天融信下一代防火墻

發(fā)展趨勢(shì)及需求

目前，國(guó)內(nèi)外的下一代防火墻的發(fā)展非常迅速，大部分安全廠商都發(fā)布了下一代防火墻產(chǎn)品，甚至包括一些在傳統(tǒng)防火墻領(lǐng)域里的絕對(duì)領(lǐng)導(dǎo)者都在推下一代防火墻。而作為下一代防火墻的首創(chuàng)者PaloAlto更是快速的在Gartner魔力四象限里成為了企業(yè)防火墻市場(chǎng)的領(lǐng)導(dǎo)者。但從國(guó)內(nèi)實(shí)際接受程度上看，下一代防火墻想替代傳統(tǒng)防火墻還需要進(jìn)行較多的市場(chǎng)投入。黃海表示，"讓客戶認(rèn)識(shí)到下一代防火墻是能夠給現(xiàn)有的安全管理帶來(lái)改變是需要時(shí)間和金錢的。尤其是，中國(guó)市場(chǎng)相對(duì)海外可能會(huì)更加保守，市場(chǎng)化的完善程度也稍差，這些原因會(huì)導(dǎo)致下一代防火墻所蘊(yùn)含的新理念和新技術(shù)在推行方面遇到更多障礙和阻力。"

黃海繼續(xù)談到，目前，從企業(yè)用戶的需求來(lái)看，不斷增長(zhǎng)的下一代防火墻需求，反應(yīng)出的是當(dāng)前企業(yè)用戶對(duì)高性價(jià)比的基礎(chǔ)網(wǎng)絡(luò)安全功能的需求。隨著安全技術(shù)的進(jìn)步和黑客文化的流行在不斷的演變，十年前說(shuō)到基礎(chǔ)網(wǎng)絡(luò)安全功能，很多企業(yè)客戶想到的就是傳統(tǒng)防火墻，能夠劃分安全域，能進(jìn)行訪問控制就行。但是近幾年應(yīng)用、僵尸網(wǎng)絡(luò)、蠕蟲、木馬、APT攻擊的泛濫都在不斷的給很多企業(yè)客戶敲響警鐘，企業(yè)必須部署IPS和內(nèi)容級(jí)安全設(shè)備來(lái)增加整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和管控能力。但專業(yè)的IPS設(shè)備與傳統(tǒng)防火墻設(shè)備相比可謂要價(jià)不菲，如果真的升級(jí)網(wǎng)絡(luò)安全系統(tǒng)的話，對(duì)企業(yè)來(lái)說(shuō)，它的資金消耗是非常龐大的。所以這個(gè)時(shí)候就需要有性價(jià)比更為優(yōu)越的安全設(shè)備出現(xiàn)來(lái)解決企業(yè)客戶在資金和安全需求之間的矛盾關(guān)系。所以下一代防火墻這個(gè)時(shí)候出現(xiàn)。

下一代防火墻的執(zhí)行范例包括阻止與針對(duì)細(xì)粒度網(wǎng)絡(luò)安全策略違規(guī)情況發(fā)出警報(bào)，如:使用Web郵件、anonymizer、端到端或計(jì)算機(jī)遠(yuǎn)程控制等。僅僅根據(jù)目的地IP地址阻止對(duì)此類服務(wù)的已知源訪問再也無(wú)法達(dá)到安全要求。細(xì)粒度策略會(huì)要求僅阻止發(fā)向其它允許目的地的部分類型的應(yīng)用通訊，并利用重新導(dǎo)向功能根據(jù)明確的黑名單規(guī)則使其無(wú)法實(shí)現(xiàn)該通訊。這就意味著，即使有些應(yīng)用程序設(shè)計(jì)可避開檢測(cè)或采用SSL加密，下一代防火墻依然可識(shí)別并阻止此類程序。而業(yè)務(wù)識(shí)別的另外一項(xiàng)優(yōu)點(diǎn)還包括帶寬控制，例:因?yàn)榫芙^了無(wú)用或不允許進(jìn)入的端到端流量，從而大幅降低了帶寬的耗用。

