在當(dāng)今互聯(lián)網(wǎng)熱潮下,應(yīng)用興起、安全問題日益突出,安全技術(shù)急需進(jìn)一步改進(jìn)。下一代防火墻正是在這種發(fā)展推動(dòng)下誕生的,隨著其技術(shù)逐漸被接受,Palo Alto Network這個(gè)下一代防火墻技術(shù)的首創(chuàng)者也迅速躋身全球安全廠商領(lǐng)先行列。國內(nèi),受到Palo Alto成功故事的激勵(lì),下一代防火墻的熱潮也帶來了巨大影響,國內(nèi)安全界涌現(xiàn)出大量不同品牌的下一代防火墻設(shè)備。這些設(shè)備在架構(gòu)及功能上不斷做著新的嘗試和努力,有些努力進(jìn)入了誤區(qū),有些則帶來了新意和突破。
下一代防火墻的困局與誤區(qū)
從下一代防火墻登錄國內(nèi)開始,一場技術(shù)上的革新便在不斷沖擊著行業(yè)。眼看著IPS、防病毒等安全功能逐漸融入到一體化引擎中,應(yīng)用處理速度也在逐年提高。但從2013年開始,仿佛一夜之間所有的防火墻都已經(jīng)擁有了一體化引擎和并發(fā)處理技術(shù),安全行業(yè)必須要面臨的一個(gè)困境就是下一代防火墻的技術(shù)發(fā)展在哪里?圍繞這個(gè)問題,我們看到各個(gè)廠家都提出了一些思路,但有些不免進(jìn)入了誤區(qū),這些誤區(qū)可以歸結(jié)為兩方面:
1、 傳統(tǒng)技術(shù)的再包裝
我們可以看到市場上出現(xiàn)了很多下一代防火墻的概念包裝,支持移動(dòng)應(yīng)用、可以防護(hù)僵尸網(wǎng)絡(luò)等一系列功能看起來都在推進(jìn)市場的進(jìn)步。但進(jìn)一步分析后會(huì)發(fā)現(xiàn),移動(dòng)應(yīng)用和普通應(yīng)用在分析技術(shù)上并無差異,如果非要分門別類,移動(dòng)應(yīng)用其實(shí)就是所有應(yīng)用中的一個(gè)小類,這其實(shí)算不上什么新功能。而現(xiàn)在宣稱能夠支持發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的設(shè)備則是對(duì)入侵攻擊特征庫的重新包裝和分類,是將一部分和蠕蟲、木馬等相關(guān)的特征歸類包裝后的產(chǎn)物。從技術(shù)發(fā)展的角度來講,這些改變都沒帶來跨越性的進(jìn)步,僅是在前人的道路上繼續(xù)行走。
2、 多既是好
如果說再包裝僅是沒能實(shí)現(xiàn)技術(shù)上的跨越,那第二種誤區(qū)帶來的可能會(huì)包含更多危害,這個(gè)誤區(qū)就是認(rèn)為在一體化引擎概念的保護(hù)下安全功能集成的越多則設(shè)備越好。這種思維從市場需求上來講毫無問題,但其忽略了一體化技術(shù)將多種功能整合的可能性以及資源開銷。比如遠(yuǎn)程漏洞掃描技術(shù)本身和防火墻狀態(tài)轉(zhuǎn)發(fā)流程并無直接關(guān)系,所以根本不存在一體化設(shè)計(jì)的可能,那在防火墻設(shè)備上集成此技術(shù)就需要額外分配一部分系統(tǒng)資源用于獨(dú)立運(yùn)行此功能。在CPU和內(nèi)存無法提升的情況下,系統(tǒng)轉(zhuǎn)發(fā)性能勢必會(huì)受到這種設(shè)計(jì)的影響,這無非是走了用性能換功能的UTM老路,對(duì)于客戶來說并無益處。
下一代防火墻的新思路
在這樣的困境和誤區(qū)下,下一代防火墻將如何發(fā)展?很多廠家都在積極尋找方向,其中國內(nèi)安全企業(yè)綠盟科技提出了一種讓筆者印象深刻的思路:云、管、端立體式防護(hù),即用云來分析、在管道處進(jìn)行防護(hù)、在終端側(cè)進(jìn)行預(yù)警。
在這個(gè)體系中,綠盟科技首先準(zhǔn)確的抓住了防火墻安全防護(hù)的兩大難題:策略與日志。
