幾乎沒有人懷疑防火墻在企業(yè)所有的安全設(shè)備采購中所占據(jù)的重要位置,但傳統(tǒng)的防火墻并沒有解決網(wǎng)絡主要的安全問題。從實現(xiàn)技術(shù)來講,傳統(tǒng)的防火墻主要是包過濾防火墻,實現(xiàn)的是網(wǎng)絡層控制---截獲網(wǎng)絡中的數(shù)據(jù)包,根據(jù)協(xié)議進行解析,最后利用包頭的關(guān)鍵字段和預設(shè)的過濾規(guī)則做對比,決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包。隨著應用層各種應用的豐富,越來越多的應用層協(xié)議出現(xiàn),隨之而來的是黑客可以越來越多的直接在應用層發(fā)起攻擊。根據(jù)著名調(diào)查機構(gòu)Gartner的統(tǒng)計,近年來75%的網(wǎng)絡攻擊都是發(fā)生在應用層上。甚至之前典型的以網(wǎng)絡層流量“制勝”的DDoS攻擊,近年來也有向應用層上移的趨勢---截止2013年,四分之一以上的DDoS攻擊都是基于應用程序的,而且這個比例還在逐年提高。與之形成鮮明對比,隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,關(guān)鍵業(yè)務活動越來越多的依賴于互聯(lián)網(wǎng)應用,這也就意味著暴露越來越多的風險隱患點。
新一代安全,角力新戰(zhàn)場
傳統(tǒng)防火墻主要針對通用協(xié)議進行處理,無力對應用協(xié)議包進行分析,難以防范更具針對性的網(wǎng)絡攻擊。隨著技術(shù)的發(fā)展進步和互聯(lián)網(wǎng)+時代的業(yè)務需求,現(xiàn)在的防火墻用戶亟需對數(shù)據(jù)包進行更深層次的檢查和過濾。例如,用戶可以通過QQ傳輸文件,而傳輸?shù)奈募锌赡芫褪且腼L險的惡意文件。在這種業(yè)務場景下,即使傳統(tǒng)防火墻可以通過端口號確認了運行的QQ服務,也無法做到文件層面的深度檢測,更不用提還有很多運行在非標準端口上的應用。
盡管現(xiàn)在就斷言傳統(tǒng)的以策略為核心的防護體系已經(jīng)完全失效還為時過早,但在黑客的攻擊手段從網(wǎng)絡層攻擊為主向Web攻擊為主轉(zhuǎn)換的大背景下,我們可以得出一個結(jié)論:缺少了應用層檢測和防護能力的防火墻,不可避免的面臨著“廉頗老矣,尚能飯否”的窘境:新一代安全的關(guān)注點,就在于應用安全,就在于針對Web應用層提供完整的解決方案。
下一代防火墻如何化解應用層危機
有不止一個理由可以讓下一代防火墻成為“下一代”,用戶身份感知能力、高可擴展性、應用感知能力(applicationawareness)都是下一代防火墻的典型標簽,但“應用感知能力”毫無疑問是最容易關(guān)聯(lián)到下一代防火墻的熱詞。應用感知這個概念,看起來已經(jīng)很清晰,但在某種程度上又很有誤導性。說它已經(jīng)清晰是因為下一代防火墻可以將流量具體關(guān)聯(lián)到特定的應用上,說它具有誤導性是因為下一代防火墻的安全能力不應僅局限于檢測識別應用的流量,更重要的是作用于識別的結(jié)果:有選擇性的阻斷或以其他方式限制對應用的使用,甚至是應用的子應用,而不是僅像傳統(tǒng)防火墻一樣只是阻斷特定的端口和協(xié)議。.
