2013年6月6日，網(wǎng)絡(luò)世界百家講堂欄目第31期——“下一代防火墻，安全可以很簡單”如約與廣大技術(shù)愛好者見面。本期欄目備受關(guān)注的原因在于邀請到了國內(nèi)最早研究下一代防火墻的專家之一，網(wǎng)康科技高級市場經(jīng)理嚴(yán)雷先生為大家解讀下一代防火墻的方方面面。

下一代防火墻的技術(shù)背景

應(yīng)用大爆炸與下一代防火墻

嚴(yán)雷先生首先就下一代防火墻產(chǎn)品提出的背景做了講解。他談到，網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展以及當(dāng)代企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)的緊密結(jié)合是下一代防火墻誕生的一個(gè)最主要背景。傳統(tǒng)防火墻從網(wǎng)絡(luò)協(xié)議棧的角度來說主要工作在第三層第四層也就是地址層和傳輸層，然而這種設(shè)計(jì)卻對第七層應(yīng)用無法進(jìn)行很好的安全管控。為了解決這個(gè)問題，傳統(tǒng)防火墻上出現(xiàn)了ALG技術(shù)，類似于在防火墻上開一個(gè)洞，以硬編碼(hard code)的形式針對特殊的應(yīng)用進(jìn)行開發(fā)。然而隨著網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展，ALG方式就完全跟不上了，目前一般來說防火墻上的ALG總數(shù)都在10個(gè)以內(nèi)，而單單蘋果AppStore上就有100萬以上的應(yīng)用。這迫切要求防火墻產(chǎn)品能夠在應(yīng)用層上重新構(gòu)建安全體系，這種體系不是圍繞哪種具體應(yīng)用，而是針對所有應(yīng)用設(shè)計(jì)一個(gè)全新的安全管控框架。下一代防火墻便是這樣一款產(chǎn)品，網(wǎng)絡(luò)流量在下一代防火墻上被從“人、內(nèi)容、應(yīng)用”三個(gè)角度進(jìn)行解析，然后再進(jìn)行相應(yīng)的安全監(jiān)測和控制。在這種全新的框架下，應(yīng)用得以被準(zhǔn)確的識別、精細(xì)的檢測和嚴(yán)格的控制。

快速變種的惡意代碼

網(wǎng)絡(luò)威脅的發(fā)展趨勢則是另一個(gè)重要的技術(shù)背景。惡意代碼正在變得越來越復(fù)雜越來越隱蔽越來越難于被識別。首先惡意代碼的復(fù)雜度越來越高，“火焰病毒”的代碼量是之前名噪一時(shí)的“震網(wǎng)病毒”的20倍，是普通病毒的100倍。而且惡意代碼的傳播變得越來越有針對性，往往是為攻擊目標(biāo)量身定制的，這使得惡意代碼特征很難在其他地方被捕獲進(jìn)而令被攻擊者獲得防御能力。同時(shí)，惡意代碼的變種速度也非?？?，通過“代碼特征”來進(jìn)行識別變得越來越困難。針對惡意代碼的這些發(fā)展趨勢，下一代防火墻采用了一條截然不同的道路來進(jìn)行安全防護(hù)——那就是從“代碼特征”走向“行為特征”。下一代防火墻通過對應(yīng)用的準(zhǔn)確識別，以及對加密流量的識別，使得網(wǎng)絡(luò)上的各種細(xì)節(jié)被清晰地展現(xiàn)在管理員面前，從而使得管理員可以識別到高風(fēng)險(xiǎn)和異常的網(wǎng)絡(luò)行為。無論惡意代碼如何變形，它總是要進(jìn)行一些惡意的網(wǎng)絡(luò)行為，相對于代碼自身來說，行為特征很少改變，通過對行為的分析，就可以有效地發(fā)現(xiàn)惡意代碼。

傳統(tǒng)安全模式和下一代安全模式的對比

復(fù)雜的安全體系結(jié)構(gòu)

