【IT168 评论】防火墙时安全硬件市场的重要组成部分,在企业安全领域扮演着重要角色。下一代防火墙的提出一度引起业内热议,安全向云端的迁移以及互联网公司与企业安全的碰撞也让安全行业迸发出新的火花,而硬件市场的活力也进一步被激发。据IDC数据统计,2014 年,防火墙硬件市场的规模为 US$ 415.9M,同比增长 24.1%,2014 年上、下半年的市场规模占比分别为 40.2%和 59.8%。可以看出,防火墙市场的需求还在与日剧增,而位居市场前列的领军厂商对于自身的解决方案都有持续提升。
下一代防火墙无论是噱头还是传统安全硬件的本质提升都将在企业安全市场占据了不俗的市场份额,而下一代防火墙与统一威胁管理之间的界线也越来越模糊,下一代防火墙将会更精简还是更复杂,用户和解决方案供应商将如何看待防火墙硬件本身的发展,下一代防火墙如何解决功能性能无法兼顾的遗留问题?这些针对产品的问题一直存在。移动化和社交化使得安全威胁层出不穷,针对不同移动办公安全架构和安全组件,下一代防火墙会针对不同用户,甚至不同应用场景做出什么具体改变,同时会衍生出何种新技术?
带着这些问题,笔者采访了市场占有率位居行业前列的天融信、华为,还有国外知名安全厂商Fortinet,国内更有深信服、网康、山石网科、绿盟。各大安全厂商对下一代防火墙各有见解,下面我们就看各大厂商各抒己见,共论下一代防火墙的未来。
华为下一代防火墙如何迎合未来趋势?
位居国内防火墙市场占有率前列的华为对下一代防火墙有独到的看法,华为认为,作为提供云安全服务的载体,下一代防火墙必须具备全面的虚拟化能力,满足为多租户提供服务的需求。这种虚拟化不仅是基本防火墙功能的虚拟化,还包括入侵防御、防病毒、VPN等全部安全能力的虚拟化。澳大利亚知名的云服务提供商ICITA、东南亚知名的MSSP(托管安全服务提供商)Cenfinity公司,都在使用华为USG6000防火墙为他们的客户提供云安全服务。
从华为解决方案上看,基于传统防火墙的修修补补不足以满足用户的需求,也无法从根本上平衡性能与功能不可兼顾的尴尬境地,因此华为重新设计了新的硬件平台和软件体系,并采用全新设计理念和管理逻辑设计用户体检,推出了华为USG6000系列下一代防火墙。为了让USG6000真正成为“性能可用”的下一代防火墙,华为主要做了两点全新设计:第一,推出IAE智能感知引擎,一次流量解析多个业务模块并行处理,避免传统防火墙重复对同一报文的多次解析、重复匹配与响应。采用这种架构,能够大幅度提高多个业务功能开启的检测性能;第二,硬件平台采用“多核MIPS”+“硬件协处理加速”+“高速SwitchFabric”的架构,通过高速总线实现多核CPU与业务处理模块、接口扩展模块的通信。专用硬件加速内容层流量处理,并把特征匹配、摘要计算、加解码等消耗大量CPU资源的操作,交由Cavium多核CPU的专用协处理器处理。结合这两种方法,即使开启全部安全防护功能,华为USG6000系列下一代防火墙的性能下降也不会超过50%,这一兼顾功能和性能的特性在业界也是罕有。
对于NGFW的防御能力,华为不仅仅专注于盒子之内,通过NGFW与沙箱、大数据安全分析系统的实时联动,华为防火墙意在为企业提供几乎具有无限扩展性的威胁感知与协同防御能力。在产品特性上,华为USG6000系列下一代防火墙覆盖了从百兆到Tbps级别的广泛范围,可用于各行业的应用场景。除了传统的应用场景,还对行业的特定场景进行了细化。例如,针对金融行业推出分支上网安全解决方案,针对企业大型数据中心推出数据中心安全解决方案,对教育城域网的安全建设也有相关的方案。
如何应对日益猖獗的位置威胁
应用层防护无疑是下一代防火墙的核心,应用识别能力尤为重要。华为USG6000系列下一代防火墙能识别业界最多的6000+应用。利用这一优势,可以进行非常细致的访问管控、应用流量加速以及基于应用的策略路由。
Web防护则不是下一代防火墙的重点,目前web服务器的防护主要靠WAF。下一代防火墙防护的目标是整个网络,保护的是一个面,而不是具体的某个点。通俗点讲,它更像一个门卫,而不是保镖。NGFW是门卫,专门保护Web服务器的WAF设备是保镖。NGFW可以针对web的入侵型流量进行防护,但这不意味着它可以取代WAF。两者保护的对象不同,决定了它们需要的资源类型和使用方式都不同。如果把功能强行捏合在一起,要么会牺牲性能,要么会牺牲检测的准确性。
对未知威胁的防护是当前大家都很关注的问题。华为USG6000系列下一代防火墙是未知威胁防护整体方案的重要组成,并主要从以下方面解决强化下一代防火墙的核心防御能力:
更精细访问管控,缩小未知威胁的攻击面;
管控员工对恶意网站的防护,防止钓鱼型的攻击;
协同华为的沙箱产品、大数据分析产品检测出未知威胁,并进行阻断;
检测流量中是否有包含敏感信息的文件,防止通过未知威胁非法外传。
用户需求在何方?
