ZDNET至顶网安全频道 9月2日 专访:(深信服市场行销部技术总监殷浩)深信服认为下一代防火墙是:面向应用层设计的,能够识别用户、应用和内容,具备完整的安全防护能力的高性能下一代防火墙。它可以做到:
智能识别与控制:能够基于应用、用户进行识别和安全策略的制定,确保企业的信息安全访问控制要求得到有效执行;
应用内容防护:能够针对网络流量的应用内容进行安全检查,确保企业网络流量的纯净,防止各种安全威胁针对终端、服务器的恶意破坏、数据窃取等非法行为。
应用层高性能:能够通过单次解析架构,提供万兆级应用层安全防护能力,在确保网络安全的同时,不让网络出现性能瓶颈。
下一代防火墙之所以要具备上述特点,主要是因为当前网络的三方面变化:
1、 基于端口的安全策略将会失效。越来越多的应用趋向于更加少数的端口上来运行,而且部分应用的端口也是动态变化的,通过端口的控制我们将无法区分应用和用户的操作权限。因此,传统基于IP和端口的访问控制已经无法满足内外网的安全策略制定。
我们需要通过NGFW在应用层执行网络安全策略,控制应用动作,而不是简单的放行或者阻断某种应用。
2、 威胁来自应用层。由于黑客攻击的目的在变化,转向了获取利益,因此黑客的攻击手段也在发生变化,更多的威胁依附在应用之中传播肆虐。根据Gartner报告:75%的攻击来自应用层。因此,我们需要NGFW深度到数据包的应用内容进行安全分析和过滤。
3、 应用层安全设备成为性能瓶颈。对面传统防火墙有这么多缺陷,那可不可以部署一台IPS,或者其他安全设备,甚至用UTM来替代?事实上,“打补丁”虽然可以暂时弥补一些缺陷,但所做的毕竟是“修修补补”,补丁中间还会出现新的缝隙,是不可能从根本上解决问题的。比如,目前的IPS和UTM在开启DPI技术后,性能大多在千兆左右,与目前万兆级网络相差甚远。我们往往会看到,用户为了部署IPS和UTM,而不得不将数据中心骨干从万兆降级到千兆。
FW+IPS+AV等传统安全架构的问题显而易见:部署复杂、管理繁琐、增加了故障点、多设备间缺乏有效地联动防护机制。而NGFW的部署将会让客户的体验焕然一新,不仅简化了部署,提升可靠性,消除了性能瓶颈,而且全面的智能的应用防护还降低了安全风险。
在设备迁移时,用户需要重新梳理访问控制策略的制定,NGFW摒弃了传统安全设备的“数字语言”,将以“谁能干嘛”一种自然语言的方式进行,更加直观可视。
下一代防火墙强调各安全模块智能联动
传统独立安全设备缺乏综合的应用层防护功能。当前的安全威胁已不再是单一类型,通常是黑客将应用扫描、漏洞利用、Web入侵、木马后门、恶意网站等多种方式形成的一个完整的入侵行为。如果将这些安全威胁割裂的进行处理和分析,IPS、AV、FW各自为政,这种打补丁式的方案必然存在威胁“缝隙”,系统的防护短板依然存在。
而NGFW在设计之初就着重强调了各个安全模块之间的智能联动,是作为一个整体来考虑应用防护的。其中,Gartner对NGFW的定义就包括了:
“NGFW集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。”
以深信服的NGAF为例,在威胁防护的完整性上更为重视,提供了基于攻击过程的威胁防护功能。NGAF不再是割裂的、单一的去检查一种威胁,而是将应用扫描、口令爆破、漏洞利用、web攻击、网页挂马等技术手段视为一个攻击行为的多种攻击动作来进行统一的分析和识别,从而可以最大限度的提升检测精度和识别出未知威胁。
深信服的NGAF从系统架构进行了重新设计,采用的是单次析架构,这是与传统UTM在性能上的本质区别:
传统UTM设备仅仅将FW、IPS、AV进行简单的整合,开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,包这样速度就被减慢了。
NGAF采用单次解析架构,结合多核并行处理技术,将所有内容扫描功能混合在一个模块完成,由于所有数据流只会有一次扫描,性能就得到了大幅提升,相对于多数UTM仅有几百兆到1G的应用层性能来说NGAF实现10G的应用层吞吐能力更能满足用户对高性能场景的需求