现在是移动互联网时代,随着移动应用的激增,不仅导致了我们对带宽需求的提升,也引入了更多新的威胁。和过去相比,更多的业务由C/S架构转向B/S架构,我们网络面临的安全威胁也从过去简单的网络层攻击,变为了应用层的攻击,而且新型威胁的出现频率也更高,可以说我们的网络环境和安全需求发生了很大的变化,这也能从今年的RSA大会主题“change”看得出来。这些变化,是传统防火墙无法有效应对的,所以下一代防火墙应运而生。
深信服是国内最早发布下一代防火墙产品的厂商,深信服深刻的认识到了传统防火墙在新的安全形势下的不足,因此在设计之初就充分考虑了安全防御功能和性能的需求。
深信服下一代防火墙(Next-Generation Application Firewall)NGAF提供了更精细的应用层安全控制,能够有效识别并控制2000多种应用,包括数百种移动应用;NGAF还提供了全面的内容级安全防护,如Web应用安全防护,漏洞防护,入侵防护,病毒防护,应用层DDoS攻击防护,网页篡改防护,内网信息泄露防护等;NGAF同样也提供了完备的传统安全功能,如传统防火墙的接入控制、NAT、VPN等。
为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,NGAF也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了检测效率,实现了万兆级的应用层安全防护能力。
针对不同移动办公安全架构和安全组件,下一代防火墙会针对不同用户,甚至不同应用场景做出什么具体改变,同时会衍生出何种新技术?
考虑到移动办公的安全需求,深信服下一代防火墙集成了IPSec和SSL VPN功能,员工在外出差或者在家里,无论手机或者电脑都能利用VPN技术安全连接到工作网络。但是,开展移动业务的设备(PC、手机、pad)和方式(开发App、虚拟化)多种多样,需要部署多种系统接入平台和安全设备,会带来用户体验不佳以及IT管理困难等问题。并且,由于员工手机被盗、不安全的Wi-Fi连接、以及企业与个人数据混合等因素,都给移动化带来安全风险,极易导致企业敏感数据泄露。为了更好地适应移动终端多样化的特点,更好的管控移动终端的安全威胁,深信服还将推出EasyConnect应用发布、EasyApp安全加固、EMM企业移动管理等多套组件,帮助用户在任何时间、任何地点,使用任何终端都能安全地接入业务系统。
相对于友商,贵司NGFW的应用用户领域有何不同?未来将针对那些行业有更细化的解决方案?
深信服NGAF产品面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层安全防护体系,强化了在Web层面的应用防护能力,不仅在开启全部安全功能的情况下还保持有强劲的应用层处理能力,还能全面替代传统防火墙等安全设备。因此,对于深信服来说,我们并没有刻意界定客户群体,我们希望NGAF产品能够保护更多用户的网络安全。经过最近几年的拓展和推广,深信服NGAF产品已经获得了非常多的客户认可和使用,截止2015年6月,已经有超过一万家客户部署了深信服NGAF产品,其中包括100多家部委省厅级单位,200多家大型企业集团,80家运营商和金融单位,以及90多家知名教育单位。
现阶段我们针对大部分行业都有相应的NGAF解决方案,未来我们打算针对广域网全网安全监测、虚拟化云数据中心安全防护、安全咨询和加固等方面推出更加细化的解决方案。
借助于深信服的云安全平台、第三方安全情况共享和威胁情报预警与处置机制,能够快速帮助客户建立全网安全监测体系,实现全网安全状况实时动态感知、威胁快速定位、安全快速响应等目标;虚拟化技术已经成熟,云数据中心正逐步实现,但针对虚拟网络却没有有效的安全管控手段,深信服虚拟化软件防火墙专为虚拟化云环境而设计,其拥有和物理设备一样的功能,并能以虚机的形式存在于虚拟网络中,提供了虚拟环境下完美的边界控制、流量检测、威胁防御、集中管理及行为审计等功能;深信服也组建了专业的安全咨询服务团队,依托深厚的安全知识体系和丰富的行业经验,综合国际国内标准、政策要求和实践优化经验,深信服能够为客户搭建全面的、无缝整合的动态信息安全保障体系,保障客户网络的持续安全,并为客户提供未来3-5年的安全建设规划。
保障网络安全,维护网络空间主权和国家安全已上升到国家战略,而全球多个国家都把网络空间看作是第五大国家主权空间,未来网络空间战争CyberWar可能一触即发。深信服也力争能为国家和民族的网络安全事业做出更大的贡献!
下一代防火墙特别关注的应用识别和web防护能力么?下一代防火墙如何防范未知威胁?