越來越復(fù)雜的安全體系架構(gòu)同樣是催生下一代防火墻的重要原因。網(wǎng)絡(luò)上的安全產(chǎn)品越來越多，包括殺毒、IPS、IDS、網(wǎng)址過濾、惡意代碼掃描等，從安全的角度看這些產(chǎn)品都有其獨(dú)特的產(chǎn)品價(jià)值。但如果一個(gè)組織全部采購這些產(chǎn)品，那么就必然要面臨著高昂的購置成本、維護(hù)成本和管理配置成本。更為嚴(yán)重的是，這些設(shè)備彼此獨(dú)立，他們產(chǎn)生的報(bào)告彼此之間也沒有關(guān)系，這就使得管理者無法或者很困難從這些報(bào)告中獲得對網(wǎng)絡(luò)安全的整體了解。UTM產(chǎn)品雖然將不同的安全引擎放置在了一個(gè)盒子里，但是這只能解決購置成本問題。即使不考慮性能上的巨大下降，分散的安全引擎在配置管理上和安全分析上同樣是非常困難的，這直接導(dǎo)致了UTM在市場上的表現(xiàn)不佳。下一代防火墻是圍繞著應(yīng)用層對安全框架進(jìn)行了重新搭建，同樣是多引擎結(jié)構(gòu)，但是這些是圍繞著應(yīng)用層進(jìn)行了重新的架構(gòu)，安全配置是統(tǒng)一進(jìn)行的，安全日志也是集成關(guān)聯(lián)分析的。這使得多安全引擎被有機(jī)整合為一個(gè)整體，相互關(guān)聯(lián)相互配合的多安全引擎，直接推動(dòng)網(wǎng)絡(luò)安全走向了一個(gè)新的臺階。

“人民安全”——網(wǎng)康眼中的下一代安全理念

下一代安全的本質(zhì)究竟是什么?嚴(yán)雷認(rèn)為，下一代防火墻對于防火墻的貢獻(xiàn)，類似于蘋果對手機(jī)的貢獻(xiàn)，一方面在安全技術(shù)上下一代防火墻有新的建樹——主要集中在多安全引擎集成分析和行為分析方面。但更重要的是下一代防火墻改變了“安全”的管理方式，降低了安全的“門檻”，真正將安全技術(shù)變?yōu)橐环N人人都可以理解和掌握的技術(shù)，把安全從專家的專屬領(lǐng)域變?yōu)榱巳嗣竦念I(lǐng)域，這也就是網(wǎng)康科技主張的“人民安全”的含義。

更簡單的安全

下一代安全首先是更簡單的安全。下一代安全的一個(gè)基本特征就是所謂的“可視化”，意指對網(wǎng)絡(luò)信息進(jìn)行分析整理并以圖形的方式進(jìn)行直觀展現(xiàn)。這種產(chǎn)品設(shè)計(jì)給安全管理帶來的改變要比人們想象得還要深刻。以一個(gè)案例為例：

在這個(gè)案例中，網(wǎng)康的下一代防火墻架設(shè)在客戶網(wǎng)絡(luò)中后，我們的客戶從主界面一眼就發(fā)現(xiàn)網(wǎng)絡(luò)中的流量構(gòu)成不正常，并利用設(shè)備提供的關(guān)聯(lián)鉆取功能，和IP地址國家展示功能很快的定位到問題主機(jī)和問題原因。這使得我們的客戶非常興奮，第一次我們讓客戶有了一種對安全的理解和信心。這就是下一代防火墻的魅力所在。由于下一代防火墻對網(wǎng)絡(luò)信息的洞察能力和生動(dòng)地呈現(xiàn)方式，使得網(wǎng)絡(luò)管理者可以很容易地發(fā)現(xiàn)網(wǎng)絡(luò)中的問題，并利用防火墻進(jìn)行追蹤定位進(jìn)而進(jìn)行應(yīng)用級安全策略配置來解決問題。在下一代防火墻的幫助下，每一個(gè)IT管理人員都可以變成安全專家，都可以主動(dòng)地對網(wǎng)絡(luò)進(jìn)行觀察，探索，和控制，這就是一款“人民安全”產(chǎn)品的價(jià)值!

更完整的安全

其次，下一代防火墻還是更加完整的安全產(chǎn)品。對于中小企業(yè)來說，無論是從購置成本來考慮，還是從復(fù)雜的部署、管理、維護(hù)對人力成本的巨大要求來考慮，都不太可能部署所有的主流安全設(shè)備到網(wǎng)絡(luò)中。而下一代防火墻一體化多威脅檢測引擎的產(chǎn)品設(shè)計(jì)，使得用戶可以擁有完整的安全能力，而且區(qū)別于UTM之處在于，下一代防火墻是圍繞應(yīng)用層重新構(gòu)建的安全架構(gòu)，多安全引擎通過應(yīng)用層進(jìn)行統(tǒng)一配置，安全日志通過應(yīng)用關(guān)聯(lián)進(jìn)行統(tǒng)一分析，讓管理人員能夠真正以管理一臺設(shè)備的方式工作，而不是像UTM那樣在一個(gè)界面中管理多臺無關(guān)設(shè)備。這使得用戶可以真正將所有主流的安全技術(shù)輕松地應(yīng)用在自己的網(wǎng)絡(luò)中，隨著下一代防火墻在普及，整個(gè)中國的安全防護(hù)水準(zhǔn)將得到極大的提升，從這里我們又能理解到“人民安全”更深一層次的含義!

