2013年6月6日,網(wǎng)絡(luò)世界百家講堂欄目第31期——“下一代防火墻,安全可以很簡單”如約與廣大技術(shù)愛好者見面。本期欄目備受關(guān)注的原因在于邀請到了國內(nèi)最早研究下一代防火墻的專家之一,網(wǎng)康科技高級市場經(jīng)理嚴(yán)雷先生為大家解讀下一代防火墻的方方面面。
下一代防火墻的技術(shù)背景
應(yīng)用大爆炸與下一代防火墻
嚴(yán)雷先生首先就下一代防火墻產(chǎn)品提出的背景做了講解。他談到,網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展以及當(dāng)代企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)的緊密結(jié)合是下一代防火墻誕生的一個最主要背景。傳統(tǒng)防火墻從網(wǎng)絡(luò)協(xié)議棧的角度來說主要工作在第三層第四層也就是地址層和傳輸層,然而這種設(shè)計卻對第七層應(yīng)用無法進(jìn)行很好的安全管控。為了解決這個問題,傳統(tǒng)防火墻上出現(xiàn)了ALG技術(shù),類似于在防火墻上開一個洞,以硬編碼(hard code)的形式針對特殊的應(yīng)用進(jìn)行開發(fā)。然而隨著網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展,ALG方式就完全跟不上了,目前一般來說防火墻上的ALG總數(shù)都在10個以內(nèi),而單單蘋果AppStore上就有100萬以上的應(yīng)用。這迫切要求防火墻產(chǎn)品能夠在應(yīng)用層上重新構(gòu)建安全體系,這種體系不是圍繞哪種具體應(yīng)用,而是針對所有應(yīng)用設(shè)計一個全新的安全管控框架。下一代防火墻便是這樣一款產(chǎn)品,網(wǎng)絡(luò)流量在下一代防火墻上被從“人、內(nèi)容、應(yīng)用”三個角度進(jìn)行解析,然后再進(jìn)行相應(yīng)的安全監(jiān)測和控制。在這種全新的框架下,應(yīng)用得以被準(zhǔn)確的識別、精細(xì)的檢測和嚴(yán)格的控制。
快速變種的惡意代碼
網(wǎng)絡(luò)威脅的發(fā)展趨勢則是另一個重要的技術(shù)背景。惡意代碼正在變得越來越復(fù)雜越來越隱蔽越來越難于被識別。首先惡意代碼的復(fù)雜度越來越高,“火焰病毒”的代碼量是之前名噪一時的“震網(wǎng)病毒”的20倍,是普通病毒的100倍。而且惡意代碼的傳播變得越來越有針對性,往往是為攻擊目標(biāo)量身定制的,這使得惡意代碼特征很難在其他地方被捕獲進(jìn)而令被攻擊者獲得防御能力。同時,惡意代碼的變種速度也非常快,通過“代碼特征”來進(jìn)行識別變得越來越困難。針對惡意代碼的這些發(fā)展趨勢,下一代防火墻采用了一條截然不同的道路來進(jìn)行安全防護(hù)——那就是從“代碼特征”走向“行為特征”。下一代防火墻通過對應(yīng)用的準(zhǔn)確識別,以及對加密流量的識別,使得網(wǎng)絡(luò)上的各種細(xì)節(jié)被清晰地展現(xiàn)在管理員面前,從而使得管理員可以識別到高風(fēng)險和異常的網(wǎng)絡(luò)行為。無論惡意代碼如何變形,它總是要進(jìn)行一些惡意的網(wǎng)絡(luò)行為,相對于代碼自身來說,行為特征很少改變,通過對行為的分析,就可以有效地發(fā)現(xiàn)惡意代碼。
傳統(tǒng)安全模式和下一代安全模式的對比
復(fù)雜的安全體系結(jié)構(gòu)
