根據(jù)Gartner的調(diào)查數(shù)據(jù),目前有超過75%的安全攻擊都是針對(duì)各類應(yīng)用的,而不是系統(tǒng)底層和網(wǎng)絡(luò)。下一代防火墻關(guān)注的重點(diǎn)正是應(yīng)用層的安全,作為緊跟時(shí)代潮流的一款安全產(chǎn)品,它在企業(yè)的應(yīng)用現(xiàn)狀如何?企業(yè)如何選型NGFW?企業(yè)對(duì)于下一代防火墻更多的期待是什么?為此,我們專門采訪了邁克菲相關(guān)領(lǐng)域的安全專家。
邁克菲是在2013年5月開始踏入下一代防火墻領(lǐng)域,于當(dāng)月宣布開始對(duì)下一代防火墻廠商Stonesoft進(jìn)行收購,7月正式完成收購計(jì)劃。而本次針對(duì)下一代防火墻選題我們采訪了McAfee Stonesoft高級(jí)售前顧問劉權(quán)峰。
▲McAfee Stonesoft高級(jí)售前顧問劉權(quán)峰
下一代防火墻定位
劉權(quán)峰首先談到,面對(duì)目前日趨嚴(yán)峻的安全威脅和企業(yè)業(yè)務(wù)的不斷變化,企業(yè)對(duì)NGFW產(chǎn)品的需求爆發(fā)式增長(zhǎng),NGFW將是未來安全市場(chǎng)的寵兒。目前NGFW市場(chǎng)正面臨著巨大的變革,一方面推出NGFW產(chǎn)品的廠商越來越多,魚目混雜需要重新進(jìn)行洗牌;另一方面對(duì)于下一代安全每個(gè)廠商的定義不同,安全廠商和用戶都需要清楚的認(rèn)識(shí)到什么產(chǎn)品技術(shù)才是真正代表下一代安全。
那么怎樣才算是一款優(yōu)秀的NGFW產(chǎn)品呢?劉權(quán)峰介紹到,一款優(yōu)秀的NGFW產(chǎn)品要能夠在保證穩(wěn)定、安全和高性能的前提下完全可以支持企業(yè)業(yè)務(wù)的動(dòng)態(tài)變化,無論您的業(yè)務(wù)系統(tǒng)是部署在物理環(huán)境、虛擬環(huán)境還是云平臺(tái),是部署在單一地點(diǎn)還是多個(gè)分支機(jī)構(gòu)環(huán)境,NGFW都需要能夠去適應(yīng)企業(yè)業(yè)務(wù)的環(huán)境變化,實(shí)現(xiàn)威脅的主動(dòng)防御。
1、彈性部署和靈活的自適應(yīng)性:NGFW應(yīng)該具備可以根據(jù)用戶業(yè)務(wù)環(huán)境變化實(shí)現(xiàn)自適應(yīng)性。例如:要能夠適應(yīng)物理環(huán)境架構(gòu)部署,虛擬化環(huán)境部署以及云環(huán)境部署;
2、可以任意轉(zhuǎn)換角色:一定是圍繞用戶業(yè)務(wù)的需求,用戶需要NGFW產(chǎn)品扮演什么角色,NGFW就可以轉(zhuǎn)換成需要的角色,例如可以轉(zhuǎn)換成下一代IPS,下一代VPN,下一代防火墻,L2FW,這需要NGFW要有自由靈活的統(tǒng)一的安全引擎;
3、面向未來的安全威脅防護(hù)能力:NGFW系統(tǒng)應(yīng)該是具有對(duì)于目前和未來安全威脅的感知和主動(dòng)防御能力,例如:對(duì)于組合數(shù)量級(jí)龐大的高級(jí)逃逸技術(shù)要具備完全防護(hù)能力,要能夠持續(xù)性的進(jìn)行動(dòng)態(tài)庫更新。