下一代防火墙提倡的是二到七层全面的安全防护,既能起到传统安全产品的作用,又能识别网络中的用户、理解网络中的应用和内容、防御网络内容中的威胁,因此应用识别是下一代防火墙全面的威胁识别和防护技术的基础和必备要求。
Garnter报告显示,当前网络中超过75%的攻击来自于应用层。互联网技术的高速发展,使得Web业务成为当前互联网应用最为广泛的业务。大量的在线应用业务都依托于Web服务进行,Web业务不断更新,大量web应用快速上线。因此,如果下一代防火墙产品不能提供Web应用防护功能,将是一个很大的安全缺陷,甚至可以说,是否具备Web安全防护功能,是衡量一款下一代防火墙产品优越与否的重要标志。
深信服NGAF产品主要通过两种方式来防范未知威胁,分别是设备上的灰度威胁关联分析引擎检测和云端的云安全引擎平台检测。
NGAF的灰度威胁关联分析引擎对威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性初始化一个行为权重。设备进行单次解析后,若发现异常行为,立即将相关信息反馈给灰度威胁样本库,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,如果某个用户行为超过了预设的阀值,就会判定此类事件为威胁事件。深信服通过不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。
深信服云安全引擎平台,主要是收集NGAF设备发现的可疑流量,在云平台执行多维度的沙盒检测,进而确认是否是威胁行为,如果是威胁行为,将快速生成威胁防御特征,并同步下发到全球所有在线的深信服NGAF上,从而实现快速应对未知威胁和僵尸网络的能力。
云安全服务成为了下一代安全服务的趋势,防火墙本身在下一代安全中将扮演什么角色?
最近,云安全服务日渐流行,很多专业的安全厂商都在做。在深信服看来,下一代安全服务是大数据和云服务的结合。深信服也基于自身对客户的需求和安全服务的深刻理解,推出了自己的云安全服务。深信服云安全服务主要包含三个部分,分别是:云安全引擎平台、威胁情报预警与处置中心、云端安全扫描中心。
深信服云安全引擎平台在客户许可的情况下,可以实时收集部署在用户网络中的NGAF设备发现的可疑流量。在云安全引擎平台中,首先进行海量样本分拣,然后将分拣后的样本放入相应的沙盒执行检测,如果通过沙盒检测确认是威胁行为,将生成新的威胁防御特征,并更新云安全引擎平台的威胁防护特征库,同时将此安全防护特征下发到全球所有在线的NGAF设备。由于该系统是一个生态的自循环系统,因此可以在最短的时间内发现和防御未知威胁。
威胁情报预警与处置中心是深信服云安全引擎与NGAF设备联动的又一完美体现。云安全引擎能够自动收集最受业界关注的热点安全事件,在安全事件爆发后的48小时内提供完整的0Day漏洞检测和防护方案,并推送到全球所有在线的NGAF设备上,设备上的威胁处置中心模块在用户确认许可的情况下将自动对被保护的对象进行扫描检测,并对扫描发现的威胁提供一键防护,用户只需点击一键防护按钮,设备即可自动生成针对所有被发现的威胁的防护策略。
云扫描平台是深信服结合多年web应用安全研究成果和大量信息安全事件应急响应经验之下开发出的一款安全扫描平台,该平台旨在帮助广大用户进行远程深度web网站安全扫描、指纹识别、漏洞验证,全面预知web应用系统安全现状,并提供专业的安全加固建议。
在深信服看来,NGAF不仅仅是网络中一道坚实的安全防护长城,还充当着安全风险感知、威胁探测、大数据提取、信息上报、防护落地的重要角色,是实现下一代安全的必不可少的重要一环。
企业用户对下一代防火墙的应用目前有哪些困惑?
实际上,下一代防火墙替换传统安全设备已经是大势所趋。自2011年深信服发布国内第一款下一代防火墙之后,国内几乎所有的主流安全厂商都陆续发布了下一代防火墙产品,并作为其公司战略主推的产品。经过几年的发展,大部分客户已经认可了下一代防火墙的价值,下一代防火墙已真正成为最主流的安全产品。
近期,我们深信服也做了一个调研统计,我们对近一年所做的项目进行了分析梳理,发现有超过60%的项目是以下一代防火墙立项的,这其中就包括很多的企业客户。进一步对我们的企业客户进行跟踪回访,发现他们对于下一代防火墙的认知度很高,而且他们确实面临着很多的应用层安全威胁,所以选择用NGAF来替换传统安全设备,进而加固网络安全。很多的企业客户也非常注重测试效果,到底NGAF怎么样,测一测就知道。另外一些企业客户比较关注性价比,不过得益于国产厂商的崛起,他们大部分也表示承担得起。
下一代防火墙通过硬件本身的性能提升还是功能多来定义下一代安全?
在深信服看来,无论是性能还是功能都应该是下一代防火墙关注的重点,下一代防火墙应该兼具应用层高性能和全面的安全防护功能。
从处理性能来看,下一代防火墙着眼于应用层安全保护,而应用层的安全核查,就需要对数据包进行重组、还原、匹配等操作,因此对于硬件资源的消耗比较大,并且人们对于带宽需求是不断提升的, 这就要求下一代防火墙设备在防护性能上能够不断满足需求。采用高性能硬件平台,或者在产品设计上采用更先进的架构,都是提升设备处理性能的一种选择。
从功能上来看,我们知道安全建设有一个木桶原则,即安全防御体系建设的好坏取决于最短的那块板,安全防御上不能存在短板,存在短板可能会被绕过,导致原有安全建设形同虚设。因此,涵盖安全功能的全面性,也是衡量下一代防火墙优劣的重要标准。
事实上,无论是Garnter下一代防火墙的定义,还是我国的第二代防火墙标准,里面都强调了高性能和功能全面性。
