与时俱进:下一代防火墙五大要素对抗新威胁

  近日,IDC发布《中国下一代防火墙发展趋势研究》白皮书,这是自2009年下一代防火墙概念被提出以来,IDC首度就目前国内下一代防火墙的市场格局、用户诉求进行分析,并重新对其技术定义和未来走向做出深入研究。

  道高一尺魔高一丈 防火墙应与时俱进

  IDC认为,社交网络、移动互联网、大数据和云计算构建的第三平台加速了互联网的变革,新的技术浪潮改变了现代企业的竞争法则,同时也带来了全新的网络生态环境。当今的新威胁正由小范围单点攻击向着有组织、智能化的集团冲锋演进。

  近日,网康科技安全实验室通过部署于Internet上的蜜罐系统成功捕获了一次完整的数据库服务器入侵过程,其攻击速度之快、手段之丰富、过程之隐蔽令所有技术人员吃惊。

  "从最初的扫描探查、到口令破解、再到系统提权,黑客完全控制服务器并开始进行恶意操作只用了短短的32分钟,整个入侵过程是由多个攻击源相互配合并按照一定流程共同完成的,至少使用了5种攻击手段,攻击者使用FTP、HTTP等多种方法向目标植入了百余个恶意程序,并存储在了C盘多个系统文件目录下,攻击者非常注意隐藏自己的攻击行为",据网康科技安全实验室负责人张永臣介绍,目标一旦受控,黑客往往通过在目标主机上安装有偿推广的软件或在搜索引擎中搜索某些特定的关键词(用于提升该关键词的权重)以获取经济利益,同时目标自身也自动的加入到了攻击者的行列,开始向网络上的其他主机渗透。

  安全专家指出,上述案例其实只是当前威胁的一个缩影,当今几乎所有的网络攻击均具有极高的智能程度并以组织化的形式运作。更为严重的是,黑客设计一次成功的网络攻击,首先会考虑绕过现有的防护手段并隐蔽自己的攻击行为。面对日趋复杂化、智能化的新型威胁,目前相当多的用户仍在借助传统的"老三样"(防火墙、入侵防御、防毒墙)进行防护,表面上为网络构筑了铜墙铁壁,实则成为虚弱的"最后一道防线"。IDC同时指出,企业广泛采用的传统防火墙由于其固有缺陷,已经无力应对类似于上述案例中的攻击,将现有的边界安全设备升级至下一代防火墙已是大势所趋。

  下一代防火墙必须具备的五大要素

  众所周之,扼守网络咽喉的防火墙设备,主要通过隔离、限制等手段对网络流量中的越权访问以及恶意连接进行识别和阻断,防火墙产品的历次演进均是围绕着这两大核心目标而展开的。如今,距离下一代防火墙概念首度提出已时隔5年,IDC在白皮书中提出,当今的下一代防火墙必须具备5大核心要素以有力对抗新型威胁。

  1) 针对应用、用户、终端及内容的高精度管控

  访问控制始终是防火墙类产品的核心功能,面对应用爆炸式发展、用户接入手段多样化、信息泄密问题突出等多重挑战,当今的下一代防火墙应持续增强其访问控制的精细度。

  白皮书特别强调,应用控制绝非传统意义的阻断应用,出于精细化控制的需求,下一代防火墙应该能够控制各类平台化应用的子功能,如QQ的文件传输等,同时还要能够基于用户和终端进行控制,而非传统的IP地址,并且能够对某些特定文件的内容进行深入过滤,以削减信息泄密的风险。

  应用识别技术无疑成为满足上述需求的本质,下一代防火墙在未来仍将持续提升对应用、用户、终端和内容的识别能力,并对加密流量、隧道封装的数据进行识别,随着应用识别技术在广泛度和精细度等方面的提升,企业将逐步由目前的黑名单访问控制过渡至安全级别更高的白名单模式。

  2) 一体化引擎多安全模块智能数据联动

  上述攻击案例已充分证明,当今网络威胁均为采用多种手段的复合式攻击,无论是事中的防御还是事后的溯源,都要求下一代防火墙能够将多种安全检测技术融合。为此,白皮书中首度提出了下一代防火墙应采用"一体化引擎"架构,使其能够全方位的防护安全威胁并实现智能的数据联动。

  产品专家认为,采用一体化引擎的优越性诸多,除了提升自身的防御能力外,还体现在其他两个方面。首先,一体化引擎实现了数据的单路径匹配,数据包仅需一次解码即可匹配所有威胁特征,有助于设备性能的大幅提升,让所有安全功能模块能够真正的开启并发挥作用。

  第二,对于隐蔽性极强的新型威胁,单维的分析散落多处的信息对于尽早感知威胁已毫无帮助。多安全模块的融合,使得各个安全模块在对数据检测过程中产生的信息能够充分关联,彻底改变传统安全设备信息割裂的诟病,用户无需进行人工挖掘和分析即可全面掌握威胁全貌。

