精準 智能 高效--詮釋引領中國市場的下一代防火墻
責編:admin |2014-08-12 15:52:05隨著國家建設網絡強國戰略的出臺,我國信息安全產業已再次迎來蓬勃發展的春天。業內分析人士指出,在快步增長的中國信息安全市場中,安全硬件市場長期占據半壁江山,而扼守網絡邊界的防火墻產品則是安全硬件市場中的頂梁柱。
無獨有偶,近日一項針對三百家企業用戶的調研數據顯示,超過89%的企業在進行信息安全建設時,首選防火墻設備。
"進不來、拿不走、讀不懂是傳統安全建設的基本原則,讓攻擊者進不來,是需考慮的首要問題",一位軟件企業CIO表示,防火墻猶如企業網絡的守門員,幾乎成為安全建設的必選項。
三問防火墻用戶引深思
據悉,防火墻產品起源于90年代初,迄今為止已歷經數代演進。根據《信息安全技術防火墻技術要求和測試評價方法》(我國防火墻技術的國家標準,GB/T 20281-2006)中的定義,在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了流經防火墻的數據,保證了內部網絡和DMZ區的安全。
然而,部署了防火墻真的安全嗎?換言之,防火墻真的能夠將攻擊者拒之門外嗎?業內專家指出,由于眾多因素,當前多數在線的防火墻設備并未發揮最大效能,形同雞肋。
您是否還能記得防火墻的管理員賬號和口令?
您是否會使用防火墻建立一條訪問控制策略?
當網絡出現異常時您是否能利用防火墻分析?
三個問題看出防火墻用戶當前窘境
"三分技術,七分管理,是安全建設不變的鐵律,不僅僅是防火墻,安全產品部署了一大堆,安全運維則始終難以落地,是國內用戶的共性問題",一位長期從事防火墻項目實施的技術人員稱,在所實施過的項目中,75%以上的用戶在項目竣工一個月后便很少登陸防火墻設備,80%的在線設備僅配置了一條"any any any permit all"(防火墻中表示放通所有流量)的策略,更多的IT管理者在網絡出現異常問題后首先想到的是呼叫救火隊員(安全服務商)。
"安全猶如踢足球,若不能將防線上提,對方前鋒則始終有機會直接面對門將,球門失守在所難免",專家表示,長期以來,由于從不進行安全管理,缺乏有效的安全配置,防火墻非但沒有發揮隔離器、限制器、分析器應有的作用,反倒成為了虛弱的"最后一道防線"。
用戶需要什么?精準–讓安全少出錯
由于防火墻是不同網絡安全域的唯一信息出入口,其通常部署于網絡的"咽喉"位置,對于用戶而言可謂利弊共生。利的方面是可對流經的所有數據進行檢查和控制,而弊則體現于一旦誤配置、誤攔截則極易引發網絡訪問中斷。
據了解,一般的IT管理者將網絡的可用性看的更重,寧鋌威脅侵入之險,也不愿接受網絡中斷的用戶絕非少數。因此全通的訪問控制策略、僅做告警不做攔截的攻擊防御規則在現有防火墻配置中廣泛流行,更有甚者根本不開啟安全功能,使防火墻形同虛設。
研究表明,傳統防火墻在配置訪問控制策略時,常使用TCP協議端口標識需控制的流量,對于用戶而言,控制一種流量則需首先確定該流量使用的端口號,無形中增加了誤配置風險,用戶常因攔截了錯誤的端口號,或封堵了其它應用復用的端口,造成計劃外的業務中斷。此外,傳統基于簽名的威脅識別技術誤報率較高已是不爭的事實,同樣是合法流量被防火墻誤攔截的主因之一。
"首先,我們在下一代防火墻中嵌入了多年的研究成果,中國最大的應用識別庫,這個識別庫中包含了超過3100種的互聯網應用以及700多種移動互聯網應用,用戶要控制一種流量時不需要再配置端口號,直接在我們的列表中選擇應用名稱或功能即可。對于威脅的識別和查殺,我們首創了防火墻產品病毒云查殺技術,利用云端更加豐富的資源、更快的響應速度,使病毒、惡意程序、惡意網址等威脅的識別準確度提升了近10倍",網康科技產品市場經理熊瑛說。
網康下一代防火墻內置中國最大的應用識別庫
用戶需要什么?智能–幫用戶少思考
據調查,不重視安全管理的防火墻用戶并非全部,但長期以來"無感知"、"看不懂"、"不敢動"猶如三座大山困擾著用戶。多數用戶反映,每當網絡中發生異常情況并非不想采取措施,但往往由于對自己的判斷心存疑問便迅速打消了調整配置的念頭,長此以往,同樣促使防火墻成了擺設。
產品專家表示,防火墻始終難以發揮一個分析器的作用,傳統安全設備的異常輸出僅能被少數專家關注并理解,面對設備提供的IP地址、端口號、流量統計等信息,并不足以幫助用戶了解網絡異常、及時預見風險。