4、上下文感知能力:應(yīng)用感知/內(nèi)容感知/身份感知都屬于上下文感知,NGFW要能夠精準(zhǔn)的識(shí)別應(yīng)用及應(yīng)用參數(shù)。例如:HTTP POST,HTTP GET ,以及還要能夠識(shí)別應(yīng)用中植入的其它數(shù)據(jù)。上下文感知是NGFW核心要求,它能夠幫助用戶制訂出更加完善的安全策略,因?yàn)镹GFW可以清楚的了解到用戶訪問的是哪些應(yīng)用,用戶訪問的信息是否包含敏感信息,上下文感知能力考驗(yàn)的是NGFW 深度檢測(cè)技術(shù)的能力。
5、穩(wěn)定和高性能:高性能前提是NGFW對(duì)于安全的防護(hù)能力不能削減,這要求NGFW產(chǎn)品軟件系統(tǒng)要能夠充分激發(fā)硬件的性能潛力,要能夠?qū)崿F(xiàn)可以通過軟件優(yōu)化版本升級(jí)提升NGFW性能。
6、實(shí)現(xiàn)下一代集中管理:NGFW要能夠?qū)崿F(xiàn)集中管理,無論NGFW部署在數(shù)據(jù)中心,還是網(wǎng)絡(luò)邊界和遠(yuǎn)端站點(diǎn),通過集中管理平臺(tái)要能夠?qū)崿F(xiàn)對(duì)NGFW智能監(jiān)控和日志的關(guān)聯(lián)分析。 對(duì)于傳統(tǒng)FW,Web GUI管理非常容易出現(xiàn)人為的錯(cuò)誤以及由于日志缺乏關(guān)聯(lián)性而導(dǎo)致報(bào)告不可用情況的發(fā)生。
[page]
下一代防火墻選型
部署NGFW對(duì)于企業(yè)用戶來說最大價(jià)值體現(xiàn)在可以保證企業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)穩(wěn)定、安全、可管理。劉權(quán)峰談到,企業(yè)用戶在進(jìn)行產(chǎn)品選型時(shí)也要結(jié)合這三方面來進(jìn)行產(chǎn)品的選型。
1、穩(wěn)定特性
對(duì)于企業(yè)用戶NGFW設(shè)備的穩(wěn)定性是需要首要考慮的,選型方面要充分考慮產(chǎn)品自身架構(gòu)的穩(wěn)定。例如是否采用專用的操作系統(tǒng),是否通過國際認(rèn)可的EAL4+ 認(rèn)證(國際上認(rèn)可的最高等級(jí)的穩(wěn)定安全方面的認(rèn)證)。
在產(chǎn)品功能上也需要具備能夠滿足穩(wěn)定要求功能,例如是否采用自己的專利集群技術(shù);是否可以支持全Active部署;是否可以支持不同軟件版本不同型號(hào)的產(chǎn)品的集群。由于NGFW產(chǎn)品需要部署在網(wǎng)絡(luò)邊界直接連接不同的鏈路類型,如 3G 專線 ADSL,因此要求NGFW需要內(nèi)置鏈路負(fù)載均衡的技術(shù),保證鏈路的穩(wěn)定。在多分支機(jī)構(gòu)VPN互連的架構(gòu)里,要能夠確保在某條鏈路失效的情況下,業(yè)務(wù)數(shù)據(jù)通信要能夠平滑遷移到其它鏈路上來,保證業(yè)務(wù)絕對(duì)不會(huì)中斷。
2、安全特性
面對(duì)不斷出現(xiàn)新的安全威脅,NGFW要能夠?qū)@些威脅實(shí)現(xiàn)主動(dòng)地防御。這需要用戶在選擇NGFW時(shí)候要考慮NGFW產(chǎn)品深度檢測(cè)技術(shù)的能力,可以參考第三方機(jī)構(gòu)的報(bào)告。 目前比較權(quán)威的是NSSLabs,每年對(duì)NGFW都會(huì)有綜合性的測(cè)評(píng),包括近三年的攻擊防護(hù)率測(cè)試/在采用默認(rèn)策略防護(hù)率測(cè)試/攻擊環(huán)境下設(shè)備穩(wěn)定性測(cè)試/高級(jí)逃逸攻擊測(cè)試。