越來越復(fù)雜的安全體系架構(gòu)同樣是催生下一代防火墻的重要原因。網(wǎng)絡(luò)上的安全產(chǎn)品越來越多,包括殺毒、IPS、IDS、網(wǎng)址過濾、惡意代碼掃描等,從安全的角度看這些產(chǎn)品都有其獨特的產(chǎn)品價值。但如果一個組織全部采購這些產(chǎn)品,那么就必然要面臨著高昂的購置成本、維護(hù)成本和管理配置成本。更為嚴(yán)重的是,這些設(shè)備彼此獨立,他們產(chǎn)生的報告彼此之間也沒有關(guān)系,這就使得管理者無法或者很困難從這些報告中獲得對網(wǎng)絡(luò)安全的整體了解。UTM產(chǎn)品雖然將不同的安全引擎放置在了一個盒子里,但是這只能解決購置成本問題。即使不考慮性能上的巨大下降,分散的安全引擎在配置管理上和安全分析上同樣是非常困難的,這直接導(dǎo)致了UTM在市場上的表現(xiàn)不佳。下一代防火墻是圍繞著應(yīng)用層對安全框架進(jìn)行了重新搭建,同樣是多引擎結(jié)構(gòu),但是這些是圍繞著應(yīng)用層進(jìn)行了重新的架構(gòu),安全配置是統(tǒng)一進(jìn)行的,安全日志也是集成關(guān)聯(lián)分析的。這使得多安全引擎被有機(jī)整合為一個整體,相互關(guān)聯(lián)相互配合的多安全引擎,直接推動網(wǎng)絡(luò)安全走向了一個新的臺階。
“人民安全”——網(wǎng)康眼中的下一代安全理念
下一代安全的本質(zhì)究竟是什么?嚴(yán)雷認(rèn)為,下一代防火墻對于防火墻的貢獻(xiàn),類似于蘋果對手機(jī)的貢獻(xiàn),一方面在安全技術(shù)上下一代防火墻有新的建樹——主要集中在多安全引擎集成分析和行為分析方面。但更重要的是下一代防火墻改變了“安全”的管理方式,降低了安全的“門檻”,真正將安全技術(shù)變?yōu)橐环N人人都可以理解和掌握的技術(shù),把安全從專家的專屬領(lǐng)域變?yōu)榱巳嗣竦念I(lǐng)域,這也就是網(wǎng)康科技主張的“人民安全”的含義。
更簡單的安全
下一代安全首先是更簡單的安全。下一代安全的一個基本特征就是所謂的“可視化”,意指對網(wǎng)絡(luò)信息進(jìn)行分析整理并以圖形的方式進(jìn)行直觀展現(xiàn)。這種產(chǎn)品設(shè)計給安全管理帶來的改變要比人們想象得還要深刻。以一個案例為例:
在這個案例中,網(wǎng)康的下一代防火墻架設(shè)在客戶網(wǎng)絡(luò)中后,我們的客戶從主界面一眼就發(fā)現(xiàn)網(wǎng)絡(luò)中的流量構(gòu)成不正常,并利用設(shè)備提供的關(guān)聯(lián)鉆取功能,和IP地址國家展示功能很快的定位到問題主機(jī)和問題原因。這使得我們的客戶非常興奮,第一次我們讓客戶有了一種對安全的理解和信心。這就是下一代防火墻的魅力所在。由于下一代防火墻對網(wǎng)絡(luò)信息的洞察能力和生動地呈現(xiàn)方式,使得網(wǎng)絡(luò)管理者可以很容易地發(fā)現(xiàn)網(wǎng)絡(luò)中的問題,并利用防火墻進(jìn)行追蹤定位進(jìn)而進(jìn)行應(yīng)用級安全策略配置來解決問題。在下一代防火墻的幫助下,每一個IT管理人員都可以變成安全專家,都可以主動地對網(wǎng)絡(luò)進(jìn)行觀察,探索,和控制,這就是一款“人民安全”產(chǎn)品的價值!
更完整的安全
其次,下一代防火墻還是更加完整的安全產(chǎn)品。對于中小企業(yè)來說,無論是從購置成本來考慮,還是從復(fù)雜的部署、管理、維護(hù)對人力成本的巨大要求來考慮,都不太可能部署所有的主流安全設(shè)備到網(wǎng)絡(luò)中。而下一代防火墻一體化多威脅檢測引擎的產(chǎn)品設(shè)計,使得用戶可以擁有完整的安全能力,而且區(qū)別于UTM之處在于,下一代防火墻是圍繞應(yīng)用層重新構(gòu)建的安全架構(gòu),多安全引擎通過應(yīng)用層進(jìn)行統(tǒng)一配置,安全日志通過應(yīng)用關(guān)聯(lián)進(jìn)行統(tǒng)一分析,讓管理人員能夠真正以管理一臺設(shè)備的方式工作,而不是像UTM那樣在一個界面中管理多臺無關(guān)設(shè)備。這使得用戶可以真正將所有主流的安全技術(shù)輕松地應(yīng)用在自己的網(wǎng)絡(luò)中,隨著下一代防火墻在普及,整個中國的安全防護(hù)水準(zhǔn)將得到極大的提升,從這里我們又能理解到“人民安全”更深一層次的含義!