下一代防火墻的具體實(shí)現(xiàn)

當(dāng)前市場上已經(jīng)出現(xiàn)了很多下一代防火墻產(chǎn)品，根據(jù)不同公司對產(chǎn)品的不同理解以及不同的技術(shù)積累，在產(chǎn)品實(shí)現(xiàn)過程中就出現(xiàn)了很多差異性。網(wǎng)康科技在做具體實(shí)現(xiàn)的時(shí)候，也做出了很多差異性的實(shí)現(xiàn)。

云查殺技術(shù)

Gartner定義下一代防火墻的時(shí)候,云計(jì)算并沒得到普及，然而今天，“云”已經(jīng)成為了眾多安全廠商競相采用的一種技術(shù)。結(jié)合防火墻產(chǎn)品，云主要表現(xiàn)出了兩方面的優(yōu)勢。首先是特征數(shù)量更大和特征更新更快。受限于本地存儲空間大小和cpu運(yùn)算能力，一般的獨(dú)立防毒墻，或者UTM、防火墻產(chǎn)品中嵌入的殺毒引擎所具備的特征庫數(shù)量基本上都是10萬級的，而云端的病毒庫由于不受計(jì)算能力和存儲能力的限制，因此擁有多達(dá)500萬以上的特征庫。而且云端安全引擎不會(huì)出現(xiàn)擴(kuò)展性問題，隨著樣本庫的增長我們只需要調(diào)整云中心的硬件配置就可以了。需要指出的是，木馬的危害性遠(yuǎn)遠(yuǎn)超過病毒和蠕蟲，它是僵尸網(wǎng)絡(luò)、數(shù)據(jù)泄露的重要途徑，是對企業(yè)安全的巨大威脅。云安全技術(shù)是應(yīng)對木馬的有力武器，事實(shí)上，由于木馬具有快速變種的特點(diǎn)，可以認(rèn)為這種解決方案對于木馬是唯一有效的檢測方案。根據(jù)我們的測試，在和幾款主流的安全硬件的對比中，同樣的樣本數(shù)據(jù)，網(wǎng)康下一代防火墻的檢出率高達(dá)90%而其他設(shè)備的檢出率不超過60%。

數(shù)據(jù)防泄漏技術(shù)

DLP的要求同樣沒有出現(xiàn)在Gartner的定義中，然而隨著大數(shù)據(jù)時(shí)代的來臨，數(shù)據(jù)已經(jīng)成為了企業(yè)的核心資產(chǎn)，在國家對公共信息保護(hù)日益嚴(yán)格的情況下，數(shù)據(jù)泄露在給企業(yè)帶來巨大損失的同時(shí)，還會(huì)為企業(yè)帶來法律風(fēng)險(xiǎn)。所以，下一代安全技術(shù)中有必要針對數(shù)據(jù)泄露設(shè)計(jì)專門的防范措施。當(dāng)前的許多數(shù)據(jù)檢測都是發(fā)生在協(xié)議層的，例如FTP，HTTP等。而實(shí)際上，數(shù)據(jù)泄露卻有著很多的渠道，許多網(wǎng)絡(luò)應(yīng)用都可以進(jìn)行數(shù)據(jù)傳輸，例如網(wǎng)盤、P2P、IM等等，這些應(yīng)用都有自己獨(dú)特的數(shù)據(jù)傳輸機(jī)制，這不是從協(xié)議層可以檢測出來的。所以要進(jìn)行有效的數(shù)據(jù)泄露檢測，必須能夠針對具體應(yīng)用來進(jìn)行。而這恰恰是下一代防火墻的核心能力所在。網(wǎng)康科技針對300種能夠進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用進(jìn)行了檢測，并支持66種文件類型的檢查。而且還支持通過正則表達(dá)式的形式來進(jìn)行關(guān)鍵字規(guī)則限定，并且預(yù)定義了許多數(shù)據(jù)類型例如“身份證號”、“銀行卡號”、“信用卡號”等。