华为前期对企业用户的大量调研表明,企业网络管理员最大的困惑是下一代防火墙的管理变得复杂多了。传统防火墙基于IP和端口定义安全策略,端口其实代表了他们使用的业务,常见的端口数量并不多。而下一代防火墙是基于用户和应用进行管理的,管理的粒度更细。举个例子,同样的80端口对应的应用会有多少?如果说之前只需要用80端口定义一条策略,映射出来的下一代防火墙应用管控策略可能会有成百上千条。所以华为USG6000系列下一代防火墙才会推出解决这个问题的Smart Policy技术,它能够智能的优化、精简下一代防火墙策略。帮助企业简化管理,TCO降低30%。
举例来说,在企业分支远程互联的场景,由于广域网不稳定而引发VPN上远程业务的不稳定。华为推出VPN智能选路技术,在一组VPN加密隧道中进行流量负载均衡,当VPN故障时可以使用质量最优的备选作为替代。既能优化了体验,又降低了租用专线的需求。这个技术在京东商城遍及全国的物流系统中用的非常成功。在大型企业中,大量防火墙策略的管理和优化是个难题。华为推出的Smart Policy技术能够智能的优化、精简下一代防火墙策略。帮助企业简化管理,TCO降低30%。这些都是华为USG6000下一代防火墙根据场景衍生出的新技术。基于移动用户地址位置的访问控制,也是华为NGFW为移动办公安全量身定制的体贴特性之一。
现在是移动互联网时代,随着移动应用的激增,不仅导致了我们对带宽需求的提升,也引入了更多新的威胁。和过去相比,更多的业务由C/S架构转向B/S架构,我们网络面临的安全威胁也从过去简单的网络层攻击,变为了应用层的攻击,而且新型威胁的出现频率也更高,可以说我们的网络环境和安全需求发生了很大的变化,这也能从今年的RSA大会主题“change”看得出来。这些变化,是传统防火墙无法有效应对的,所以下一代防火墙应运而生。
深信服是国内最早发布下一代防火墙产品的厂商,深信服深刻的认识到了传统防火墙在新的安全形势下的不足,因此在设计之初就充分考虑了安全防御功能和性能的需求。
深信服下一代防火墙(Next-Generation Application Firewall)NGAF提供了更精细的应用层安全控制,能够有效识别并控制2000多种应用,包括数百种移动应用;NGAF还提供了全面的内容级安全防护,如Web应用安全防护,漏洞防护,入侵防护,病毒防护,应用层DDoS攻击防护,网页篡改防护,内网信息泄露防护等;NGAF同样也提供了完备的传统安全功能,如传统防火墙的接入控制、NAT、VPN等。
为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,NGAF也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了检测效率,实现了万兆级的应用层安全防护能力。
针对不同移动办公安全架构和安全组件,下一代防火墙会针对不同用户,甚至不同应用场景做出什么具体改变,同时会衍生出何种新技术?
考虑到移动办公的安全需求,深信服下一代防火墙集成了IPSec和SSL VPN功能,员工在外出差或者在家里,无论手机或者电脑都能利用VPN技术安全连接到工作网络。但是,开展移动业务的设备(PC、手机、pad)和方式(开发App、虚拟化)多种多样,需要部署多种系统接入平台和安全设备,会带来用户体验不佳以及IT管理困难等问题。并且,由于员工手机被盗、不安全的Wi-Fi连接、以及企业与个人数据混合等因素,都给移动化带来安全风险,极易导致企业敏感数据泄露。为了更好地适应移动终端多样化的特点,更好的管控移动终端的安全威胁,深信服还将推出EasyConnect应用发布、EasyApp安全加固、EMM企业移动管理等多套组件,帮助用户在任何时间、任何地点,使用任何终端都能安全地接入业务系统。
相对于友商,贵司NGFW的应用用户领域有何不同?未来将针对那些行业有更细化的解决方案?
深信服NGAF产品面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层安全防护体系,强化了在Web层面的应用防护能力,不仅在开启全部安全功能的情况下还保持有强劲的应用层处理能力,还能全面替代传统防火墙等安全设备。因此,对于深信服来说,我们并没有刻意界定客户群体,我们希望NGAF产品能够保护更多用户的网络安全。经过最近几年的拓展和推广,深信服NGAF产品已经获得了非常多的客户认可和使用,截止2015年6月,已经有超过一万家客户部署了深信服NGAF产品,其中包括100多家部委省厅级单位,200多家大型企业集团,80家运营商和金融单位,以及90多家知名教育单位。
现阶段我们针对大部分行业都有相应的NGAF解决方案,未来我们打算针对广域网全网安全监测、虚拟化云数据中心安全防护、安全咨询和加固等方面推出更加细化的解决方案。
借助于深信服的云安全平台、第三方安全情况共享和威胁情报预警与处置机制,能够快速帮助客户建立全网安全监测体系,实现全网安全状况实时动态感知、威胁快速定位、安全快速响应等目标;虚拟化技术已经成熟,云数据中心正逐步实现,但针对虚拟网络却没有有效的安全管控手段,深信服虚拟化软件防火墙专为虚拟化云环境而设计,其拥有和物理设备一样的功能,并能以虚机的形式存在于虚拟网络中,提供了虚拟环境下完美的边界控制、流量检测、威胁防御、集中管理及行为审计等功能;深信服也组建了专业的安全咨询服务团队,依托深厚的安全知识体系和丰富的行业经验,综合国际国内标准、政策要求和实践优化经验,深信服能够为客户搭建全面的、无缝整合的动态信息安全保障体系,保障客户网络的持续安全,并为客户提供未来3-5年的安全建设规划。
保障网络安全,维护网络空间主权和国家安全已上升到国家战略,而全球多个国家都把网络空间看作是第五大国家主权空间,未来网络空间战争CyberWar可能一触即发。深信服也力争能为国家和民族的网络安全事业做出更大的贡献!
下一代防火墙特别关注的应用识别和web防护能力么?下一代防火墙如何防范未知威胁?