僅有不到1%的互聯(lián)網(wǎng)連接采用了下一代防火墻保護(hù)。但是隨著下一代網(wǎng)絡(luò)的來(lái)臨，下一代防火墻的應(yīng)用已然是不可抗拒的趨勢(shì)，有理由相信到2014年年末使用這一產(chǎn)品進(jìn)行保護(hù)的比例將上升至35%，同時(shí)，其中將有60%都為重新購(gòu)買下一代防火墻。

大型企業(yè)都將隨著正常的防火墻與IPS更新循環(huán)的到來(lái)逐漸采用下一代防火墻代替其現(xiàn)有的防火墻，或因帶寬需求的增高或遭受了攻擊而進(jìn)行防火墻升級(jí)。許多防火墻與IPS供應(yīng)商都已升級(jí)了其產(chǎn)品，以提供業(yè)務(wù)識(shí)別與部分下一代防火墻特性，且有許多新興公司都十分關(guān)注下一代防火墻功能。Gartner的研究報(bào)告說(shuō)明，認(rèn)為隨著威脅情況的變化以及業(yè)務(wù)與IT程序的改變都促使網(wǎng)絡(luò)安全經(jīng)理在其下一輪防火墻/IPS更新循環(huán)中尋求具有下一代防火墻功能的產(chǎn)品。而下一代防火墻的供應(yīng)商們成功占有市場(chǎng)的關(guān)鍵則在于需要證明第一代防火墻與IPS特性既可與當(dāng)前的第一代功能相匹配，又能同時(shí)兼具下一代防火墻功能，或具有一定價(jià)格優(yōu)勢(shì)。

復(fù)雜環(huán)境下網(wǎng)絡(luò)安全管理的窘境

隨著網(wǎng)絡(luò)安全需求不斷深入，大量政府、金融、大企業(yè)等用戶將網(wǎng)絡(luò)劃分了更為細(xì)致的安全區(qū)域，并在各安全區(qū)域的邊界處部署下一代防火墻設(shè)備。對(duì)于所有的網(wǎng)絡(luò)管理者來(lái)說(shuō)，安全設(shè)備數(shù)量的不斷激增無(wú)疑增加了管理上的成本，甚至成為日常安全運(yùn)維工作的負(fù)擔(dān)，對(duì)網(wǎng)絡(luò)安全管理起著消極的反作用。對(duì)于大型網(wǎng)絡(luò)而言，網(wǎng)絡(luò)管理者往往需要在每一臺(tái)安全設(shè)備上逐一部署安全策略、安全防護(hù)規(guī)則等，并且在日常的維護(hù)中，還要逐一的對(duì)設(shè)備進(jìn)行升級(jí)等操作，類似重復(fù)的工作將耗費(fèi)大量的時(shí)間，同時(shí)大量人工操作勢(shì)必將帶來(lái)誤配置的風(fēng)險(xiǎn)。

對(duì)于高風(fēng)險(xiǎn)、大流量、多業(yè)務(wù)的復(fù)雜網(wǎng)絡(luò)環(huán)境而言，全網(wǎng)部署的下一代防火墻設(shè)備工作在不同的安全區(qū)域，各自為戰(zhàn)，為了進(jìn)行有效的安全管理，管理者往往要單獨(dú)監(jiān)控每一臺(tái)設(shè)備的運(yùn)行狀態(tài)、流量情況以及威脅狀況等，對(duì)于絕大多數(shù)人力資源并不充裕的信息部門，這無(wú)疑又是一項(xiàng)效率低、難度大的工作，監(jiān)控到的信息往往由于實(shí)時(shí)性差，易疏漏等問題，對(duì)全網(wǎng)安全性的提升并無(wú)促進(jìn)作用。

