近些年,网络活动急剧增加,也日趋复杂。安全威胁呈现多样性,依附于应用的安全威胁越来越多,靠传统的方式已经无法应对,对防火墙产品提出了新的要求。因此,一款可以提供应用层安全防护与传统网络安全防护的设备成为企业目前最需要的产品,用以应对Web 2.0时代来自应用层的安全挑战。目前,下一代防火墙正以不可阻挡之势,在逐步替代传统防火墙和UTM。
创新互联建站专业为企业提供梨树网站建设、梨树做网站、梨树网站设计、梨树网站制作等企业网站建设、网页设计与制作、梨树企业网站模板建站服务,十多年梨树做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
那么,究竟什么样的防火墙才可以真正称为下一代防火墙(NGFW)?面对产品众多、纷繁复杂的下一代防火墙市场,我们究竟该如何甄别、采购下一代防火墙?如何部署和管理下一代防火墙?以上问题是诸多企业用户正在面临的困惑,为解决广大用户的困扰,记者就上述问题采访了深信服安全产品运营总监李焕波先生。
记者:您认为下一代防火墙必须具备哪些功能?
李焕波:下一代防火墙的特点是融合了诸多安全功能,所以说它的安全功能是比较全面的。首先,下一代防火墙必须具备传统防火墙的功能,在此基础之上,还需要具备应用识别、应用管控以及流量控制的功能。此外,下一代防火墙还需包含入侵防护、恶意代码防护、Web攻击防护、漏洞的主动和被动扫描以及全网监控等功能。
记者:在您看来,下一代防火墙具备哪些优异的特性?
李焕波:下一代防火墙主要有三个特性,分别是功能的融合、混合包的高性能以及简洁易懂的风险报表。
功能的融合性:安全产品的功能融合是未来的趋势。下一代防火墙构建了一个较为完整的防御体系,没有明显的安全防护短板。在安全域边界,包括未来云数据中心的虚拟机边界,即使单点部署下一代防火墙,也可以实现比较完整的防护。而如果使用传统的防火墙、IPS、防病毒网关、Web应用防火墙(以下简称WAF)串联部署的方案,在对云数据中心的虚拟机集群进行防护时,需要在每个虚拟机上分别安装独立的安全防护产品,这需要消耗大量的虚拟机资源,显然不符合未来的发展趋势。因此,融合的安全产品是大势所趋。
具备混合包的高性能:混合包指的是64KB到1518KB大小的UDP包、21KB大小的网页,以及p2p、视频等多种实际应用流量,它们的流量构成更加接近用户的实际使用环境。在此流量模型下面启用下一代防火墙的全部功能,性能衰减不能超过30%。这是第二代防火墙标准对性能指标的要求,也是区别于UTM的一个关键因素。
简洁易懂的风险报表:下一代防火墙能够从用户业务系统的维度展现用户网络面临的安全风险问题,令用户可快速完成安全事件的回溯和取证,减少运维工作量。例如,用户往往重点关注OA、ERP等系统是否存在漏洞、是否遭受攻击,以及是否有信息被窃取。下一代防火墙能够通过大数据分析,把所有信息通过生成报表的方式进行展现,用户通过报表可以清楚了解OA、ERP等应用系统的安全状况。此外,下一代防火墙能够清晰地定位内网存在安全隐患的终端、终端所使用的IP地址,甚至是终端的用户名。所以我们认为这是下一代防火墙的第三个比较具备优异性的特点,它能够呈现简洁易懂的风险报表,提升用户的运维效率,这是传统的安全产品所不具备的。即使是不具备安全知识的用户,也能够通过查看下一代防火墙的风险报表,做好企业的信息安全建设。#p#
记者:什么样的下一代防火墙才算是一款优秀的产品?