下一代防火墙提倡的是二到七层全面的安全防护,既能起到传统安全产品的作用,又能识别网络中的用户、理解网络中的应用和内容、防御网络内容中的威胁,因此应用识别是下一代防火墙全面的威胁识别和防护技术的基础和必备要求。
Garnter报告显示,当前网络中超过75%的攻击来自于应用层。互联网技术的高速发展,使得Web业务成为当前互联网应用最为广泛的业务。大量的在线应用业务都依托于Web服务进行,Web业务不断更新,大量web应用快速上线。因此,如果下一代防火墙产品不能提供Web应用防护功能,将是一个很大的安全缺陷,甚至可以说,是否具备Web安全防护功能,是衡量一款下一代防火墙产品优越与否的重要标志。
深信服NGAF产品主要通过两种方式来防范未知威胁,分别是设备上的灰度威胁关联分析引擎检测和云端的云安全引擎平台检测。
NGAF的灰度威胁关联分析引擎对威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性初始化一个行为权重。设备进行单次解析后,若发现异常行为,立即将相关信息反馈给灰度威胁样本库,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,如果某个用户行为超过了预设的阀值,就会判定此类事件为威胁事件。深信服通过不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。
深信服云安全引擎平台,主要是收集NGAF设备发现的可疑流量,在云平台执行多维度的沙盒检测,进而确认是否是威胁行为,如果是威胁行为,将快速生成威胁防御特征,并同步下发到全球所有在线的深信服NGAF上,从而实现快速应对未知威胁和僵尸网络的能力。
云安全服务成为了下一代安全服务的趋势,防火墙本身在下一代安全中将扮演什么角色?
最近,云安全服务日渐流行,很多专业的安全厂商都在做。在深信服看来,下一代安全服务是大数据和云服务的结合。深信服也基于自身对客户的需求和安全服务的深刻理解,推出了自己的云安全服务。深信服云安全服务主要包含三个部分,分别是:云安全引擎平台、威胁情报预警与处置中心、云端安全扫描中心。
深信服云安全引擎平台在客户许可的情况下,可以实时收集部署在用户网络中的NGAF设备发现的可疑流量。在云安全引擎平台中,首先进行海量样本分拣,然后将分拣后的样本放入相应的沙盒执行检测,如果通过沙盒检测确认是威胁行为,将生成新的威胁防御特征,并更新云安全引擎平台的威胁防护特征库,同时将此安全防护特征下发到全球所有在线的NGAF设备。由于该系统是一个生态的自循环系统,因此可以在最短的时间内发现和防御未知威胁。
威胁情报预警与处置中心是深信服云安全引擎与NGAF设备联动的又一完美体现。云安全引擎能够自动收集最受业界关注的热点安全事件,在安全事件爆发后的48小时内提供完整的0Day漏洞检测和防护方案,并推送到全球所有在线的NGAF设备上,设备上的威胁处置中心模块在用户确认许可的情况下将自动对被保护的对象进行扫描检测,并对扫描发现的威胁提供一键防护,用户只需点击一键防护按钮,设备即可自动生成针对所有被发现的威胁的防护策略。
云扫描平台是深信服结合多年web应用安全研究成果和大量信息安全事件应急响应经验之下开发出的一款安全扫描平台,该平台旨在帮助广大用户进行远程深度web网站安全扫描、指纹识别、漏洞验证,全面预知web应用系统安全现状,并提供专业的安全加固建议。
在深信服看来,NGAF不仅仅是网络中一道坚实的安全防护长城,还充当着安全风险感知、威胁探测、大数据提取、信息上报、防护落地的重要角色,是实现下一代安全的必不可少的重要一环。
企业用户对下一代防火墙的应用目前有哪些困惑?
实际上,下一代防火墙替换传统安全设备已经是大势所趋。自2011年深信服发布国内第一款下一代防火墙之后,国内几乎所有的主流安全厂商都陆续发布了下一代防火墙产品,并作为其公司战略主推的产品。经过几年的发展,大部分客户已经认可了下一代防火墙的价值,下一代防火墙已真正成为最主流的安全产品。
近期,我们深信服也做了一个调研统计,我们对近一年所做的项目进行了分析梳理,发现有超过60%的项目是以下一代防火墙立项的,这其中就包括很多的企业客户。进一步对我们的企业客户进行跟踪回访,发现他们对于下一代防火墙的认知度很高,而且他们确实面临着很多的应用层安全威胁,所以选择用NGAF来替换传统安全设备,进而加固网络安全。很多的企业客户也非常注重测试效果,到底NGAF怎么样,测一测就知道。另外一些企业客户比较关注性价比,不过得益于国产厂商的崛起,他们大部分也表示承担得起。
下一代防火墙通过硬件本身的性能提升还是功能多来定义下一代安全?