鏈路負(fù)載均衡與應(yīng)用引流

除了在下一代安全技術(shù)的進(jìn)一步加強(qiáng)外，網(wǎng)康還針對一些客戶的實(shí)際需求做出了一些極具實(shí)用價(jià)值的新功能。比如，網(wǎng)康科技觀察到很多客戶都具有多鏈路出口的場景，負(fù)載均衡對這些客戶有著明顯的價(jià)值，于是引入了鏈路負(fù)載均衡功能，這對于提升我們客戶的網(wǎng)絡(luò)吞吐有著很好的幫助。除了傳統(tǒng)的鏈路負(fù)載均衡功能，網(wǎng)康還將其獨(dú)有技術(shù)“應(yīng)用引流”引入到了下一代防火墻平臺上，用戶可以根據(jù)應(yīng)用類型來決定選擇哪條鏈路，這可以讓客戶將核心業(yè)務(wù)分布到優(yōu)質(zhì)高價(jià)鏈路上，將無關(guān)業(yè)務(wù)分布到劣質(zhì)低價(jià)鏈路上，更好的發(fā)揮IT投資的價(jià)值。

如何選擇下一代防火墻

如果用戶希望選購下一代防火墻，那么在選型過程中應(yīng)該如何評估不同的產(chǎn)品呢?嚴(yán)雷針對這個(gè)問題給出了幾點(diǎn)建議。

應(yīng)用層吞吐

首先從性能方面來看，用戶一定要注意區(qū)分“網(wǎng)絡(luò)層性能”和“應(yīng)用層性能”以及“安全能力全開啟性能”這三個(gè)指標(biāo)的差異。傳統(tǒng)防火墻往往會(huì)以網(wǎng)絡(luò)層性能作為參數(shù)。然而網(wǎng)絡(luò)層性能對于下一代防火墻而言基本沒有意義。因?yàn)橄乱淮阑饓κ窃趹?yīng)用層上工作的防火墻，因此，客戶應(yīng)該考察的是“應(yīng)用性能”，也就是在應(yīng)用識別能力開啟條件下的防火墻性能。另外，下一代防火墻的核心特征之一就是多安全引擎開啟不會(huì)導(dǎo)致嚴(yán)重的性能下降情況。因此客戶還必須要考察在多安全引擎全部開啟的情況下，防火墻的性能表現(xiàn)。

應(yīng)用識別能力

第二點(diǎn)就是從應(yīng)用識別能力來考量。下一代防火墻是工作在應(yīng)用層基礎(chǔ)上的防火墻，因此應(yīng)用識別能力成為下一代防火墻的核心能力。首先要考察防火墻的應(yīng)用庫有多大，比如說網(wǎng)康的應(yīng)用識別數(shù)為3000，網(wǎng)址為2600萬，這在國內(nèi)是領(lǐng)先的。其次是應(yīng)用識別的細(xì)粒度，比如應(yīng)用是否有足夠多的分類，以便于客戶管理，平臺型應(yīng)用是否還支持子應(yīng)用識別等。另外，應(yīng)用庫的更新速度也很重要。

可視化能力

除了以上兩點(diǎn)之外，還有一點(diǎn)比較重要那就是產(chǎn)品的可視化能力。下一代防火墻是一款“人民安全”產(chǎn)品，他最大的價(jià)值在于通過可視化方式，讓安全變得簡單生動(dòng)。因此，可視化能力是決定下一代防火墻能否真正發(fā)揮作用的關(guān)鍵所在。當(dāng)然這一點(diǎn)很難量化衡量，需要用戶自己親自動(dòng)手比較過才能得出結(jié)論。網(wǎng)康產(chǎn)品中一些可視化的點(diǎn)，可以作為大家的參考，比如“基線對比”功能可以幫助用戶發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，“ip國家屬性”可以幫助用戶了解來自其他國家的流量(這往往是異常流量)，應(yīng)用風(fēng)險(xiǎn)評分可以幫助用戶了解網(wǎng)絡(luò)中應(yīng)用的可能風(fēng)險(xiǎn)。

安全能力

從安全的角度看，下一代防火墻的主要貢獻(xiàn)在于多安全引擎的深度整合。用戶首先可以考察產(chǎn)品中集成了哪些安全引擎?不同安全引擎的配置是一次完成還是分別完成?安全日志是分散的和一體的?日志數(shù)據(jù)是否支持相關(guān)性跳轉(zhuǎn)?這些問題都可以判斷這是一款真正的下一代防火墻還是一款UTM產(chǎn)品。