如何选型下一代防火墙 以应对复杂风险?

随着IT基础架构与应用的越来越复杂与多样化,企业所面临的网络安全风险也越来越严峻,然而企业在面对这些复杂安全威胁时的防护能力却没有相应的提升,作为专业的安全厂商,有责任帮助企业获得这一能力。近期,梭子鱼全球产品营销副总裁Gautam Aggarwal和梭子鱼中国区总经理赵强接受了IT168的专访,让我们来听一听梭子鱼如何应对这一复杂安全威胁!

梭子鱼:下一代防火墙有效应对复杂威胁

▲从左至右:梭子鱼中国区总经理赵强、梭子鱼全球产品营销副总裁Gautam Aggarwal、IT168企业级总编洪钊峰

安全威胁的变化与梭子鱼应对之策

企业所面临的安全风险越来越复杂,云安全、BYOD趋势、APT攻击等等,针对这些趋势给企业所带来的安全风险,梭子鱼全球产品营销副总裁Gautam Aggarwal分析时谈到,这些趋势是传统网络安全威胁的拐点,过去企业只是应对单一的网络攻击,而现在新的安全威胁的出现造成了多样性的APT/混合攻击,攻击者不再需要亲临攻击目标所在地就可以创建自动化的僵尸来控制目标网络或服务器。

梭子鱼:下一代防火墙有效应对复杂威胁

▲梭子鱼全球产品营销副总裁Gautam Aggarwal

分析网络犯罪的过程,可以分为三个步骤:一是感染用户和设备、二是利用被感染的用户或设备攻击应用、第三才是破坏数据。针对网络犯罪的特点,Gautam介绍了梭子鱼的应对之策,他表示,梭子鱼的安全产品系列可以从网络、数据中心、远程访问以及移动用户等几个方面来对抗这些攻击向量,同时梭子鱼的方案平台有能力为各种复杂环境提供相同级别的安全保护。

“梭子鱼一直致力于反病毒和反垃圾邮件技术的研究,这让我们有能力对抗当下出现的高级恶意软件和复杂的威胁,并且可为企业提供合适的保护架构。” Gautam谈到。

下一代防火墙如何应对复杂安全风险

梭子鱼:下一代防火墙有效应对复杂威胁

▲梭子鱼中国区总经理赵强

目前,企业信息化程度在不断加深,各种业务的应用也越来越广泛,信息安全防护的难度也变得越来越大,传统的防火墙已无法满足这样复杂多样的安全防护需求。梭子鱼中国区总经理赵强谈到,传统防火墙能提供L3/L4的安全防护,随着各类的应用成为每个企业的重要组成部分,对于L7(应用层)的需求也成为防火墙的强制性要求,但下一代防火墙还需要超越应用的可视性,它们要实现用户可视性(身份识别)和应用可视性的无缝对接,以便创建合适的安全配置文件/策略、应用流量智能管理以及推动网络优化。在此之上,下一代防火墙要先解决已知的安全威胁/签名和提供恶意软件保护的未知 /混合的安全威胁。

在大多数企业常见的网络环境中,梭子鱼下一代防火墙都被设计成自下而上“分布式体系结构”的部署。Gautam在介绍梭子鱼下一代防火墙的优势时表示,梭子鱼下一代防火墙在特性和功能方面已超越了目前市场上的其他下一代防火墙,梭子鱼下一代防火墙将应用识别和用户可视性结合起来定义安全策略、智能流量管理(对多ISP链路进行链路均衡)以及流量优化(QoS策略,TFO,缓冲,压缩)。

为丰富梭子鱼下一代防火墙的产品结构,已为用户提供了网络访问控制、动态路由以及远程访问VPN支持(IPSec,SSLVPN)等内置功能,同时还有AV引擎可对事先的恶意软件威胁提供完整的保护。

除了产品的功能,下一代防火墙在应对复杂安全风险时必须考虑的关键点是对防火墙的持续管理。在许多情况下,发生安全事故仅仅是由于防火墙的错误配置。防火墙的错误安全配置每年都会被列入OWASP十大安全威胁之中。

“云”里依然需要防火墙

“信息正在快速的转移到云中,但是即便是云,也需要保护,所以不要认为防火墙会成为可有可无的项目,尽管防火墙的形成要素可能会从硬件转变为虚拟形式。”Gautam谈到。

出于对“用户、设备和应用识别”的迫切需要;传统防火墙不再能满足网络需求,它们将被下一代防火墙所取代,但是用户要意识到有很多厂商并不喜欢下一代防火墙,他们认为下一代防火墙只是在传统防火墙上添加了一些额外的特性而已。Gautam认为目前来看,IT消费化、BYOD、社交媒体以及恶意软件威胁已经成了每个企业都要面临的新挑战,这种趋势会推动防火墙的发展,即便有部分厂商并不认为合适的防火墙就能赢得战斗。

针对目前企业在选型下一代防火墙时,Gautam也给出了一些关键的考虑因素供企业用户参考,具体包括:

• 分布式架构——部署需考虑的远程站点数量。

• L3/L4网络安全——IDS/IPS,用户验证,网络访问控制

• 恶意软件保护——AV引擎,Web过滤

• 端到端代理——把云基础的Web安全和NG装置整合起来

• L7应用检测——应用,子应用,地理位置,嵌入式内容(匿名)

• 智能流量管理——链接均衡/支持多ISP链接,包括3G/UMTS接入

• 网络优化——流量控制,TCP流量优化,压缩和缓存

• 集中式管理——分布式地址,多用户,多管理员角色,粒度报告和实时监控

Gautam表示,无论是中国还是世界各地,下一代防火墙的发展方向都将是如何提升其执行效率,如何将其与最新的云安全和应用服务相结合,如何对L7 DDoS攻击做出响应,如何提供恶意软件保护抵御混合式攻击,以及能继续有效的执行所有L3/L4网络安全功能同时扩大网络的需求及其复杂度。

梭子鱼在中国市场的策略

Gautam谈到,从技术的角度来讲,中国的市场没有特殊性,所有的技术无论是攻击还是防护都是通用的,从很多针对位于中国的系统攻击是通过国外受感染的设备所发起这一点就可以看出。中国的安全市场和国外的不同主要是由于国情、语言、应用习惯等等因素造成的,更多的同内容相关。在梭子鱼的产品线上主要体现在Web安全网关这样的产品上。因为要过滤的网站不同,因此造成应用上需要做出适当的调整,这种调整主要是需要新添加一些需要过滤的网址,针对这些本土网络做一些适应性调测。对此,梭子鱼已经聘请了新的本地的研发员工,开始建立特定的中国版本的过滤地址库,相信会在今年下半年完成初步的版本。对于更多的产品,我们在中国会延续已经成熟的销售形式。