安全管理應(yīng)面向風(fēng)險(xiǎn)而非單純的安全事件響應(yīng)，網(wǎng)絡(luò)安全同樣遵循這樣的方向和趨勢(shì)，而如何及時(shí)預(yù)見風(fēng)險(xiǎn)，以及在安全事件發(fā)生后如何快速溯源并采取響應(yīng)措施，是擺在每一位網(wǎng)絡(luò)管理者面前的難題。專家認(rèn)為，基于大數(shù)據(jù)挖掘技術(shù)無(wú)疑可以幫助管理者更加快速的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，進(jìn)而盡早的確認(rèn)威脅并采取干預(yù)措施，實(shí)現(xiàn)主動(dòng)防御。而此方案實(shí)現(xiàn)的前提，則需具備對(duì)數(shù)據(jù)的收集集中能力以及智能分析能力。

為什么要識(shí)別應(yīng)用

隨著以WEB2.0為代表的社區(qū)化網(wǎng)絡(luò)時(shí)代的到來(lái)，互聯(lián)網(wǎng)進(jìn)入了以論壇、博客、社交、視頻、P2P分享等應(yīng)用為代表的下一代互聯(lián)網(wǎng)時(shí)代，用戶不再是單向的信息接受者，更是以WEB應(yīng)用為媒介的內(nèi)容發(fā)布者和參與者，在這種趨勢(shì)下，越來(lái)越多的應(yīng)用呈現(xiàn)出WEB化，據(jù)調(diào)查顯示超過(guò)90%的網(wǎng)絡(luò)應(yīng)用運(yùn)行于HTTP協(xié)議的80和443端口，大量應(yīng)用可以進(jìn)行端口復(fù)用和IP地址修改。

然而，由于傳統(tǒng)的防火墻的基本原理是根據(jù)IP地址/端口號(hào)或協(xié)議標(biāo)識(shí)符識(shí)別和分類網(wǎng)絡(luò)流量，并執(zhí)行相關(guān)的策略。所以對(duì)于WEB2.0應(yīng)用來(lái)說(shuō)，傳統(tǒng)防火墻看到的所有基于瀏覽器的應(yīng)用程序的網(wǎng)絡(luò)流量是完全一樣的，無(wú)法區(qū)分各種應(yīng)用程序，更無(wú)法實(shí)施策略來(lái)區(qū)分哪些是不當(dāng)?shù)摹⒉恍枰幕虿贿m當(dāng)?shù)某绦?，或者允許這些應(yīng)用程序。如果通過(guò)這些端口屏蔽相關(guān)的流量或者協(xié)議，會(huì)導(dǎo)致阻止所有基于web的流量，其中包括合法商業(yè)用途的內(nèi)容和服務(wù)。即便是對(duì)授權(quán)通過(guò)的流量也會(huì)因?yàn)椴荒芗?xì)粒度的準(zhǔn)確分辨應(yīng)用，而使針對(duì)應(yīng)用的入侵攻擊或病毒傳播趁虛而入，使用戶私有網(wǎng)絡(luò)完全暴露于廣域網(wǎng)威脅攻擊之中。

綜上所述，在新一代網(wǎng)絡(luò)技術(shù)發(fā)展和新型應(yīng)用威脅不斷涌現(xiàn)的現(xiàn)有環(huán)境下，對(duì)網(wǎng)絡(luò)流量進(jìn)行全面、智能、多維的應(yīng)用識(shí)別需求已迫在眉睫，也必將成為下一代防火墻所必須具備的基本和核心理念之一。

全面、多維的識(shí)別應(yīng)用

每一種網(wǎng)絡(luò)應(yīng)用都應(yīng)具備多方面的屬性和特質(zhì)，比如商業(yè)屬性、風(fēng)險(xiǎn)屬性、資源屬性、技術(shù)屬性等等，只有從各個(gè)角度多維、立體的去識(shí)別一個(gè)應(yīng)用才會(huì)更加全面和準(zhǔn)確。舉例來(lái)說(shuō)，從商業(yè)屬性來(lái)講，可以是ERP/CRM類、數(shù)據(jù)庫(kù)類、辦公自動(dòng)化類或系統(tǒng)升級(jí)類應(yīng)用;從風(fēng)險(xiǎn)屬性來(lái)講，可以是1至5級(jí)不等的風(fēng)險(xiǎn)級(jí)別分類，風(fēng)險(xiǎn)級(jí)別越高的應(yīng)用(如QQ/MSN文件傳輸?shù)?其可能帶來(lái)的惡意軟件入侵、資產(chǎn)泄密的可能性就越高;從資源屬性來(lái)講，可以是容易消耗帶寬類、容易誤操作類或易規(guī)避類的應(yīng)用等;而從技術(shù)屬性來(lái)講，又可以是P2P類、客戶端/服務(wù)器類或是基于瀏覽器類的應(yīng)用等。

