下一代防火墙的技术背景
网络应用的爆炸式发展以及当代企业业务与互联网的紧密结合是下一代防火墙诞生的一个最主要背景。传统防火墙从网络协议栈的角度来说主要工作在第三层第四层也就是地址层和传输层,然而这种设计却对第七层应用无法进行很好的安全管控。为了解决这个问题,传统防火墙上出现了ALG技术,类似于在防火墙上开一个洞,以硬编码(hard code)的形式针对特殊的应用进行开发。然而随着网络应用的爆炸式发展,ALG方式就完全跟不上了,目前一般来说防火墙上的ALG总数都在10个以内,而单单苹果AppStore上就有100万以上的应用。这迫切要求防火墙产品能够在应用层上重新构建安全体系,这种体系不是围绕哪种具体应用,而是针对所有应用设计一个全新的安全管控框架。下一代防火墙便是这样一款产品,网络流量在下一代防火墙上被从“人、内容、应用”三个角度进行解析,然后再进行相应的安全监测和控制。在这种全新的框架下,应用得以被准确的识别、精细的检测和严格的控制。
快速变种的恶意代码
网络威胁的发展趋势则是另一个重要的技术背景。恶意代码正在变得越来越复杂越来越隐蔽越来越难于被识别。首先恶意代码的复杂度越来越高,“火焰病毒”的代码量是之前名噪一时的“震网病毒”的20倍,是普通病毒的100倍。而且恶意代码的传播变得越来越有针对性,往往是为攻击目标量身定制的,这使得恶意代码特征很难在其他地方被捕获进而令被攻击者获得防御能力。同时,恶意代码的变种速度也非常快,通过“代码特征”来进行识别变得越来越困难。针对恶意代码的这些发展趋势,下一代防火墙采用了一条截然不同的道路来进行安全防护——那就是从“代码特征”走向“行为特征”。下一代防火墙通过对应用的准确识别,以及对加密流量的识别,使得网络上的各种细节被清晰地展现在管理员面前,从而使得管理员可以识别到高风险和异常的网络行为。无论恶意代码如何变形,它总是要进行一些恶意的网络行为,相对于代码自身来说,行为特征很少改变,通过对行为的分析,就可以有效地发现恶意代码。
复杂的安全体系结构
越来越复杂的安全体系架构同样是催生下一代防火墙的重要原因。网络上的安全产品越来越多,包括杀毒、IPS、IDS、网址过滤、恶意代码扫描等,从安全的角度看这些产品都有其独特的产品价值。但如果一个组织全部采购这些产品,那么就必然要面临着高昂的购置成本、维护成本和管理配置成本。更为严重的是,这些设备彼此独立,他们产生的报告彼此之间也没有关系,这就使得管理者无法或者很困难从这些报告中获得对网络安全的整体了解。UTM产品虽然将不同的安全引擎放置在了一个盒子里,但是这只能解决购置成本问题。即使不考虑性能上的巨大下降,分散的安全引擎在配置管理上和安全分析上同样是非常困难的,这直接导致了UTM在市场上的表现不佳。下一代防火墙是围绕着应用层对安全框架进行了重新搭建,同样是多引擎结构,但是这些是围绕着应用层进行了重新的架构,安全配置是统一进行的,安全日志也是集成关联分析的。这使得多安全引擎被有机整合为一个整体,相互关联相互配合的多安全引擎,直接推动网络安全走向了一个新的台阶。
“人民安全”——网康眼中的下一代安全理念
下一代安全的本质究竟是什么?严雷认为,下一代防火墙对于防火墙的贡献,类似于苹果对手机的贡献,一方面在安全技术上下一代防火墙有新的建树——主要集中在多安全引擎集成分析和行为分析方面。但更重要的是下一代防火墙改变了“安全”的管理方式,降低了安全的“门槛”,真正将安全技术变为一种人人都可以理解和掌握的技术,把安全从专家的专属领域变为了人民的领域,这也就是网康科技主张的“人民安全”的含义。
更简单的安全
下一代安全首先是更简单的安全。下一代安全的一个基本特征就是所谓的“可视化”,意指对网络信息进行分析整理并以图形的方式进行直观展现。这种产品设计给安全管理带来的改变要比人们想象得还要深刻。以一个案例为例:
在这个案例中,网康的下一代防火墙架设在客户网络中后,我们的客户从主界面一眼就发现网络中的流量构成不正常,并利用设备提供的关联钻取功能,和IP地址国家展示功能很快的定位到问题主机和问题原因。这使得我们的客户非常兴奋,第一次我们让客户有了一种对安全的理解和信心。这就是下一代防火墙的魅力所在。由于下一代防火墙对网络信息的洞察能力和生动地呈现方式,使得网络管理者可以很容易地发现网络中的问题,并利用防火墙进行追踪定位进而进行应用级安全策略配置来解决问题。在下一代防火墙的帮助下,每一个IT管理人员都可以变成安全专家,都可以主动地对网络进行观察,探索,和控制,这就是一款“人民安全”产品的价值!
更完整的安全
其次,下一代防火墙还是更加完整的安全产品。对于中小企业来说,无论是从购置成本来考虑,还是从复杂的部署、管理、维护对人力成本的巨大要求来考虑,都不太可能部署所有的主流安全设备到网络中。而下一代防火墙一体化多威胁检测引擎的产品设计,使得用户可以拥有完整的安全能力,而且区别于UTM之处在于,下一代防火墙是围绕应用层重新构建的安全架构,多安全引擎通过应用层进行统一配置,安全日志通过应用关联进行统一分析,让管理人员能够真正以管理一台设备的方式工作,而不是像UTM那样在一个界面中管理多台无关设备。这使得用户可以真正将所有主流的安全技术轻松地应用在自己的网络中,随着下一代防火墙在普及,整个中国的安全防护水准将得到极大的提升,从这里我们又能理解到“人民安全”更深一层次的含义!