在深信服看来,无论是性能还是功能都应该是下一代防火墙关注的重点,下一代防火墙应该兼具应用层高性能和全面的安全防护功能。
从处理性能来看,下一代防火墙着眼于应用层安全保护,而应用层的安全核查,就需要对数据包进行重组、还原、匹配等操作,因此对于硬件资源的消耗比较大,并且人们对于带宽需求是不断提升的, 这就要求下一代防火墙设备在防护性能上能够不断满足需求。采用高性能硬件平台,或者在产品设计上采用更先进的架构,都是提升设备处理性能的一种选择。
从功能上来看,我们知道安全建设有一个木桶原则,即安全防御体系建设的好坏取决于最短的那块板,安全防御上不能存在短板,存在短板可能会被绕过,导致原有安全建设形同虚设。因此,涵盖安全功能的全面性,也是衡量下一代防火墙优劣的重要标准。
事实上,无论是Garnter下一代防火墙的定义,还是我国的第二代防火墙标准,里面都强调了高性能和功能全面性。
UTM缔造者Fortinet解读下一代防火墙
首先,并不是说传统防火墙无法兼顾功能和性能,而是传统防火墙只是基于传统五元组的过滤方式,并无法基于应用进行识别和过滤,所以才有了下一代防火墙。所谓的功能与性能无法兼顾这一个“遗留”问题是NGFW上市的时候提出的说辞,并且现在已经解决。比如Fortinet的NGFW就能够很好地平衡功能与性能,主要原因就是Fortinet的FortiGate下一代防火墙采用了混合架构的处理方式,使用多块FortiASIC芯片来帮助核心CPU来卸载网络和应用流量。一颗FortiASIC NP6网络处理器可以处理40Gbps的网络流量,并且对于流量中的数据包大小不敏感,并且处理IPv6网络流量的性能与IPv4的网络流量性能相同。这样就能够保证即使在很高流量负载的情况下,CPU的使用率仍然很低,这样就能够保障CPU还有能力处理突发的业务请求。FortiASIC CP8内容处理器能够对加密流量进行解密,还可以对应用流量,IPS性能进行加速。通过全方位的流量卸载与加速,FortiGate足以保障用户在开启多功能时依然可以让我们的下一代防火墙不成为网络瓶颈。
我们需要明确两点:纯粹的边界安全是不足够的,安全性不足的无线网络是巨大隐患。
传统的防火墙或NGFW部署在企业和互联网的边界处,虽然表面上看可以过滤全部的流量,但也只是流出的流量,对于企业网内部不上到边界网关的流量,比如无线网络流量,传统边界网关+无线AC的独立部署模式。但是FortiGate下一代防火墙集成了无线控制器功能,可以在FortiGate上面直接管理由FortiAP组成的无线网络。由于FortiGate把无线网络和有线网络无缝地整合到了一起,在管理方面对于用户来说就是一张网络,因此可以对无线网络部署IPS,IDS,应用控制,DLP,URL过滤等等NGFW的功能。
所以,FortiGate下一代防火墙将有线网络的安全性完美地移植到了无线网络中,而且还是通过一个管理窗口进行管理,极大地提升了安全性。
飞塔防火墙优势所在
Fortinet的FortiGate下一代防火墙广泛应用在我们日常能见到的各种行业领域,比如金融行业,互联网行业,制造业等等。未来Fortinet将针对广大的互联网客户进行分业务场景的解决方案定制。
行业应用广泛的原因在于Fortinet提供的NGFW是无处不在的,从传统部署的边界网关部署模式,到内网隔离使用的NGFW,再到虚拟化环境,SDN环境的NGFW,甚至还在NGFW中集成了交换和无线功能。在数据中心场景,Fortinet提供完备的虚拟化和SDN解决方案,比如在Vmware NSX环境中,OpenStack环境中以及Cisco ACI架构中帮助数据中心解决内部东西向流量的安全问题。未来在云计算、虚拟化和SDN领域也将继续扩大生态系统,为用户提供更强大的安全解决方案。
下一代防火墙关注应用识别是必须的,但是Web防护能力则不必须
主流NGFW技术应与WAF配合,而非集成。因为从部署位置上,NGFW可以部署在任何地方,WAF定位于Web服务器前端;从技术原理上,NGFW是状态检测+深度包检测,WAF是应用层代理。下一代防火墙部署的位置应该是在企业内网的业务组之间进行内网隔离,或者在企业与互联网边界进行整体企业网络的安全隔离。而Web服务器的防护是有专门的WAF设备放在Web服务器前面进行基于Web的威胁防御的。虽然NGFW和WAF都是以应用层为主进行安全保护,但是NGFW具有防火墙的基因,能够进行网络层安全保护,这个是WAF无法做到的,虽然WAF对于应用的理解更细,能够到参数级,但是只能针对Web应用,特点十分鲜明,而NGFW则是对全流量应用给予可视化及细粒度管控的。
对于未知威胁的防御,目前主流的的做法都是基于行为进行判定。FortiGate的其中一个功能就是基于行为打分。首先定义威胁权重,开启后系统将自动开启所有策略的流量日志。管理员可以调配每一个威胁项的权重值,以适配企业网络的流量特点。然后可以根据每个用户的具体分数进行重点控制,比如施加额外的应用控制、Web过滤等等。这也是一种实现帮助用户针对性进行策略配置的方式。此外,随着网络攻击越来越复杂,很多传统的方式以及无法抵御目前的高级复杂攻击,但是管理员通过FortiGate可以对网络流量中的行为进行威胁权重定义,通过行为的蛛丝马迹来发现攻击和被攻击对象。另外,FortiGate可以与FortiSandbox沙盒产品集成,通过将未知文件上传到沙盒去进行虚拟执行,来进行基于行为的判定。对于大型企业网络或者服务提供商网络,FortiGate可以作为探针部署在网络内部的很多地方,做细致的内网隔离的同时,为FortiSIEM提供内网多位置的安全情报,交由FortiSIEM进行统一分析,通过资产关联,交叉关联和清单关联后确定风险等级。
下一代安全趋势下防火墙主要角色依然是网络隔离
防火墙的主要角色肯定还是网络隔离,随着威胁的演进,只在内外网之间放置防火墙进行隔离已经不够,内网的安全隔离也要使用下一代防火墙,这样可以提供内网全流量可视化。只有让用户看清楚自己网络内的流量情况,才能进行更好的防御。
云时代,防火墙的重要性更加不可动摇。我们需要微分段、零信任、无处不在的NGFW来防御APT攻击。远在天边的云安全服务只是安全体系的一部分,而不是全部。
企业用户对下一代防火墙的应用目前有哪些困惑?