新安全形勢下,防火墻用戶需要對全網(wǎng)所運行的應用有更深的理解和認知。近年來較新的安全設(shè)備很多都提供了深度報文檢查(DPI)、精細化管控和應用感知功能,幫助企業(yè)管控網(wǎng)絡邊界。根據(jù)Gartner研究總監(jiān)EricMaiwald的研究結(jié)果,“現(xiàn)代防火墻或多或少都有些下一代的基因在里面,包括集成的入侵檢測功能(IPS)和更好的應用控制能力。這些似乎已經(jīng)成為了當今防火墻設(shè)備的標配,幾乎所有的主流安全廠商都能娓娓道來一段有關(guān)下一代的故事”。但故事終究是故事,比聽故事更重要的是理解如何評估“下一代”,以及是否應該遷移到“下一代”。
對異常行為的實時檢測和分析是促使很多用戶升級到下一代防火墻的主要動力。很多IT主管都反映,部署了下一代防火墻后最明顯的變化是對失陷主機的檢測---有些企業(yè)在部署當天便能發(fā)現(xiàn)內(nèi)網(wǎng)中的僵尸網(wǎng)絡和已被入侵的主機。這得益于下一代防火墻可以檢測數(shù)據(jù)包的有效荷載并根據(jù)這些實際內(nèi)容做出相應決定,還能提供更好的內(nèi)容過濾能力---可以審查完整的網(wǎng)絡數(shù)據(jù)包,而不僅僅是網(wǎng)絡地址和端口,這就使得下一代防火墻有更強大的日志記錄功能,例如可以記錄某個特定程序發(fā)出的命令這樣的日志事件,這為識別應用的異常行為提供了很有價值的信息。
更精細的應用層安全控制是下一代防火墻的另一個“殺手锏”。在網(wǎng)絡威脅更多的來源自應用層這個大背景下,用戶對網(wǎng)絡訪問控制自然要提出更高的要求。如何精確的識別出用戶和應用、阻斷隱藏安全隱患的應用、保證合法應用的正常使用等問題,已經(jīng)成為現(xiàn)階段用戶所關(guān)注的焦點。但在網(wǎng)絡應用高速發(fā)展的今天,超過90%的網(wǎng)絡應用運行在HTTP80和443端口上,大量應用可以進行端口復用和IP地址修改,導致IP地址不等于用戶、端口號不等于應用,傳統(tǒng)的基于五元組的訪問控制策略已無用武之地。下一代防火墻的用戶、應用可視化技術(shù),可以根據(jù)應用的行為和特征實現(xiàn)對應用的識別和控制:如果能夠?qū)崿F(xiàn)與多種認證系統(tǒng)(AD、LDAP等)無縫對接的話,還可以進一步自動識別出網(wǎng)絡中當前IP所對應的用戶信息,勾畫出人-內(nèi)容-應用的立體畫像,滿足新一代安全的網(wǎng)絡管控要求。
下一代防火墻不是萬金油
與傳統(tǒng)的基于特征的檢測引擎不同,下一代防火墻與生俱來的基因是感知用戶和應用的行為,歸根結(jié)底是要理解網(wǎng)絡報文的上下文背景。盡管這省去了特征庫,但并不意味著下一代防火墻從此擺脫了定期升級的繁瑣工作:相反,下一代防火墻更需要不間斷的學習日益增長的應用指紋特征以保持對應用識別的時效性。由于這類指紋特征不依賴于端口、協(xié)議等易于識別的特征,有時甚至可能還會包含特定報文的內(nèi)容,因此維護下一代防火墻的規(guī)則集是一項更為繁重的任務。此外,對于非通用型的應用,如很多大型企業(yè)定制開發(fā)的私有應用,下一代防火墻很可能會無法識別。在這種情況下,用戶仍需手動添加應用指紋特征,且在每次私有應用升級后可能還要重復這一過程。下一代防火墻如此的不智能,會讓很多用戶對“下一代”印象大打折扣。
小結(jié)
下一代應用層防火墻技術(shù)克服了傳統(tǒng)“邊界防火墻”的缺點,集成了IPS、防病毒等安全技術(shù),實現(xiàn)從網(wǎng)絡到服務器以及客戶端全方位的安全解決方案,滿足企業(yè)實際應用和發(fā)展的安全要求。展望未來,隨著更加隱蔽的應用層攻擊不斷出現(xiàn),未來防火墻將會面臨更多協(xié)議的解析、更多應用的識別,因此未來應用層防火墻必將向著更大的防護功能面和更細致的粒度管控這個方向發(fā)展。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:下一代防火墻,決勝于應用層
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839519595.html