李焕波:判断下一代防火墙产品优秀与否,还需要看它是否能够为用户带来更好的安全防护体验。我们认为一款好的下一代防火墙产品应该能够形成从检测到防御再到响应的安全闭环,构建更加安全的模型,而不是像传统防火墙、IPS或者WAF这类产品,更多关注的是防御。面对当前网络环境中的各种安全风险,仅仅注重防御是不够的,因为未知风险的爆发非常快,我们需要加强检测能力并在检测和防御之间形成联动,从而帮助用户快速响应、应对安全事件。具体而言,主要从以下三个方面进行衡量:
是否具备较全面的威胁检测能力。威胁检测能力主要包括对外部攻击的检测、对内部网络流量的检测,以及对内部业务系统漏洞的实时检测。通过双向检测的机制,设备能够发现黑客针对某个真实存在的业务系统漏洞的有效攻击,还能找到内网中外发的异常流量,并及时上报到云端进行未知威胁检测。
是否具备强大的防御能力。一方面,下一代防火墙要能够防范网络中L2-L7层各种已知威胁;另一方面,还要求能够抵御未知威胁。通过云安全中心检测出未知威胁后,能够形成联动的防御机制,及时对未知威胁进行告警、拦截。
是否具备威胁信息的快速收集、更新、共享以及响应处理的能力。威胁信息包括漏洞和恶意软件。对于漏洞而言,用户可以从厂商的漏洞挖掘、收集,以及最新漏洞爆发后的响应等方面衡量厂商的能力。对于恶意软件,可以从厂商对恶意软件的发现、分析手段进行评判,特别是针对形成僵尸网络的恶意木马的分析能力。这是考验下一代防火墙产品是否优秀的一个非常关键的指标。由于当前网络环境中威胁层出不穷,下一代防火墙必须具备较好的威胁信息的收集、快速响应和处理的能力。
记者:面对产品繁多、纷繁复杂的下一代防火墙市场,用户该如何甄别并采购下一代防火墙?
李焕波:用户可以采用以下三种方式甄别和采购下一代防火墙。
1、参考国家权威机构的标准或者国际上权威调研机构的分析报告。在下一代防火墙领域,我国目前已经发布了第二代防火墙标准,用户可以参考该标准中对下一代防火墙功能、技术和性能的定义采购产品。此外,也可以参考国外如Gartner、NSS Labs等调研机构的分析报告,如Gartner的企业防火墙魔力象限报告。
2、若用户十分重视产品的实际安全防护效果,最好对产品进行安全测试。下一代防火墙产品的好与不好,通过测试能够很明显地体现出来。借助上述提到的优秀下一代防火墙产品的评判标准:威胁监测、防御、快速响应,用户可以安排多个品牌的产品进行横向测评,这是比较有用的方法。如果用户没有测试条件,可以参考国际上如NSS Labs等权威测评机构针对下一代防火墙安全防御能力的测评报告。
3、产品是否成熟。目前市场上的下一代防火墙产品较多,几乎每家安全厂商都推出了自己的下一代防火墙,然而有的厂商仅仅是将现有的上网行为管理、UTM等安全产品命名为下一代防火墙,其产品并不具备下一代防火墙所定义的功能。所以,用户在选购下一代防火墙时需要关注产品的成熟度。如产品的正式发布时间、投入市场是否已超过两年、产品是否被应用于国家的关键行业,比如运营商、政府等行业的关键业务网。#p#
记者:用户根据需求采购下一代防火墙后,该如何部署设备?有哪些注意事项?
李焕波:下一代防火墙的部署模式主要有路由部署、透明部署、旁路部署和混合部署四种模式,其中,旁路部署模式是传统防火墙所不具备的,这意味着下一代防火墙可以只做流量检测。这种模式金融用户用得比较多,他们不想在网银业务区串联部署太多设备,而只希望监测业务区内的安全状况,采用旁路部署的模式就比较适合。
另外,下一代防火墙可以部署在多个网络边界,如互联网出口、数据中心边界、广域网边界等。企业总部内部一般还划分了很多安全域,如办公区、内部的业务区和安全运维的管理区等,各个安全域之间也需要部署下一代防火墙进行安全隔离。
有一点需要特别注意,下一代防火墙必须能够适应虚拟化的部署环境,能够以软件的方式部署到虚拟化平台上,而且不能受制于虚拟化平台的品牌。下一代防火墙要能够兼容不同的虚拟化平台,可在不同的平台上进行部署,在虚拟化环境中提供安全防护功能。目前已有许多客户提出了虚拟化需求,需要软件化的产品。作为代表未来安全发展趋势的下一代防火墙产品,必须能够快速跟进、满足用户需求。
记者:您认为企业该如何管理下一代防火墙?有哪些细节需要留意?可以给企业用户提供一些建议么?