首先是用户的投资过于集中在企业网络边界,实际上内网安全更重要。现在很多第三方咨询公司和调研公司都讲“零信任”网络,就是说内网也不安全,必须把每个内网组、段、域当成做外网隔离一样进行下一代安全过滤,最好也要部署NGFW,但实际上用户并没有这么想和这么做。
其次就是用户把NGFW 当成传统防火墙或VPN网关来使用。原因在于设备自身功能过多,配置复杂,报表展示不友好等等。虽然在NGFW的经典定义中功能只包含:防火墙、IPS、应用控制这三个主要功能,但是实际上业界所有的NGFW全都是有至少5个以上的安全功能,比如多了URL过滤,反病毒等等。功能多了之后,一旦配置不友好,改动不方便,用户可能就会放弃使用这个功能,然后时间长了就变成了只当成普通防火墙来使用。另外就是功能做的不细致,导致实际使用效果不好,用途不大。
最后是实际性能与厂商声称的有时差距很大,比如企业网络1Gbps出口带宽,很难说拿一台1Gbps性能的NGFW就能搞定,甚至有的厂商拿2Gbps,3Gbps的都不一定能搞定。如何选型是用户采购的时候比较困惑的。
下一代防火墙性能、功能、服务缺一不可。
不管是企业内网还是数据中心网络,带宽都在迅速增加。尤其是在内网,由于接入设备多,长连接应用多,导致对于网络设备的需求不论是新建,并发还是吞吐量方面都要求更高。作为网络基础设施设备的下一代防火墙肯定不能成为网络的瓶颈。其处理性能要能够跟得上网络的发展,比如内网高性能交换的高密10G接口,以及40G、100G接口等等都要支持,当然性能也要能跟上。
功能方面,寄希望于一台设备实现功能大一统其实并不现实。因为所处的网络位置决定了这台设备需要处理的流量特性。比如说NGFW,WAF,邮件网关之间肯定是不能相互替代的。NGFW需要解决的问题还是如何能够提供给用户更好的易用性。让用户充分将NGFW的功能发挥到最大化,这样才能够帮助用户提升安全水平,如果这一代的安全都做不好,何谈下一代安全呢。
另外就是服务,安全是一个动态的过程,攻防双方都是持续不断地进行较量,因此,作为防守方必须要能够持续不断地输出最新的安全威胁情报。Fortinet在安全行业有十余年的积累,而且FortiGuard安全威胁研究与响应实验室在欧洲,亚洲,和北美有200余位安全研究专家,为Fortinet的客户提供24x7x365的安全威胁情报的更新。
下一代安全倡导者网康谈下一代防火墙
网康NGFW采用高性能多核硬件架构及单路径异构并行处理引擎,网络流量平均分配于多个处理核心并行处理,所有数据包一次解码即可进行全部威胁特征检测。大幅优化了安全检测和数据转发效率,可有效保障高性能应用层处理,并降低多安全功能全开启后的性能衰减。单路径异构并行处理有别于传统统一威胁管理(UTM)将多安全引擎简单堆砌的方式。安全模块间可开展有机联动,各安全模块产生的信息可实现全维度关联,使网康NGFW具备强大的模块间安全协同能力和威胁情报(Threat Intelligence)聚合能力。
此外,NGFW可以与网康云联动,这样大量的特征匹配工作量可以在网康云上完成,也就是业内常说的云查杀技术,并将云端的决策下发到NGFW端。本地+云端的模式可以在保证应用识别/检测率的同时最大程度的保证单机性能。
下一代防火墙衍生新技术
当前市场上已经出现了很多下一代防火墙产品,根据不同公司对产品的不同理解以及不同的技术积累,在产品实现过程中就出现了很多差异性。网康科技在做具体实现的时候,也做出了很多差异性的实现。
云查杀技术
Gartner定义下一代防火墙的时候,云计算并没得到普及,然而今天,“云”已经成为了众多安全厂商竞相采用的一种技术。结合防火墙产品,云主要表现出了两方面的优势。首先是特征数量更大和特征更新更快。受限于本地存储空间大小和cpu运算能力,一般的独立防毒墙,或者UTM、防火墙产品中嵌入的杀毒引擎所具备的特征库数量基本上都是10万级的,而云端的病毒库由于不受计算能力和存储能力的限制,因此拥有多达500万以上的特征库。而且云端安全引擎不会出现扩展性问题,随着样本库的增长我们只需要调整云中心的硬件配置就可以了。需要指出的是,木马的危害性远远超过病毒和蠕虫,它是僵尸网络、数据泄露的重要途径,是对企业安全的巨大威胁。云安全技术是应对木马的有力武器,事实上,由于木马具有快速变种的特点,可以认为这种解决方案对于木马是唯一有效的检测方案。根据我们的测试,在和几款主流的安全硬件的对比中,同样的样本数据,网康下一代防火墙的检出率高达90%而其他设备的检出率不超过60%。
数据防泄漏技术
DLP的要求同样没有出现在Gartner的定义中,然而随着大数据时代的来临,数据已经成为了企业的核心资产,在国家对公共信息保护日益严格的情况下,数据泄露在给企业带来巨大损失的同时,还会为企业带来法律风险。所以,下一代安全技术中有必要针对数据泄露设计专门的防范措施。当前的许多数据检测都是发生在协议层的,例如FTP,HTTP等。而实际上,数据泄露却有着很多的渠道,许多网络应用都可以进行数据传输,例如网盘、P2P、IM等等,这些应用都有自己独特的数据传输机制,这不是从协议层可以检测出来的。所以要进行有效的数据泄露检测,必须能够针对具体应用来进行。而这恰恰是下一代防火墙的核心能力所在。网康科技针对300种能够进行数据传输的应用进行了检测,并支持66种文件类型的检查。而且还支持通过正则表达式的形式来进行关键字规则限定,并且预定义了许多数据类型例如“身份证号”、“银行卡号”、“信用卡号”等。
