九宮八陣圖之天覆陣——防火墻
九宮八陣圖之天覆陣——防火墻
天覆陣:天陣十六,外方內圓,四為風揚,其形象天,為陣之主,為兵之先。善用三軍,其形不偏。
天覆陣是一種防御陣型,同時能降低敵方命中幾率和攻擊速度,通過增加防御力和抗攻擊力以提升整個陣型的防御能力。
防火墻是一種防御邊界安全的網關設備,能進行智能狀態檢測,保護內網不受侵入,同時免受網絡黑客、DDos等攻擊,是網絡防護的第一道屏障,也是所有安全設備包括VPN、IPS、AV、IDS、UTM等陣容之主力。
--------------------------------------------------------------------------------
下一代智能感控防火墻
一、信息2.0時代防火墻面臨的威脅
在當今越來越龐大的信息產業中,信息安全遲遲跟不上時代的步伐,與歷近數年來發展勢頭突飛猛進的云計算、新型網絡、海量存儲等新型技術相比,安全行業的處境則是相當尷尬,而安全產業在不斷地發展和投入進入信息2.0時代之后,面對的卻是越來越多、越來越麻煩的安全新問題,面對未來防火墻的走向,無論是企業還是最終用戶,都不可避免的寄希望于一種對新型防火墻技術需求的向往。正是由于不斷擴容的網絡設施、快速發展的業務流程、實時變化的部署技術以及隱蔽危險的攻擊,正推動對網絡安全性的新需求,那么用戶所面臨的真實威脅到底是什么?
1.1、混合應用的威脅
不斷增長的帶寬需求和新應用架構,正在改變協議的使用方式和數據的傳輸方式。基于應用層協議如P2P/IM/網游/炒股等軟件已經充斥著整個網絡,安全威脅將焦點集中在誘使用戶安裝可逃避安全設備及軟件檢測的有針對性應用執行程序上;在這種環境中,傳統防火墻簡單通過五元組強制要求在標準端口上使用合適的協議和阻止對未打補丁的服務器的探測,不再有足夠的價值。
1.2、云計算環境的威脅
以云計算為代表的現代信息體系正變得日益龐大和復雜,對于這類復雜多變的體系,使得云時代的安全防護重心,從用戶對防火墻簡單的對性能或功能的片面追求,逐步向基于網絡之云的智慧感知與靈活應對轉移。
1.3、惡意網站威脅
在這個信息爆炸時代,隨著網頁數量的激增,由于一刀切的關鍵字分類技術和本地分類數據庫的限制,無法實現更高、更準確的覆蓋率和更廣泛的URL分類控制,間諜 軟件 站點和那些存在惡意代碼的站點已經成為網絡中不可忽視的威脅之一,當今Web2.0時代急切需要一種有效實用且積極主動的收集分類處理技術。
1.4、IPv4地址耗盡威脅
由于我國IPv4地址資源嚴重不足,除了采用CIDR、VLSM和DHCP技術緩解地址緊張問題,更多的是采用私有IP地址結合網絡地址轉換(NAT/PAT)技術來解決這個問題,通過NAT技術接入互聯網,這不僅大大降低了網絡傳輸的速度,且安全性等方面也難以得到保障,這樣使得IPv4網絡面臨各種威脅, 安全 性支持不夠、缺少服務質量保證所帶來的挑戰前所未有。
1.5、高流量導致的性能威脅
伴隨著IT世界進入到另外一個嶄新的平臺--客戶端/服務器到按需云服務的轉變--眾多企業用戶紛紛在思索如何調整或者升級他們的系統以滿足互聯網時代的處理需求。大量的數據負載也逐漸過渡到越來越多的中小型企業用戶業務中來,使得 防火墻 的轉發性能和延遲有了更高要求。
1.6、黑客攻擊威脅
普通防火墻大多安裝在一般的操作系統上,如Linux、Unix等系統。在防火墻主機上執行的除了防火墻軟件外,所有的程序、系統核心,也大多來自于操作系統本身的原有程序。當防火墻主機上所執行的軟件出現安全漏洞時,防火墻本身也將受到威脅。此時,任何的防火墻控制機制都可能失效,因為當一個黑客取得了防火墻上的控制權以后,黑客幾乎可為所欲為地修改防火墻上的訪問規則,進而侵入更多的系統。因此防火墻自身應有相當高的安全保護。
二、防火墻如何防御新時代的威脅
2.1、應用感控技術
應用感控技術不同于傳統的基于端口和協議的狀態包過濾技術,這種技術能通過流量識別網絡上的應用程序,基于應用ID進行智能識別與控制,同時,可以辨別出來自同一網站的不同應用并且可以啟用服務質量選項為這些應用優先分配帶寬。達到了六元組的新型智能應用過濾技術,既可以進行應用識別,也可以做到對應用的細粒度控制。
2.2、云安全防御技術
云安全防御技術融合了并行處理、 網格計算 、未知病毒行為判斷等新興技術和概念,通過網狀的大量 客戶端 對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,傳送到服務器端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。實現立體全面的防護。
2.3、WEB主動過濾技術