下一代防火墻的具體實現(xiàn)
當(dāng)前市場上已經(jīng)出現(xiàn)了很多下一代防火墻產(chǎn)品,根據(jù)不同公司對產(chǎn)品的不同理解以及不同的技術(shù)積累,在產(chǎn)品實現(xiàn)過程中就出現(xiàn)了很多差異性。網(wǎng)康科技在做具體實現(xiàn)的時候,也做出了很多差異性的實現(xiàn)。
云查殺技術(shù)
Gartner定義下一代防火墻的時候,云計算并沒得到普及,然而今天,“云”已經(jīng)成為了眾多安全廠商競相采用的一種技術(shù)。結(jié)合防火墻產(chǎn)品,云主要表現(xiàn)出了兩方面的優(yōu)勢。首先是特征數(shù)量更大和特征更新更快。受限于本地存儲空間大小和cpu運算能力,一般的獨立防毒墻,或者UTM、防火墻產(chǎn)品中嵌入的殺毒引擎所具備的特征庫數(shù)量基本上都是10萬級的,而云端的病毒庫由于不受計算能力和存儲能力的限制,因此擁有多達(dá)500萬以上的特征庫。而且云端安全引擎不會出現(xiàn)擴(kuò)展性問題,隨著樣本庫的增長我們只需要調(diào)整云中心的硬件配置就可以了。需要指出的是,木馬的危害性遠(yuǎn)遠(yuǎn)超過病毒和蠕蟲,它是僵尸網(wǎng)絡(luò)、數(shù)據(jù)泄露的重要途徑,是對企業(yè)安全的巨大威脅。云安全技術(shù)是應(yīng)對木馬的有力武器,事實上,由于木馬具有快速變種的特點,可以認(rèn)為這種解決方案對于木馬是唯一有效的檢測方案。根據(jù)我們的測試,在和幾款主流的安全硬件的對比中,同樣的樣本數(shù)據(jù),網(wǎng)康下一代防火墻的檢出率高達(dá)90%而其他設(shè)備的檢出率不超過60%。
數(shù)據(jù)防泄漏技術(shù)
DLP的要求同樣沒有出現(xiàn)在Gartner的定義中,然而隨著大數(shù)據(jù)時代的來臨,數(shù)據(jù)已經(jīng)成為了企業(yè)的核心資產(chǎn),在國家對公共信息保護(hù)日益嚴(yán)格的情況下,數(shù)據(jù)泄露在給企業(yè)帶來巨大損失的同時,還會為企業(yè)帶來法律風(fēng)險。所以,下一代安全技術(shù)中有必要針對數(shù)據(jù)泄露設(shè)計專門的防范措施。當(dāng)前的許多數(shù)據(jù)檢測都是發(fā)生在協(xié)議層的,例如FTP,HTTP等。而實際上,數(shù)據(jù)泄露卻有著很多的渠道,許多網(wǎng)絡(luò)應(yīng)用都可以進(jìn)行數(shù)據(jù)傳輸,例如網(wǎng)盤、P2P、IM等等,這些應(yīng)用都有自己獨特的數(shù)據(jù)傳輸機(jī)制,這不是從協(xié)議層可以檢測出來的。所以要進(jìn)行有效的數(shù)據(jù)泄露檢測,必須能夠針對具體應(yīng)用來進(jìn)行。而這恰恰是下一代防火墻的核心能力所在。網(wǎng)康科技針對300種能夠進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用進(jìn)行了檢測,并支持66種文件類型的檢查。而且還支持通過正則表達(dá)式的形式來進(jìn)行關(guān)鍵字規(guī)則限定,并且預(yù)定義了許多數(shù)據(jù)類型例如“身份證號”、“銀行卡號”、“信用卡號”等。
鏈路負(fù)載均衡與應(yīng)用引流