链路负载均衡与应用引流
除了在下一代安全技术的进一步加强外,网康还针对一些客户的实际需求做出了一些极具实用价值的新功能。比如,网康科技观察到很多客户都具有多链路出口的场景,负载均衡对这些客户有着明显的价值,于是引入了链路负载均衡功能,这对于提升我们客户的网络吞吐有着很好的帮助。除了传统的链路负载均衡功能,网康还将其独有技术“应用引流”引入到了下一代防火墙平台上,用户可以根据应用类型来决定选择哪条链路,这可以让客户将核心业务分布到优质高价链路上,将无关业务分布到劣质低价链路上,更好的发挥IT投资的价值。
更精细的解决方案防范未知威胁
网康下一代防火墙已成功部署在了遍布全国及各行业的企事业单位。在政府机构,网康下一代防火墙以其极高的安全性助力等级保护建设;在高校,以其强大的性能和可靠性保障数字化校园;在中小学,以其领先的应用控制能力保障三通两平台运行并构建绿色上网环境;在中小企业,以其多功能融合的设计带来一专多能、安全可靠、简单经济的价值提升;在大型企业,以其卓越的全网可视、智能分析构筑技术支撑管理、技术管理并重的安全体系。
对于下一代防火墙来讲,一旦具备了对人、应用、内容的识别能力,则意味着访问控制能力由原先的五元组扩充至了八元组,控制一个数据包的访问和转发,可基于传统五元组外加应用类型以及数据内容进行更加精细的过滤。同时,对于日益普遍的应用层威胁的防御,同样需要建立在应用识别的基础之上,不识别应用则根本谈不上应用层威胁的防御。
在防范未知威胁方面,网康NGFW内建僵尸主机行为模型,并引入行为特征分析技术,将针对主机行为的统计分析结果与威胁模型进行关联对比,根据其符合程度判别可疑的僵尸主机并及时预警,为管理者提早做出人工干预提供数据支撑。主动式防御还包括单位周期流量异常变化监控,可以应用、IP为维度对比出单位周期内的流量激增和骤减变化,帮助管理者预判风险。
迎合下一代安全趋势
网康安全云收录病毒文件样本数量已达亿级,恶意网址数量超20万条,并由专业安全团队保持实时分析和更新。网康NGFW实现了与网康安全云的智能联动,在业界率先采用病毒和恶意网址云查杀技术。
云查杀技术由网康安全云负责病毒、恶意网址等威胁特征的匹配,并由网康NGFW快速执行云端下发的决策,云查杀技术在威胁检出率、检测性能及新威胁响应速度方面领先传统本地检测技术数十倍。简单讲,在下一代网络安全防护体系架构中,NGFW既是云上大数据的采集者,同时也是云端决策的执行者。
大数据情报分析在终端的落地
目前企业用户对防火墙的最大困惑,就是传统的安全设备如何应对现代网络环境中的高级威胁, 尤其是未知威胁。因为传统安全设备的检测方式十分依赖于病毒库、特征库等技术手段,而这类技术无法应对未知威胁。网康科技在研发NGFW之始就看到了传统检测方式的局限性,因此始终将主动式防御和风险预判作为应对现代高级威胁的解决之道,通过用户行为特征分析判断异常行为并及时预警,为管理者提早做出人工干预提供数据支撑。
此外,本地设备与云技术的结合也是用户的另一个困惑。NGFW的一个热点功能就是安全可视化,这种可视化并不是应用、用户的可视化,而是全网范围内的安全态势感知,这是单一设备无法实现的。而云计算技术可以将海量数据关联起来,动态搜集情报、智能解决威胁。在这方面网康可以做了一些尝试,通过”云管端“安全架构模式解决了本地防火墙与云端的联动问题,实现了大数据情报分析通过防火墙在受管控的终端上落地,防火墙的防护模式也由之前的孤岛模式演进为协同模式。
功能和性能有如驱动之双轮,要协同发展,缺一不可。防火墙部署于内网和外网连接的咽喉要道,肩负着流量控制、病毒检测、入侵监测、内容过滤等多种功能,因此开启全部功能后可能会导致处理性能大幅度下降。尽管这个问题无法完全避免,但通过高性能多核硬件架构及单路径异构并行处理引擎,报文经过一次解包后由多个模块并行检测,是可以有效降低性能衰减的。
性能和功能按需平衡,山石网科解决方案
山石网科认为,针对移动应用场景,下一代防火墙将会加强“场景感知”的技术能力。NGFW能够感知到用户当前的所在网络环境,例如终端类型、接入方式、用户角色,从而自动将安全策略匹配至该场景,包括认证方式、访问权限、审计内容等。这个过程需要下一代防火墙具备场景感知与自动的策略分发能力,因此提出以下两种解决方案策略。
1、用组合式解决方案满足用户对功能和性能的需求:在数据中心出口需要大流量的应用场景,提供X系列全分布架构的高端防火墙,满足海量吞吐。在性能要求不高的区域,提供E/T等智能下一代防火墙满足更多安全功能的需求
2、在单品上采用异构方式兼顾性能和功能。例如智能下一代防火墙采用了多核网络处理架构以及X86架构,兼顾网络处理效率以及智能分析功能。
近年来,山石网科下一代防火墙在金融、互联网行业得到了大量用户的认可,在农行、建行、国泰君安、中国人寿等大型金融客户中,山石网科下一代防火墙得到了大规模部署或是应用于客户网络的核心位置,这得益于山石网科在产品技术领域的多年积累,高稳定性是这些金融客户对我们产品的一致评价。未来,我们将继续深挖客户需求,根据业务需求以及威胁攻击链,为客户提供更细化的解决方案