眾所周知,策略在防火墻的防護(hù)工作中一直承擔(dān)著重要作用,但在當(dāng)前移動(dòng)互聯(lián)大潮的沖擊下,應(yīng)用的變化實(shí)在迅速,新應(yīng)用在不斷挑戰(zhàn)老舊策略,而管理人員可能尚不知曉此應(yīng)用已經(jīng)在網(wǎng)絡(luò)中泛濫;而Wi-Fi、BYOD等方案更是讓內(nèi)網(wǎng)設(shè)備的接入呈現(xiàn)出地點(diǎn)多變、時(shí)間隨意的特點(diǎn),直接導(dǎo)致安全策略無法準(zhǔn)確限制大量不安全行為。這便是策略的問題。
而日志作為安全問題的重要分析手段,經(jīng)常性的沒有得到企業(yè)客戶的應(yīng)有重視,這導(dǎo)致了安全問題無法溯源、暗藏的風(fēng)險(xiǎn)無法在早期被關(guān)注。但從企業(yè)角度來看,也確實(shí)存在苦衷。大量的日志存儲(chǔ)設(shè)備投資、缺乏專業(yè)的安全日志分析人員、頻繁而不定時(shí)的日志提醒與查看都在制約著企業(yè)完善自身的安全日志管理。
為了應(yīng)對(duì)以上兩個(gè)問題,綠盟科技將下一代防火墻的防護(hù)體系進(jìn)行了擴(kuò)展,引入了內(nèi)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)管理功能來為管理員提供風(fēng)險(xiǎn)的預(yù)警和策略的指導(dǎo)。為了提供便捷有效的日志管理,更是首家推出了云端的安全日志管理功能。
內(nèi)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)管理
這里的內(nèi)網(wǎng)資產(chǎn)指內(nèi)網(wǎng)主機(jī)以及這些主機(jī)上的相關(guān)軟件,為了對(duì)資產(chǎn)做到有效的識(shí)別,綠盟科技采用被動(dòng)資產(chǎn)識(shí)別技術(shù),此技術(shù)可以不借助終端軟件的幫助,僅對(duì)流量行為進(jìn)行分析即可識(shí)別內(nèi)網(wǎng)主機(jī)上的操作系統(tǒng)、瀏覽器、殺毒軟件及應(yīng)用等信息。而在獲取了資產(chǎn)信息后防火墻可根據(jù)內(nèi)置的風(fēng)險(xiǎn)評(píng)分系統(tǒng)對(duì)資產(chǎn)的綜合情況進(jìn)行評(píng)價(jià),并以數(shù)字化的形式將內(nèi)網(wǎng)風(fēng)險(xiǎn)直觀的展現(xiàn)在管理員面前。同時(shí)再輔以細(xì)粒度的安全策略,可以對(duì)高風(fēng)險(xiǎn)資產(chǎn)做到有效管控,這樣便真正做到了安全風(fēng)險(xiǎn)有預(yù)警、策略配置有指導(dǎo),大大提升了內(nèi)網(wǎng)安全性和安全管理效率。
云端安全日志管理
綠盟科技基于自身長期對(duì)云安全的理解和實(shí)踐,在下一代防火墻上首先推出云日志管理,利用云所提供的靈活性,下一代防火墻使用者可在任意時(shí)間和地點(diǎn)通過互聯(lián)網(wǎng)來查詢并處理安全日志,而云端利用自身強(qiáng)大的分析能力以及綠盟科技深厚的安全經(jīng)驗(yàn)可以將安全日志通過多種易讀的圖形報(bào)表展示出來,并能與全國趨勢進(jìn)行比對(duì),進(jìn)而幫助用戶了解自身安全狀況。這將極大地減輕日志處理的復(fù)雜度,并全面提升安全系統(tǒng)的問題回溯和跟蹤能力。
除了終端的預(yù)警和云端的分析,綠盟科技的安全體系將下一代防火墻固有的安全功能都?xì)w類為對(duì)流量管道的管理,這里既包含了傳統(tǒng)防火墻上的功能,也涵蓋了入侵防護(hù)、應(yīng)用識(shí)別等下一代防火墻特性。至此一套完整的體系便建立完成,其中云、管、端三個(gè)元素相輔相成,構(gòu)成了綠盟科技的安全防護(hù)理念。
在下一代防火墻市場魚龍混雜的當(dāng)今,我們欣喜地看到了綠盟科技的新思路和新技術(shù),這些都將帶動(dòng)整個(gè)市場的發(fā)展。而在綠盟科技以外,華為、山石等廠家也在不斷出新,不斷進(jìn)步。這也讓我們有理由相信,未來會(huì)出現(xiàn)一個(gè)百花齊放的下一代防火墻市場。