對(duì)應(yīng)用的多維、立體識(shí)別不僅是下一代防火墻做到全面、準(zhǔn)確識(shí)別應(yīng)用的必須要求，更是輔助用戶管理應(yīng)用、制定應(yīng)用相關(guān)的控制和安全策略的關(guān)鍵手段，從而將用戶從晦澀難懂的技術(shù)語(yǔ)言抽離出來(lái)，轉(zhuǎn)而采用用戶更關(guān)心和可以理解的語(yǔ)言去分類和解釋應(yīng)用，方便其做出正確的控制和攻防決斷。下一代防火墻必須也應(yīng)該要做到這一點(diǎn)，一種重要的實(shí)現(xiàn)手段就是---應(yīng)用過(guò)濾器。

應(yīng)用過(guò)濾器的關(guān)鍵特點(diǎn)是提供給用戶一種工具，讓用戶通過(guò)易于理解的屬性語(yǔ)言去多維度的過(guò)濾和篩選應(yīng)用，經(jīng)過(guò)篩選過(guò)濾后得到的所有應(yīng)用形成一個(gè)應(yīng)用集，用戶可以對(duì)此應(yīng)用集針對(duì)性的進(jìn)行統(tǒng)一的訪問控制或安全管理。舉例來(lái)說(shuō)，作為邊界安全設(shè)備，用戶希望在允許內(nèi)網(wǎng)用戶與外網(wǎng)進(jìn)行必要的郵件、IM即時(shí)通信、網(wǎng)絡(luò)會(huì)議通信的同時(shí)，能夠?qū)ζ渲械闹?、高?jí)風(fēng)險(xiǎn)類應(yīng)用進(jìn)行安全掃描和防護(hù)，保證通信安全，杜絕威脅入侵。要做到這點(diǎn)用戶只要通過(guò)應(yīng)用過(guò)濾器，在商業(yè)屬性維度給出選擇，這里選擇協(xié)作類應(yīng)用(包括郵件、IM通信、網(wǎng)絡(luò)會(huì)議、社交網(wǎng)絡(luò)、論壇貼吧等應(yīng)用)，再在風(fēng)險(xiǎn)屬性維度給出選擇，這里可選擇3級(jí)以上風(fēng)險(xiǎn)等級(jí)，應(yīng)用過(guò)濾器會(huì)根據(jù)選擇過(guò)濾、篩選出符合維度要求的所有應(yīng)用(這里包括雅虎mail、QQ郵箱、MSN聊天、WebEx會(huì)議、人人網(wǎng)論壇等幾十個(gè)應(yīng)用)，并以分類頁(yè)表的形式呈現(xiàn)給用戶，用戶還可以通過(guò)點(diǎn)擊應(yīng)用名稱查看每個(gè)應(yīng)用的詳細(xì)描述信息。接下來(lái)在一體化安全策略中，用戶在指定好IP、安全區(qū)、時(shí)間、用戶等基本控制條件，以及指定好IPS、防病毒、URL過(guò)濾、內(nèi)容過(guò)濾等安全掃描條件后，只要選定剛才的應(yīng)用過(guò)濾器，即可對(duì)所有內(nèi)外網(wǎng)協(xié)作且高風(fēng)險(xiǎn)類應(yīng)用進(jìn)行全天24小時(shí)的安全掃描和防護(hù)，當(dāng)發(fā)現(xiàn)攻擊威脅時(shí)及時(shí)阻斷并審計(jì)記錄，保障用戶的應(yīng)用安全無(wú)憂。