  3) 外部的安全智能

  防火墙本地的运算性能和检测能力始终是有限的,下一代防火墙应该具备联动外部安全智能系统的能力。尽管这项要求早在2009年的定义中便有提及,但在当时的技术背景下,除了与用户认证系统联动之外,并未明确描述与其他系统的联动。

  随着云计算、大数据技术的不断成熟,将云端的海量资源及大数据的高度智能用于判别日趋复杂的威胁,已成为业界公认的技术发展方向。近年来市场上也已经涌现出了不少以云沙箱检测、病毒云查杀、威胁情报分析等为核心的新技术产品。

  鉴于这样的技术环境,白皮书明确指出,下一代防火墙应当具有与外部云计算联动的能力,并且能够利用大数据分析技术应对威胁特征库中并未收录的未知威胁。

  4) 可视化智能管理

  防火墙设备的洞察力往往是厂商和用户长期忽视的一项能力,然而在更复杂的威胁面前,用户需要更加及时的掌握网络现状、风险、威胁、事件以及防御效果等用于支撑安全决策,下一代防火墙的可视化技术尤为重要。

  "智能"一词对于下一代防火墙而言同样是一项新的要求,专家认为,下一代防火墙要实现的可视化智能管理,绝非传统意义上的日志呈现和TOP 10排名,真正的"智能"应该是在多维统计的基础上加以深入的分析,并将结果呈现出来,以帮助用户更加快速的了解网络风险并及时部署防御措施。

  白皮书同时指出,安全产品的有效性取决于操作安全产品的人员,在信息安全专业人才紧缺以及安全设备用户范围日趋广泛的大环境下,下一代防火墙应当简化配置难度、降低技术门槛并持续提升产品易用性。

  5) 高性能处理架构

  性能是历代防火墙产品永恒的话题,IDC研究数据表明,当前国内传统防火墙的市场份额在整体安全硬件中仍占比最高。究其根因,并非用户对下一代防火墙特有的功能缺乏需求,而是由于很多大型网络、数据中心出口出于性能的考虑无法开启所谓的"下一代"安全功能。由此可见,性能的高低决定了下一代防火墙能够部署的场景和位置,以及能否为更多的网络和系统提供保护。

  白皮书特别强调,今后的网络安全是应用层安全,所有的流量都要进行应用层的深入分析,因此下一代防火墙已将深度包检测(DPI,用于应用识别及其它应用层安全功能)作为其架构中的基础部件,设备开机即处于启动状态,并且鼓励用户打开全部安全功能。对于下一代防火墙用户而言,真正有价值的参数是其应用层性能以及开启全部安全功能后的性能。

  因此,IDC认为下一代防火墙要满足大型数据中心、运营商网络环境的性能要求,必须持续提高应用层性能及多威胁安全检测性能。

  强强联合 首度发布下一代防火墙白皮书

  IDC分析师认为,由于下一代防火墙有力并极大的提升了用户应对新威胁的能力,无疑已经成为顺应趋势并且广受用户认可的产品,同时也注意到当前无论是国内还是国外,几乎所有的传统防火墙和UTM厂商均纷纷将其产品向下一代防火墙转型。

  纵观整个信息安全行业,在最近10年发生了天翻地覆的变化,从最早的国外厂商大行其道,到当今国内产品渐成主流,从早先的"玩概念",到如今的"重体验",都充分说明信息安全已经从专业领域走向了全民关注,这要求安全产品更加贴近用户并更加清晰的呈现价值。IDC认为,网康科技作为国内新兴安全技术厂商的优秀代表,在这场传统安全颠覆性大变革中正在发挥积极的作用。

  据悉,网康科技于2012年10月发布了国内首款真正的下一代防火墙产品,迅速得到了来自市场和用户的积极反馈,如今产品上市已两年时间,其在同类产品中的多项指标始终保持领先。今年7月,网康科技荣获Frost&Sullivan颁发的"2014 中国区下一代防火墙市场增长领导奖",向业界证明了其产品在市场上的增长潜力和竞争力。本次与IDC联合发布业界首个针对下一代防火墙展开深入研究的白皮书,再一次体现了其在下一代防火墙领域的领导地位。

  IDC中国助理副总裁要刚先生表明"IDC作为一家国际性的市场研究咨询公司,在市场上可以帮助大家定义一些新型的技术,当前的防火墙技术在市场的发展没有一个整体的标准,我相信网康公司很了解,所以IDC第一个站出来对这个技术进行一些我们的分析与研究。在我们的研究过程中发现,我们对于下一代防火墙的理解和定义,和网康的下一代防火墙解决方案有着很高的契合度,所以我们选择和网康科技共同发布这本白皮书"。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:澳大利亚和新西兰私有云服务商Cloud Plus借助博科网络订阅推