除了在下一代安全技術(shù)的進(jìn)一步加強(qiáng)外,網(wǎng)康還針對一些客戶的實際需求做出了一些極具實用價值的新功能。比如,網(wǎng)康科技觀察到很多客戶都具有多鏈路出口的場景,負(fù)載均衡對這些客戶有著明顯的價值,于是引入了鏈路負(fù)載均衡功能,這對于提升我們客戶的網(wǎng)絡(luò)吞吐有著很好的幫助。除了傳統(tǒng)的鏈路負(fù)載均衡功能,網(wǎng)康還將其獨有技術(shù)“應(yīng)用引流”引入到了下一代防火墻平臺上,用戶可以根據(jù)應(yīng)用類型來決定選擇哪條鏈路,這可以讓客戶將核心業(yè)務(wù)分布到優(yōu)質(zhì)高價鏈路上,將無關(guān)業(yè)務(wù)分布到劣質(zhì)低價鏈路上,更好的發(fā)揮IT投資的價值。
如何選擇下一代防火墻
如果用戶希望選購下一代防火墻,那么在選型過程中應(yīng)該如何評估不同的產(chǎn)品呢?嚴(yán)雷針對這個問題給出了幾點建議。
應(yīng)用層吞吐
首先從性能方面來看,用戶一定要注意區(qū)分“網(wǎng)絡(luò)層性能”和“應(yīng)用層性能”以及“安全能力全開啟性能”這三個指標(biāo)的差異。傳統(tǒng)防火墻往往會以網(wǎng)絡(luò)層性能作為參數(shù)。然而網(wǎng)絡(luò)層性能對于下一代防火墻而言基本沒有意義。因為下一代防火墻是在應(yīng)用層上工作的防火墻,因此,客戶應(yīng)該考察的是“應(yīng)用性能”,也就是在應(yīng)用識別能力開啟條件下的防火墻性能。另外,下一代防火墻的核心特征之一就是多安全引擎開啟不會導(dǎo)致嚴(yán)重的性能下降情況。因此客戶還必須要考察在多安全引擎全部開啟的情況下,防火墻的性能表現(xiàn)。
應(yīng)用識別能力
第二點就是從應(yīng)用識別能力來考量。下一代防火墻是工作在應(yīng)用層基礎(chǔ)上的防火墻,因此應(yīng)用識別能力成為下一代防火墻的核心能力。首先要考察防火墻的應(yīng)用庫有多大,比如說網(wǎng)康的應(yīng)用識別數(shù)為3000,網(wǎng)址為2600萬,這在國內(nèi)是領(lǐng)先的。其次是應(yīng)用識別的細(xì)粒度,比如應(yīng)用是否有足夠多的分類,以便于客戶管理,平臺型應(yīng)用是否還支持子應(yīng)用識別等。另外,應(yīng)用庫的更新速度也很重要。
可視化能力
除了以上兩點之外,還有一點比較重要那就是產(chǎn)品的可視化能力。下一代防火墻是一款“人民安全”產(chǎn)品,他最大的價值在于通過可視化方式,讓安全變得簡單生動。因此,可視化能力是決定下一代防火墻能否真正發(fā)揮作用的關(guān)鍵所在。當(dāng)然這一點很難量化衡量,需要用戶自己親自動手比較過才能得出結(jié)論。網(wǎng)康產(chǎn)品中一些可視化的點,可以作為大家的參考,比如“基線對比”功能可以幫助用戶發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況,“ip國家屬性”可以幫助用戶了解來自其他國家的流量(這往往是異常流量),應(yīng)用風(fēng)險評分可以幫助用戶了解網(wǎng)絡(luò)中應(yīng)用的可能風(fēng)險。
安全能力
從安全的角度看,下一代防火墻的主要貢獻(xiàn)在于多安全引擎的深度整合。用戶首先可以考察產(chǎn)品中集成了哪些安全引擎?不同安全引擎的配置是一次完成還是分別完成?安全日志是分散的和一體的?日志數(shù)據(jù)是否支持相關(guān)性跳轉(zhuǎn)?這些問題都可以判斷這是一款真正的下一代防火墻還是一款UTM產(chǎn)品。