劉權(quán)峰強(qiáng)調(diào)到,一定要考慮NGFW對(duì)于高級(jí)逃逸技術(shù)的防護(hù)能力,多數(shù)用戶都使用IPS、UTM或防火墻來防護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)和敏感數(shù)據(jù)。逃逸技術(shù),就是以穿透這類安全設(shè)備為目的的黑客技術(shù)。逃逸技術(shù)很古老,防范手段也很簡(jiǎn)單,我們市場(chǎng)上現(xiàn)有的所有安全品牌,對(duì)這些傳統(tǒng)的逃逸都有很好的防御能力。但是與其他攻擊不同的是,逃逸技術(shù)可以進(jìn)行一系列變種和組合,組合之后的變化會(huì)達(dá)到上億種,遠(yuǎn)遠(yuǎn)大于任何廠家的特征庫數(shù)量,所以對(duì)于傳統(tǒng)的安全設(shè)備根本不可能檢測(cè)和攔截這類的攻擊,高級(jí)逃逸技術(shù)對(duì)于客戶數(shù)據(jù)安全的威脅是明顯的。它有兩個(gè)最致命特點(diǎn):一是現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備對(duì)其完全無法檢測(cè),不起作用;二是用戶被高級(jí)逃逸攻擊后,在安全設(shè)備上是不留任何日志的,也就是用戶不會(huì)知道自己丟了資料,所謂亡羊補(bǔ)牢都難以實(shí)現(xiàn)。
3、可管理
NGFW必須具備下一代集中管理平臺(tái),集中管理平臺(tái)可以作為安全信息和事件管理平臺(tái)(SIEM),管理平臺(tái)同時(shí)還要能夠?qū)崿F(xiàn)對(duì)NGFW智能監(jiān)控和日志的關(guān)聯(lián)分析。
[page]
下一代防火墻趨勢(shì)展望
企業(yè)員工的移動(dòng)性、數(shù)據(jù)中心的虛擬化以及云計(jì)算已經(jīng)是大勢(shì)所趨,這些趨勢(shì)會(huì)逐漸導(dǎo)致企業(yè)對(duì)IT系統(tǒng)喪失控制權(quán),NGFW技術(shù)發(fā)展可以幫助企業(yè)解決所面臨的這些問題。劉權(quán)峰講到,其中需要注意的是NGFW的未來發(fā)展一定不再是基于靜態(tài)的產(chǎn)品和模型,取而代之的是基于軟件的動(dòng)態(tài)的產(chǎn)品架構(gòu),需要具有動(dòng)態(tài)的,自適應(yīng)的和不斷演化的特性。NGFW的產(chǎn)品發(fā)展不應(yīng)該像瑞士軍刀一樣的產(chǎn)品,不應(yīng)該是安全功能的簡(jiǎn)單疊加, 拼湊,堆疊。這種松散的安全架構(gòu)不是真正意義上的下一代安全產(chǎn)品。
此外,每個(gè)安全廠商對(duì)于NGFW產(chǎn)品技術(shù)定義不同,有的廠商認(rèn)為下一代的安全是對(duì)高性能的支持,有些認(rèn)為下一代安全應(yīng)堅(jiān)定走上下文感知這條路,有些則認(rèn)為下一代安全技術(shù)是虛擬化平臺(tái)的支持……劉權(quán)峰認(rèn)為,下一代安全產(chǎn)品一定要遵循N-Line理論,也就是說NGFW的發(fā)展需要同時(shí)滿足高性能,統(tǒng)一安全引擎軟件,支持高級(jí)逃逸技術(shù)防護(hù),支持上下文感知,支持虛擬化環(huán)境部署,支持更簡(jiǎn)單快速的配置同時(shí)需要經(jīng)濟(jì)性,保護(hù)用戶投資。