下一代防火墙的具体实现
当前市场上已经出现了很多下一代防火墙产品,根据不同公司对产品的不同理解以及不同的技术积累,在产品实现过程中就出现了很多差异性。网康科技在做具体实现的时候,也做出了很多差异性的实现。
云查杀技术
Gartner定义下一代防火墙的时候,云计算并没得到普及,然而今天,“云”已经成为了众多安全厂商竞相采用的一种技术。结合防火墙产品,云主要表现出了两方面的优势。首先是特征数量更大和特征更新更快。受限于本地存储空间大小和cpu运算能力,一般的独立防毒墙,或者UTM、防火墙产品中嵌入的杀毒引擎所具备的特征库数量基本上都是10万级的,而云端的病毒库由于不受计算能力和存储能力的限制,因此拥有多达500万以上的特征库。而且云端安全引擎不会出现扩展性问题,随着样本库的增长我们只需要调整云中心的硬件配置就可以了。需要指出的是,木马的危害性远远超过病毒和蠕虫,它是僵尸网络、数据泄露的重要途径,是对企业安全的巨大威胁。云安全技术是应对木马的有力武器,事实上,由于木马具有快速变种的特点,可以认为这种解决方案对于木马是唯一有效的检测方案。根据我们的测试,在和几款主流的安全硬件的对比中,同样的样本数据,网康下一代防火墙的检出率高达90%而其他设备的检出率不超过60%。
数据防泄漏技术
DLP的要求同样没有出现在Gartner的定义中,然而随着大数据时代的来临,数据已经成为了企业的核心资产,在国家对公共信息保护日益严格的情况下,数据泄露在给企业带来巨大损失的同时,还会为企业带来法律风险。所以,下一代安全技术中有必要针对数据泄露设计专门的防范措施。当前的许多数据检测都是发生在协议层的,例如FTP,HTTP等。而实际上,数据泄露却有着很多的渠道,许多网络应用都可以进行数据传输,例如网盘、P2P、IM等等,这些应用都有自己独特的数据传输机制,这不是从协议层可以检测出来的。所以要进行有效的数据泄露检测,必须能够针对具体应用来进行。而这恰恰是下一代防火墙的核心能力所在。网康科技针对300种能够进行数据传输的应用进行了检测,并支持66种文件类型的检查。而且还支持通过正则表达式的形式来进行关键字规则限定,并且预定义了许多数据类型例如“身份证号”、“银行卡号”、“信用卡号”等。
链路负载均衡与应用引流
除了在下一代安全技术的进一步加强外,网康还针对一些客户的实际需求做出了一些极具实用价值的新功能。比如,网康科技观察到很多客户都具有多链路出口的场景,负载均衡对这些客户有着明显的价值,于是引入了链路负载均衡功能,这对于提升我们客户的网络吞吐有着很好的帮助。除了传统的链路负载均衡功能,网康还将其独有技术“应用引流”引入到了下一代防火墙平台上,用户可以根据应用类型来决定选择哪条链路,这可以让客户将核心业务分布到优质高价链路上,将无关业务分布到劣质低价链路上,更好的发挥IT投资的价值。
如何选择下一代防火墙
如果用户希望选购下一代防火墙,那么在选型过程中应该如何评估不同的产品呢?严雷针对这个问题给出了几点建议。
应用层吞吐
首先从性能方面来看,用户一定要注意区分“网络层性能”和“应用层性能”以及“安全能力全开启性能”这三个指标的差异。传统防火墙往往会以网络层性能作为参数。然而网络层性能对于下一代防火墙而言基本没有意义。因为下一代防火墙是在应用层上工作的防火墙,因此,客户应该考察的是“应用性能”,也就是在应用识别能力开启条件下的防火墙性能。另外,下一代防火墙的核心特征之一就是多安全引擎开启不会导致严重的性能下降情况。因此客户还必须要考察在多安全引擎全部开启的情况下,防火墙的性能表现。
应用识别能力
第二点就是从应用识别能力来考量。下一代防火墙是工作在应用层基础上的防火墙,因此应用识别能力成为下一代防火墙的核心能力。首先要考察防火墙的应用库有多大,比如说网康的应用识别数为3000,网址为2600万,这在国内是领先的。其次是应用识别的细粒度,比如应用是否有足够多的分类,以便于客户管理,平台型应用是否还支持子应用识别等。另外,应用库的更新速度也很重要。
可视化能力
除了以上两点之外,还有一点比较重要那就是产品的可视化能力。下一代防火墙是一款“人民安全”产品,他最大的价值在于通过可视化方式,让安全变得简单生动。因此,可视化能力是决定下一代防火墙能否真正发挥作用的关键所在。当然这一点很难量化衡量,需要用户自己亲自动手比较过才能得出结论。网康产品中一些可视化的点,可以作为大家的参考,比如“基线对比”功能可以帮助用户发现网络中的异常情况,“ip国家属性”可以帮助用户了解来自其他国家的流量(这往往是异常流量),应用风险评分可以帮助用户了解网络中应用的可能风险。
安全能力
从安全的角度看,下一代防火墙的主要贡献在于多安全引擎的深度整合。用户首先可以考察产品中集成了哪些安全引擎?不同安全引擎的配置是一次完成还是分别完成?安全日志是分散的和一体的?日志数据是否支持相关性跳转?这些问题都可以判断这是一款真正的下一代防火墙还是一款UTM产品。
