在當今互聯(lián)網(wǎng)熱潮下,應用興起����、安全問題日益突出,安全技術急需進一步改進��。下一代防火墻正是在這種發(fā)展推動下誕生的�����,隨著其技術逐漸被接受,Palo Alto Network這個下一代防火墻技術的首創(chuàng)者也迅速躋身全球安全廠商領先行列����。國內,受到Palo Alto成功故事的激勵��,下一代防火墻的熱潮也帶來了巨大影響����,國內安全界涌現(xiàn)出大量不同品牌的下一代防火墻設備。這些設備在架構及功能上不斷做著新的嘗試和努力�,有些努力進入了誤區(qū),有些則帶來了新意和突破���。
下一代防火墻的困局與誤區(qū)
從下一代防火墻登錄國內開始�,一場技術上的革新便在不斷沖擊著行業(yè)����。眼看著IPS、防病毒等安全功能逐漸融入到一體化引擎中����,應用處理速度也在逐年提高。但從2013年開始�����,仿佛一夜之間所有的防火墻都已經(jīng)擁有了一體化引擎和并發(fā)處理技術�����,安全行業(yè)必須要面臨的一個困境就是下一代防火墻的技術發(fā)展在哪里��?圍繞這個問題��,我們看到各個廠家都提出了一些思路�����,但有些不免進入了誤區(qū)�,這些誤區(qū)可以歸結為兩方面:
1、 傳統(tǒng)技術的再包裝
我們可以看到市場上出現(xiàn)了很多下一代防火墻的概念包裝����,支持移動應用、可以防護僵尸網(wǎng)絡等一系列功能看起來都在推進市場的進步���。但進一步分析后會發(fā)現(xiàn)�����,移動應用和普通應用在分析技術上并無差異��,如果非要分門別類��,移動應用其實就是所有應用中的一個小類�,這其實算不上什么新功能。而現(xiàn)在宣稱能夠支持發(fā)現(xiàn)僵尸網(wǎng)絡的設備則是對入侵攻擊特征庫的重新包裝和分類����,是將一部分和蠕蟲、木馬等相關的特征歸類包裝后的產(chǎn)物��。從技術發(fā)展的角度來講�����,這些改變都沒帶來跨越性的進步�����,僅是在前人的道路上繼續(xù)行走����。
2�����、 多既是好
如果說再包裝僅是沒能實現(xiàn)技術上的跨越,那第二種誤區(qū)帶來的可能會包含更多危害����,這個誤區(qū)就是認為在一體化引擎概念的保護下安全功能集成的越多則設備越好。這種思維從市場需求上來講毫無問題��,但其忽略了一體化技術將多種功能整合的可能性以及資源開銷����。比如遠程漏洞掃描技術本身和防火墻狀態(tài)轉發(fā)流程并無直接關系,所以根本不存在一體化設計的可能�����,那在防火墻設備上集成此技術就需要額外分配一部分系統(tǒng)資源用于獨立運行此功能���。在CPU和內存無法提升的情況下��,系統(tǒng)轉發(fā)性能勢必會受到這種設計的影響��,這無非是走了用性能換功能的UTM老路����,對于客戶來說并無益處。
下一代防火墻的新思路
在這樣的困境和誤區(qū)下�����,下一代防火墻將如何發(fā)展�?很多廠家都在積極尋找方向,其中國內安全企業(yè)綠盟科技提出了一種讓筆者印象深刻的思路:云��、管�����、端立體式防護����,即用云來分析、在管道處進行防護��、在終端側進行預警���。
在這個體系中����,綠盟科技首先準確的抓住了防火墻安全防護的兩大難題:策略與日志。
眾所周知����,策略在防火墻的防護工作中一直承擔著重要作用,但在當前移動互聯(lián)大潮的沖擊下����,應用的變化實在迅速����,新應用在不斷挑戰(zhàn)老舊策略,而管理人員可能尚不知曉此應用已經(jīng)在網(wǎng)絡中泛濫��;而Wi-Fi��、BYOD等方案更是讓內網(wǎng)設備的接入呈現(xiàn)出地點多變��、時間隨意的特點��,直接導致安全策略無法準確限制大量不安全行為�����。這便是策略的問題�����。
而日志作為安全問題的重要分析手段,經(jīng)常性的沒有得到企業(yè)客戶的應有重視���,這導致了安全問題無法溯源�����、暗藏的風險無法在早期被關注���。但從企業(yè)角度來看,也確實存在苦衷����。大量的日志存儲設備投資、缺乏專業(yè)的安全日志分析人員����、頻繁而不定時的日志提醒與查看都在制約著企業(yè)完善自身的安全日志管理。
為了應對以上兩個問題�,綠盟科技將下一代防火墻的防護體系進行了擴展,引入了內網(wǎng)資產(chǎn)風險管理功能來為管理員提供風險的預警和策略的指導�����。為了提供便捷有效的日志管理,更是首家推出了云端的安全日志管理功能�����。
內網(wǎng)資產(chǎn)風險管理
這里的內網(wǎng)資產(chǎn)指內網(wǎng)主機以及這些主機上的相關軟件��,為了對資產(chǎn)做到有效的識別�,綠盟科技采用被動資產(chǎn)識別技術,此技術可以不借助終端軟件的幫助�,僅對流量行為進行分析即可識別內網(wǎng)主機上的操作系統(tǒng)�����、瀏覽器����、殺毒軟件及應用等信息。而在獲取了資產(chǎn)信息后防火墻可根據(jù)內置的風險評分系統(tǒng)對資產(chǎn)的綜合情況進行評價���,并以數(shù)字化的形式將內網(wǎng)風險直觀的展現(xiàn)在管理員面前����。同時再輔以細粒度的安全策略,可以對高風險資產(chǎn)做到有效管控��,這樣便真正做到了安全風險有預警�����、策略配置有指導����,大大提升了內網(wǎng)安全性和安全管理效率。
云端安全日志管理
綠盟科技基于自身長期對云安全的理解和實踐��,在下一代防火墻上首先推出云日志管理�,利用云所提供的靈活性,下一代防火墻使用者可在任意時間和地點通過互聯(lián)網(wǎng)來查詢并處理安全日志���,而云端利用自身強大的分析能力以及綠盟科技深厚的安全經(jīng)驗可以將安全日志通過多種易讀的圖形報表展示出來��,并能與全國趨勢進行比對�,進而幫助用戶了解自身安全狀況�。這將極大地減輕日志處理的復雜度,并全面提升安全系統(tǒng)的問題回溯和跟蹤能力��。
除了終端的預警和云端的分析���,綠盟科技的安全體系將下一代防火墻固有的安全功能都歸類為對流量管道的管理�����,這里既包含了傳統(tǒng)防火墻上的功能��,也涵蓋了入侵防護���、應用識別等下一代防火墻特性�。至此一套完整的體系便建立完成�����,其中云�����、管�����、端三個元素相輔相成����,構成了綠盟科技的安全防護理念。
在下一代防火墻市場魚龍混雜的當今�����,我們欣喜地看到了綠盟科技的新思路和新技術�����,這些都將帶動整個市場的發(fā)展�����。而在綠盟科技以外���,華為�����、山石等廠家也在不斷出新����,不斷進步��。這也讓我們有理由相信����,未來會出現(xiàn)一個百花齊放的下一代防火墻市場���。