"人永遠對圖形更敏感,因此基于文本的告警、日志一般很難引起用戶的注意",熊瑛表示,用戶界面非常重要,同樣的信息分別用文本和圖形呈現出來,完全有可能產生不同的效果。除此之外,僅僅呈現統計結果,對于用戶的價值并不大,用戶需要的是對統計結果的進一步分析,經過分析后的信息才是真正支撐用戶做出選擇的依據。
舉例來說,正如我們在生活中看到手機上的陌生號碼來電,并不能判斷其是否為騷擾電話,在防火墻上僅告知用戶一條連接建立于哪兩個IP之間,用戶也很難判斷其是否為惡意流量,但若為IP賦予地理位置屬性,用戶則完全有可能快速注意到頻繁與境外主機建立連接的用戶。
網康下一代防火墻中的目的國家統計
又如,僅告知用戶當前網絡中各種流量的大小,一般的用戶并不能以此推導出哪些是異常的,但若將此流量大小與先前同一時間點的情況進行對比,用戶則可直接定位出網絡中明顯激增的流量。
網康下一代防火墻以基線方式對比流量異常變化
"讓用戶以更直接、便捷的方式了解到經過分析后的結果,對于用戶及時發現問題并快速做出決定作用重大,這有助于用戶將防線上提",熊瑛說。
用戶需要什么?高效–讓響應更及時
當用戶基于了解到的信息作出決定后,高效的配置策略和規則,并高效的執行成為防火墻是否能夠盡早防御威脅的關鍵。然而,由于配置邏輯復雜,多數用戶并不具備快速調整防火墻安全配置的能力,尤其是各種高級功能集成入防火墻后,配置方法更加難以掌握,這無疑又為攻擊者提供了時間條件。
以一個典型的企業網需求場景為例,用戶要求實現允許內網用戶訪問互聯網,并對網頁訪問開啟病毒防護,同時開啟對用戶PC的入侵防御功能,此外還要禁止電商、炒股網站訪問并禁止外傳所有Office文檔。
多數采用非一體化引擎的安全設備,往往需要在不同功能的配置頁面下分別完成相應規則的建立,在上述的需求場景中,應首先在策略模塊下新建一條允許上網的策略,接著到病毒防護模塊下配置一條病毒查殺的規則,然后到入侵防御模塊下啟用針對用戶PC的漏洞防護功能,用戶在進行到此步驟時已在三個完全不同的頁面下進行了大量復雜的操作,不少用戶反映,在配置過程中經常會忘記接下來要配置的功能。
而類似下一代防火墻這種采用一體化引擎的設備,由于各功能模塊是有機融合在一起的,因此在同一個頁面下配置就可以完成上述所有需求,以網康下一代防火墻為例,用戶僅需在安全策略頁面下新建一條策略,在其高級選項中按照界面約束好的順序逐步開啟病毒防護、入侵防御、URL過濾、數據防泄漏等功能,并且在"Loading-Profile"式的菜單中選擇各功能的配置參數。
網康下一代防火墻真正實現一體化配置
"一體化的策略對于用戶而言有兩個最大的好處,首先是簡化過程、提升效率,即便要啟用多個功能也無需頻繁跳出到不同的配置頁面下;第二是邏輯清晰,絕對不會出現配置過程中忘記下一步的尷尬情況",網康下一代防火墻用戶如是說。
如何定義真正的下一代防火墻?
下一代防火墻由Gartner定義于2009年,5年后重新審視其最初的概念,不難發現當時報告中提到的幾個必須滿足的硬性條件其實僅僅是一個最小化的功能集合。換言之,從某種意義上說,當前市場上不少所謂的集成防火墻、多功能防火墻甚至Web應用防火墻等均可以與此概念扯上關系。
"我們始終認為下一代防火墻應該有兩個標準,Gartner提出的屬于技術上的定義,但站在用戶角度來看,解決上一代問題的,才可以稱之為下一代",熊瑛表示,在網康的理解中,下一代防火墻同樣是一款邊界安全設備,甚至可以說仍然是一款防火墻,和傳統防火墻一樣應當具備訪問控制、攻擊防御、安全管理等功能,只是在技術實現上要高出一個層面。
同時,熊瑛特別強調,先前的經驗已經證明,只有人充分利用設備才有可能較好的解決安全問題,下一代安全更加強調人參與其中。因此,對于用戶而言,下一代防火墻應當是一款"控得準"、"看得懂"、"易操作"的設備,必須具備精準、智能、高效的特點,這是改變先前用戶使用習慣,幫助用戶通過使用防火墻提升安全防護水平的前提條件。
近日,全球著名增長咨詢公司Frost&Sullivan基于對下一代防火墻市場的專業調研分析,首次頒出下一代防火墻市場增長領導獎,網康科技憑借對下一代防火墻的深厚理解及卓越的產品品質,成為此項大獎的首個獲得者,再次向業界證明網康科技在下一代防火墻市場的杰出產品貢獻和技術優勢,同時體現了其在行業整體發展和進步上所發揮的重要作用。