李焕波:谈到下一代防火墙的管理,企业要清楚保护的目标对象,并定期查看风险分析报告。设有分支机构的单位,还要在总部设置一个专门负责管理和维护下一代防火墙的运维岗位。
要清楚保护的目标对象:企业用户需要在下一代防火墙里建立用户和业务系统列表,便于后续观察、分析整个安全域和安全日志。
定期查看风险分析报告:企业用户需要定期查看下一代防火墙的风险分析报告,并及时跟进、处理高风险的安全威胁。我们在跟客户沟通的过程中了解到,许多单位在部署安全设备后并没有关注其分析报告,主要是由于以前的报告不够人性化,基本上是以IP地址、端口的维度展示网络中的风险,用户不容易看懂,所以就不愿意去看。而下一代防火墙的风险报表相当直观,而且清晰易懂,用户可以直接看到业务系统和用户终端存在的安全问题,知道该如何去解决问题。
在总部设置专门负责管理和维护下一代防火墙的运维岗位:企业管理者可以利用下一代防火墙的全网安全监控功能,对部署在各个分支的下一代防火墙的实时状态、防御情况和安全日志做统一的监控和搜集分析。这样一来,总部运维人员就能实时了解分支节点发生的安全问题,做到及时响应和处理。通过一个人的运维能够实现全网几十个甚至上百个节点的安全设备的管理和运维,对每个分支的安全状态都能够做到分析可控。#p#
记者:您认为下一代防火墙是刚需还是弹需?
李焕波:现在看来,下一代防火墙已经是刚需了。
从国家的监管力度来看,近几年出台的各种安全监管政策、中央网信办的成立等各种信息无不给我们传递着:信息安全建设是必须的,而且信息安全建设和业务系统的建设是同步的。比如现在的各种云平台的建设,它也是需要同步做好安全建设的,这是很明确的刚需。
国家监管单位推行等级保护的力度也在加大,等级保护建设被用户接受的程度也越来越高,很多单位主动提出要参考等保的要求做安全建设需求。在等保建设中,下一代防火墙已经替代传统防火墙成为最核心的安全产品,它不仅能够提供传统防火墙的功能,还能进行入侵防范以及恶意代码防范。未来,等级保护要想在更多应用场景进行使用,降低等级保护建设成本是迫切需要解决的问题。等级保护建设由于涉及众多设备,所需投入的费用是相当高的,如为了满足入侵防范及恶意代码防范,传统方案采用传统防火墙、IPS、防病毒网关等设备串联部署。然而,通过部署下一代防火墙能够有效减少传统防火墙、IPS等设备,使整体建设成本下降。随着等级保护建设的推动,下一代防火墙已经是刚需了。
记者:在可预见的未来,您认为下一代防火墙将会沿着怎样的朝向发展?
李焕波:未来,下一代防火墙肯定会通过云技术实现大威胁情报平台的建设。如某家安全厂商的下一代防火墙产品部署在成千上万的用户网络中,每个用户的设备相当于一个安全节点,一个探测未知威胁的节点。当某个用户的网络中出现未知的可疑流量,在得到用户的授权后,设备可以将可疑流量上报到云端的云数据中心里。通过云沙盒技术进行分析,检测可疑流量里是否真的存在安全问题。如果存在问题,就将其定义为威胁,并给出相应的防护策略,将策略发送到全球所有在线的设备上。下一代防火墙和云是密不可分的,一方面,下一代防火墙必须能够对云的安全做保护;另一方面,下一代防火墙的安全机制里面也会融入云。
此外,除了通过云来构建威胁情报共享平台,下一代防火墙将来也一定会与虚拟化以及大数据分析相结合。
在虚拟化方向:首先,下一代防火墙在未来一定会针对虚拟化环境进行部署。其次,下一代防火墙必须能够防御虚拟化平台的风险,发现虚拟化软件自身的漏洞。
在大数据方向:由于下一代防火墙的融合性,它集成了非常全面的流量检测功能,它有能力并且能够搜集到大量而全面的业务流量、威胁等信息,并能够通过云汇集到一个地方进行统一的大数据分析,分析出来的结果将更加简洁、易懂和可靠。与此同时,这种方式也提高了整个运维管理的效率,而且因为下一代防火墙生成的报表简单易懂,对运维人员的专业度要求也不再那么高。
总结
专访中,李焕波在谈到如何衡量下一代防火墙产品是否优秀时,还特意强调了下一代防火墙的应急响应处理能力。他表示,2014年Openssl、Shellshock等漏洞曝光后,由于用户无法找到针对这些紧急漏洞的检测工具,只能对所有的服务器和业务系统进行一一排查,导致用户端在漏洞爆光后的响应处理周期相当长。因此,下一代防火墙在未来还应当具备及时的“应急响应处理”能力,能够做到一旦出现新的威胁、新的热点漏洞,不仅能够将威胁的特征迅速更新到设备里,还能够帮助用户对内部业务系统进行快速检测,帮助用户快速形成防护策略,形成真正的安全闭环。
网页标题:NGFW将与云、虚拟化及大数据分析密切结合
浏览地址:http://www.shufengxianlan.com/qtweb/news31/273881.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联