識(shí)別未知應(yīng)用

社區(qū)化網(wǎng)絡(luò)的發(fā)展，縮短了世界各地用戶經(jīng)驗(yàn)交流和合作的時(shí)間與空間，應(yīng)用數(shù)量和種類及相關(guān)的網(wǎng)絡(luò)威脅都在日新月異的增長(zhǎng)和發(fā)展著。面對(duì)來(lái)自世界各地、隨時(shí)隨地涌現(xiàn)的新類型、新應(yīng)用，任何一個(gè)安全廠商或機(jī)構(gòu)都無(wú)法第一時(shí)間毫無(wú)遺漏的全部涵蓋和一網(wǎng)打盡，下一代防火墻必須提供一種機(jī)制，去第一時(shí)間識(shí)別和控制應(yīng)用，保障用戶網(wǎng)絡(luò)每一秒都不會(huì)暴露在網(wǎng)絡(luò)威脅之下。這就要求其必須要具備應(yīng)用自定義的能力。

所謂應(yīng)用自定義，就是以動(dòng)態(tài)的方式允許用戶對(duì)某種/某些非通用化、用戶私有的無(wú)法識(shí)別的應(yīng)用進(jìn)行特征化的描述，系統(tǒng)學(xué)習(xí)并記憶這種描述，并在之后的網(wǎng)絡(luò)通信中去智能的分析和匹配此種特征，從而將其識(shí)別出來(lái)，實(shí)現(xiàn)將應(yīng)用由未知轉(zhuǎn)化為已知。這種機(jī)制免去了傳統(tǒng)以往為增加應(yīng)用而重做的軟件引擎、識(shí)別庫(kù)版本開發(fā)、定制、上線、升級(jí)等大量工作，節(jié)省了大量寶貴時(shí)間，第一時(shí)間保障用戶網(wǎng)絡(luò)安全。

下一代防火墻的應(yīng)用自定義應(yīng)該包括維度歸類和特征碼指定兩部分。維度歸類將自定義出的應(yīng)用如同其它已有應(yīng)用一樣從多維度進(jìn)行分類劃分，如該應(yīng)用屬于哪種商業(yè)類型、何種資源屬性、怎樣的風(fēng)險(xiǎn)級(jí)別等等，與應(yīng)用過(guò)濾器形成完美配合。同時(shí)通過(guò)特征碼，指定出應(yīng)用在包長(zhǎng)度、服務(wù)端口、連接方式、甚至于特征字符串/數(shù)字串等等方面的數(shù)據(jù)特征，多種方式靈活組合，并可依需要無(wú)限度擴(kuò)展，涵蓋了學(xué)習(xí)、辨識(shí)一個(gè)新應(yīng)用的所有特征因素，從而第一時(shí)間讓所有已有的或未來(lái)將有的未知應(yīng)用無(wú)處遁形，完全掌握于控制之中。

全國(guó)人大代表、中國(guó)電子科技集團(tuán)公司總經(jīng)理熊群力向記者透露，我國(guó)自主開發(fā)的全新一代國(guó)產(chǎn)工業(yè)防火墻即將推出，將為國(guó)內(nèi)工業(yè)用戶提供工業(yè)控制信息安全"固、隔、監(jiān)"的防護(hù)體系。

據(jù)熊群力介紹，作為功能全面、安全性高的網(wǎng)絡(luò)安全系統(tǒng)，這套名為三零衛(wèi)士工業(yè)防火墻的新一代國(guó)產(chǎn)工業(yè)防火墻，采用國(guó)際上最先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，是針對(duì)工控網(wǎng)絡(luò)安全的具體應(yīng)用環(huán)境完全自主開發(fā)的安全產(chǎn)品。工控網(wǎng)絡(luò)安全涉及國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)如電力、軌道交通、石油、水務(wù)等的基礎(chǔ)網(wǎng)絡(luò)所面臨的安全問題，此前在2013年，中國(guó)電科已率先研制了兩款國(guó)內(nèi)首創(chuàng)、擁有完全自主知識(shí)產(chǎn)權(quán)、基于專用硬件的工業(yè)控制系統(tǒng)信息安全產(chǎn)品。