(fā)展情況看,,應用層上不論攻擊還是防護,可做的事情都太多了,。因此下一代防火墻給了廠商更多的機會和主動權(quán),,大家可以在下一代防火墻的經(jīng)典定義之上做更多的事情,尤其是在各自擅長的領(lǐng)域中能有突破性創(chuàng)新,。

雖然NGFW做得越來越像UTM,,但也只是貌似而已,我們?nèi)匀豢梢栽诓煌瑥S家的NGFW產(chǎn)品中看到他們本來的面貌,。像網(wǎng)康這樣生于應用層的新興NGFW廠商,,主打功能自然聚焦在應用層。例如能夠基于用戶的應用控制和資源分配等等,。NGFW 其實并不神秘也不復雜,,只是將防火墻原本的訪問控制提升到應用層面,同時固化了應用識別特性,,所以才不叫下一代UTM ,。

網(wǎng)康科技CEO袁沈鋼

對于產(chǎn)品的發(fā)展走向,網(wǎng)康科技CEO袁沈鋼表示:“下一代防火墻最大的特點是以人容易理解的方式展現(xiàn)出整體網(wǎng)絡(luò)活動,,也就使人具有了洞察力,。NGFW在很大程度上發(fā)揮了人的判斷力、理解力和知識等各方面的能力來做更多,、更準確的判斷,。如果是傳統(tǒng)防火墻和UTM,會把這些信息割裂,,產(chǎn)生大量的碎片化信息,,讓人很難理解。而NGFW則是向人來展現(xiàn)各種相關(guān)聯(lián)的信息,。NGFW會展現(xiàn)風險程度,,以及產(chǎn)生風險的原因,從而幫助人進行快速判斷,,使人具有洞察力,。因此,NGFW的發(fā)展方向?qū)⑹浅掷m(xù)地對于新生安全威脅,、防護方法等知識的積累,。在這個基礎(chǔ)之上,加入更多的數(shù)據(jù)分析和挖掘,,使之變得更智能,,最終使人具有更強的洞察力和識別能力。這也是網(wǎng)康下一步需要更加發(fā)力的方向,。



此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。