不同厂商的下一代防火墙侧重点不同,有的侧重于应用识别,有的侧重于WEB防护,但是总体思路都是要解决业务应用上的安全问题,而不是像传统防火墙一样,仅关注网络层的安全问题。
从安全技术发展角度看,现有依赖特征库的检测技术已经发展到了瓶颈了,跟不上威胁的快速变化了,一是威胁数量越来越多,二是威胁变种越来越快,这也是为什么现在未知威胁广受关注,同时难于防范的原因。山石网科在这个问题上另辟蹊径,在国内最早在防火墙上采用基于行为分析的技术进行威胁发现,不论未知威胁如何变化,但从行为上总是可以辨识的。这种基于行为分析的安全理念,以及在国际上成为防范未知威胁的主流趋势。
越来越多的厂商推出自己的下一代防火墙产品,不同产品功能性能差异较大,客户在选择时,往往缺乏标准,不知道该如何去选择。这是客户当前面临的一个问题。我们的建议是:首先,确认自身的安全需求是什么,在现有产品中选择最匹配的。其次,参考国际权威咨询机构的评价,例如Gartnar,这些机构通常对各个厂商的产品技术以及安全趋势有较深入的了解,通过他们的评价可以更客观的了解安全厂商的产品和技术。
山石网科对安全趋势的看法
云安全服务是在云应用的新形式下,为保障云安全而产生的一种新的安全形态,它是现有安全技术的补充,但不是替代。在未来的安全中,这两种安全形态将日趋融合,互为补充。例如威胁情报共享以及安全联动。防火墙利用云安全服务,防火墙在情报分析、威胁感知上得到显著增强。
安全的本质是防御威胁。定义下一代安全,更主要的是要关注什么是“下一代威胁”,要从威胁的传播途径、感染机制、破坏形式上去考虑,帮助用户解决安全问题。用户并不关注究竟什么是“下一代”,用户关注的是我现在面临什么威胁,如何解决?性能提升或是功能增强,都是下一代安全的表象,而非定义。
绿盟科技:NGFW作为一个网关类的产品,最重要的是稳定性,然后是功能和性能。
在稳定性方面绿盟科技下一代防火墙采用创新疏通安全双引擎。绿盟科技下一代防火墙将处理4-7层安全的处理引擎和2-3层安全的处理引擎做了分离,分别叫做安全引擎和数通引擎,安全引擎可能需要经常性的更新,在可靠性上低于数通引擎。而数通引擎由于其处理的业务属于较为稳定和基础的业务,所以在可靠性上更高。分离上的好处就是当安全引擎升级或故障时,数通引擎仍然可以顺畅的进行转发工作,保障业务不会中断,这样很好的解决了下一代防火墙的稳定性的问题。
在性能方面,硬件上采用了64位多核CPU并配以高速多核并发处理技术,软件上采用了国际领先的一体化引擎技术,各个安全模块并行处理,使性能有了一个质的飞升。
在功能方面,打造云、管、端的防护体系,在云端对数据进行分析;在管道方面,融合了应用识别、入侵防护、URL过滤、内容过滤、防病毒、带宽管理等功能,来保障管道的畅通;在终端方面,通过资产识别功能,被动识别内网资产属性,对于有风险的资产进行预警,将威胁扼杀于摇篮之中;
下一代防火墙会特别关注应用识别,我们知道现在的网络中超过75%的流量来自于应用层,而现在应用通过端口和协议已经无法定位,如果不能精准识别应用,防火墙就如同虚设。对于web防护,下一代防火墙主要是辅助。
对于未知威胁的防范,应该打造一个生态环境,而不仅仅是靠下一代防火墙一个产品,应该是多个专业产品的组合,从而达到非常好的防护效果。下一代防火墙除了本身具备一些防范能力,还应该能够与云联动,这样才能及时而全面的达到非常好的防护效果。绿盟科技下一代防火墙支持与云联动,并且支持与绿盟科技绿盟威胁分析系统联动,形成一套完整的未知威胁防护方案。
NGFW的本身性能和功能都重要的因素,还有一个重要的因素是本身的安全性,另外还需要与多个专业的安全产品相组合来定义下一代安全。至少要有云、大数据分析、ATP防御等,这些靠下一代防火墙是无法完成。
被采访人:天融信网关产品市场中心总监 寇增杰
一:移动化和社交化使得安全威胁层出不穷,基于社交和应用激增,功能和性能无法兼顾是传统防火墙的遗留问题,贵司NGFW将如何平衡功能和性能?
随着各种应用业务的迅猛发展,与传统防火墙不同,融合各种应用防护是下一代防火墙的基本特性,而卓越的性能是保障下一代防火墙能够满足业务应用防护的根本。由此对于下一代防火墙而言,需要采用更加先进的安全系统架构以及需要和多核硬件技术进行完美融合,而这种融合就体现在安全引擎对多核处理器计算资源的使用方面。因此,引擎的设计是实现下一代防火墙2-7层高性能的关键因素,而引擎中的一体化内容检测机制又是实现应用层高性能的关键。
二:针对不同移动办公安全架构和安全组件,下一代防火墙会针对不同用户,甚至不同应用场景做出什么具体改变,同时会衍生出何种新技术?
新的智能移动设备在现代企业内应用越来越广泛,经常用于关键信息的收集、存储、访问和传输,而这些重要数据往往又混合了个人信息,这对原有的企业安全策略而言无疑是一场噩梦。由于接入的智能终端设备数量也越来越多,这就要求下一代防火墙需要对终端设备在接入访问过程中进行检测与控制,包括识别终端设备、鉴别接入用户身份、检查接入终端设备的健康性、控制接入终端设备的可访问资源、审计终端接入后的访问行为等。
三:相对于友商,贵司NGFW的应用用户领域有何不同?未来将针对那些行业有更细化的解决方案?
