分析网络犯罪的过程,可以分为三个步骤:一是感染用户和设备、二是利用被感染的用户或设备攻击应用、第三才是破坏数据。
目前,企业信息化程度在不断加深,各种业务的应用也越来越广泛,信息安全防护的难度也变得越来越大,传统的防火墙已无法满足这样复杂多样的安全防护需求。梭子鱼中国区总经理赵强谈到,传统防火墙能提供L3/L4的安全防护,随着各类的应用成为每个企业的重要组成部分,对于L7(应用层)的需求也成为防火墙的强制性要求,但下一代防火墙还需要超越应用的可视性,它们要实现用户可视性(身份识别)和应用可视性的无缝对接,以便创建合适的安全配置文件/策略、应用流量智能管理以及推动网络优化。在此之上,下一代防火墙要先解决已知的安全威胁/签名和提供恶意软件保护的未知/混合的安全威胁。
在大多数企业常见的网络环境中,梭子鱼下一代防火墙都被设计成自下而上“分布式体系结构”的部署。Gautam在介绍梭子鱼下一代防火墙的优势时表示,梭子鱼下一代防火墙在特性和功能方面已超越了目前市场上的其他下一代防火墙,梭子鱼下一代防火墙将应用识别和用户可视性结合起来定义安全策略、智能流量管理(对多ISP链路进行链路均衡)以及流量优化(QoS策略,TFO,缓冲,压缩)。
为丰富梭子鱼下一代防火墙的产品结构,已为用户提供了网络访问控制、动态路由以及远程访问VPN支持(IPSec,SSLVPN)等内置功能,同时还有AV引擎可对事先的恶意软件威胁提供完整的保护。
除了产品的功能,下一代防火墙在应对复杂安全风险时必须考虑的关键点是对防火墙的持续管理。在许多情况下,发生安全事故仅仅是由于防火墙的错误配置。防火墙的错误安全配置每年都会被列入OWASP十大安全威胁之中。
“云”里依然需要防火墙
“信息正在快速的转移到云中,但是即便是云,也需要保护,所以不要认为防火墙会成为可有可无的项目,尽管防火墙的形成要素可能会从硬件转变为虚拟形式。”Gautam谈到。
出于对“用户、设备和应用识别”的迫切需要;传统防火墙不再能满足网络需求,它们将被下一代防火墙所取代,但是用户要意识到有很多厂商并不喜欢下一代防火墙,他们认为下一代防火墙只是在传统防火墙上添加了一些额外的特性而已。Gautam认为目前来看,IT消费化、BYOD、社交媒体以及恶意软件威胁已经成了每个企业都要面临的新挑战,这种趋势会推动防火墙的发展,即便有部分厂商并不认为合适的防火墙就能赢得战斗。
针对目前企业在选型下一代防火墙时,Gautam也给出了一些关键的考虑因素供企业用户参考,具体包括:
•分布式架构——部署需考虑的远程站点数量。
•L3/L4网络安全——IDS/IPS,用户验证,网络访问控制
•恶意软件保护——AV引擎,Web过滤
•端到端代理——把云基础的Web安全和NG装置整合起来
•L7应用检测——应用,子应用,地理位置,嵌入式内容(匿名)
•智能流量管理——链接均衡/支持多ISP链接,包括3G/UMTS接入
•网络优化——流量控制,TCP流量优化,压缩和缓存
•集中式管理——分布式地址,多用户,多管理员角色,粒度报告和实时监控
Gautam表示,无论是中国还是世界各地,下一代防火墙的发展方向都将是如何提升其执行效率,如何将其与最新的云安全和应用服务相结合,如何对L7DDoS攻击做出响应,如何提供恶意软件保护抵御混合式攻击,以及能继续有效的执行所有L3/L4网络安全功能同时扩大网络的需求及其复杂度。 |