针对当前信息安全的发展态势,国产网络设备和解决方案厂商除了从以往固有的防护思路和防护方法出发,亟需面对和解决的问题便是“面对未知威胁”,其中APT攻击防护是最主要的内容。从当前各个厂商所提供的解决方案来看,沙箱技术目前被认为是确定未知威胁最为有效的技术手段。其中,较为常见的是基于云端(互联网)沙箱技术的未知威胁防护方案。但是对于云端沙箱来说,由于需要防火墙将未知内容通过互联网上传到厂商的云端做检测,这将会带来严重的数据泄露风险。另外,由于从数据还原、上传、检测、反馈再到动作处理,中间经历多个环节,实时性根本无法得到保证,从而势必会影响整体的数据转发效率。当然,最重要的是,某些特殊网络环境并不允许接入互联网,而这些网络环境恰恰又是APT攻击的重要目标。因此,基于云端(互联网)沙箱技术显然在安全性、高效性和适用性方面存在诸多缺陷,而基于内网沙箱技术才是实现未知威胁检测的主要发展方向。
四:下一代防火墙特别关注的应用识别和web防护能力么?下一代防火墙如何防范未知威胁?
但随着近些年来应用模式的风云突变,特别是出现了大量的云应用、移动应用与WEB应用,而对于P2P、流媒体这些传统应用为了逃避各种检测技术其本身也在不断发生变化,比如有越来越多的应用都采用了加密通讯。这就需要我们的下一代防火墙产品要具有更加精准、精细与响应迅速的应用识别能力。由此,应用识别是下一代防火墙的基础功能。
对于SQL注入攻击、XSS等web攻击防护,这些可以属于下一代防火墙的web防护范畴,但是对于网页防篡改、漏洞扫描等WAF功能,则无法将其简单的融入到下一代防火墙中。下一代防火墙与WAF产品有不同部署位置,为了最大程度的保护用户的网络安全,所以不能将WAF作为NGFW的扩展功能部署在边界。
当前,如何对APT攻击进行有效防御已经成为业界讨论的热点。正是由于APT攻击中所谓“持续性”这一特点,就意味着我们很难通过某一种安全检测机制,对一次攻击行为进行阻断就能将威胁彻底消除。另外,越来越多的攻击事件采用未知恶意代码、利用未知安全漏洞向目标发起隐形、低调的攻击行为,这类攻击往往具有较高的成功几率,而其后果的严重性也更是无法想象。因此,面对APT攻击,对于部署在网络边界位置的下一代防火墙需要具有一套完整、有效的安全防护解决方案。天融信下一代防火墙采用与天融信APT防御系统进行联动,形成防御APT的整体解决方案,将本地知识库未能匹配的如可执行程序、文档文件与URL等内容同步到APT防御系统具有1.5亿规模的混合威胁特征库中执行进一步检测,全面判断是否为已知威胁。如果此时仍未匹配,APT防御系统还会通过沙箱来模拟操作系统、文档加载或浏览器等虚拟运行环境,对各种可执行程序、文件或URL进行动态行为解析,一旦发现有恶意行为,将提取特征码并与网关端实时同步,再由网关生成动态阻断策略,从而能够对各类未知威胁进行有效识别与控制。
五:云安全服务成为了下一代安全服务的趋势,防火墙本身在下一代安全中将扮演什么角色?
云计算、虚拟化、移动互联的技术浪潮,改写了现代企业的竞争法则,也带来了全新的网络生态环境。在网络新生态环境中,现代商业企业的边界正变得日益模糊,企业应用早已突破了原有的边界,基于云计算的企业应用正快速迅猛发展;另外企业内部IT资产的概念也同样在发生变化,很多企业正在构建自身的私有云。所有这些应用、服务和资产边界的变化,使得现代企业的边界正变得越来愈模糊,然而与之相对应的是,相关的安全威胁却更加清晰。
以企业数据中心为例,首先要面对的就是海量接入的问题,这需要具有高效安全防护性能的下一代防火墙产品来应对大量的南北向流量,由于数据中心集中了大规模运算的核心服务器,并以资源的方式按需提供给接入用户进行访问,这直接对安全设备的性能提出了考验; 其次所谓的东西向流量,云数据中心引入虚拟化技术以实现更好的资源分配, 虚拟机动态迁移提升云数据中心的业务连续性,对应也要求下一代防火墙产品能够更好地支持虚拟化技术,以实现与云数据中心的紧密耦合。
六:企业用户对下一代防火墙的应用目前有哪些困惑?
1)如何降低企业的运营成本,是企业用户认为NGFW应该具备的最重要特性,由此NGFW必须具备提供多种安全功能灵活组合的能力,以满足企业不同发展时期的不同安全需求;
2)NGFW还必须能够给企业提供灵活的部署方案,以满足企业灵活方便的实现安全功能的扩展;
3)NGFW应更加专注对应用层业务的控制与保护,以满足企业用户广泛的基于应用的业务需求;同时对应用层性能的关注也应该作为企业用户选择NGFW的重要指标;
4)如何更加人性化的实现对NGFW的统一运维管理,以及快速精准的发现及定位业务风险,势必成为企业选择NGFW不可或缺的参考指标;
七:下一代防火墙通过硬件本身的性能提升还是功能多来定义下一代安全?
随着IT消费化、社交网络、云计算、大数据等新热点的出现,互联网迈向了历史上从未有过的繁华阶段,随之所面临的信息化安全问题日益复杂。面对层出不穷的应用威胁与web威胁, “下一代防火墙(Next Generation Firewall)”应时而生。那么真正的下一代防火墙应该秉承从用户当前面临的实际需求出发,同时结合现阶段防火墙相关技术的发展趋势,天融信公司将下一代防火墙产品特征归纳为如下四个方面:
一套强大的应用识别引擎,实现对各种新型应用流量的精细、准确与高效管控;
一套涵盖2-7层安全特性的高性能软、硬件架构,实现大数据环境下的安全处理;
一套全面的已知威胁与未知威胁安全防护方案,实现真正的APT攻击检测与防御;
一套可视化与智能化的安全管理机制,实现全方位、深层次的网络与安全风险监控;
期待您对下一代防火墙更多更鲜明的观点
涉及厂商深信服、网康、绿盟、飞塔、山石网科、华为