這種技術通常認為是在UTM上實現,但在下一代防火墻中,這種需求也越來越明顯,實際上Web過濾是指上網監控功能,具備內容過濾的安全網關通過多重過濾與保護,對內容和網址進行監控,對內容不良的網站實行過濾,從而實現對網絡內部人員上網進行監控URL的屏蔽列表。
2.4、IPv6網絡的安全技術
雖然IPv6在網絡廠商應用較為廣泛,但在安全廠商中,支持IPv6的網絡安全產品(如防火墻、UTM、IPS等)還是較少,具體功能包括:IPv6環境下的狀態包過濾、靜態路由、OSPF動態路由、FTP、ALG等基本安全控制,以及IPv6/v4 雙協議棧功能;設備在同一信息安全網絡中同時支持 IPv4 和IPv6協議的安全控制日漸得到關注。
2.5、高性能多核技術
高性能多核技術為工程師們打開了另一扇門—它是把更多的CPU壓在一個芯片當中以提高整個芯片處理交易事務的能力。以8核為例,在一塊CPU基板上集成8個處理器核心,通過并行總線將各處理器核心連接起來,一般多核芯片都會集成一些針對比較耗費資源處理的硬件加速引擎。比如XLR內置的網絡加速器可以對從網絡接口進入XLR的數據包進行高速預處理。拿以太網包舉例,XLR的網絡加速器可以對以太網包2層、3層、4層的內容進行辨析,提取特征串,自動完成校驗和驗證,把包DMA(Direct Memory Access)到內存,構造以太網包描述符(Descriptor),然后可以基于多種策略把以太網描述符快速均衡的分流到指定的vCPU。這樣,既可以提升網絡層處理性能,也可以加速處理應用層檢測速率,小包性能以及并發數顯著提升,并且多核芯片內建應用加速安全引擎,在硬件層面上就可以支持AES,DES/3DES,SHA-1,SHA-256,MD5算法,最大可提供10Gbps的VPN加密解密運算能力。
2.6、防火墻自身的高安全技術
如果防火墻系統本身被攻擊者突破或迂回,對內部系統來說它就毫無意義。因此,保障防火墻自身的安全是實現系統安全的前提。一個防火墻要抵御黑客的攻擊必須具有嚴密的體系結構和安全的網絡結構。 不同類型的拒絕服務攻擊。理想情況下,防火墻應該采取直截了當的方式,比如將數據包打回或干脆關閉防火墻的方式。#p#
三、防火墻現狀與發展趨勢
隨著互聯網新型網絡應用、攻擊、病毒的出現,以前的老套安全防護技術,遲遲未能得到革命性的進展。就防火墻來說,雖然也經過了幾代的發展,從軟件到硬件、從百兆到千兆以及萬兆,再從單核到多核,但其根本的被動防護原理卻基本沒有改變,這也使得其面對變幻多端的“云”威脅時,總是捉襟見肘,難以應對。人們不禁要問,新時代的安全出路究竟在哪里?
當前防火墻技術也有一些新的發展趨勢。這主要可以從分級過濾技術、防火墻體系結構兩方面來體現。
3.1、防火墻分級過濾技術發展趨勢
所謂多級過濾技術,是指防火墻采用多級過濾措施,并輔以鑒別手段。在分組過濾(網絡層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出和入的協議和有害數據包如nuke包、圣誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。
這種過濾技術在分層上非常清楚,每種過濾技術對應于不同的網絡層,從這個概念出發,又有很多內容可以擴展,為將來的防火墻技術發展打下基礎。
3.2、防火墻的體系架構發展趨勢
隨著網絡應用的增加以及云計算的發展,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外,在以后幾年里,多媒體應用將會越來越普遍,它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來,基于網絡處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火墻的性能要比傳統防火墻的性能好許多。但這也存在很多問題,ASIC主要處理網絡層數據,而當今應用層已經占據半壁江山,雖然起到加速作用,但效果甚微,另一方面,由于ASIC對新建并發、最大并發連接并不起多大作用,防火墻的并發瓶頸并未得到真正解決,人們更多的傾向于多核MIPS技術,所以,多核多線程并行處理技術既能解決高并發的問題,也能處理應用層協議,這一方向得到了多數安全廠商的認可。
四、重新定義的下一代防火墻
傳統防火墻指的是一個由軟件和硬件設備組合而成、在 內部網 和外部網之間、專用網與公共網之間的邊界上構造的保護屏障。是一種獲取安全性方法的形象說法,使Internet與Intranet之間建立起一個 安全網關 ,從而保護內部網免受非法用戶的侵入。
下一代防火墻是一個能辨別新的未知的應用類型,通過實時感知和控制網絡流量中動態更新的威脅信息,進行主動應變的智能化綜合網關設備;同時能與其他設備聯動組成的綜合防御陣營體系。具備一種能動態化和智能化收集匯總技術,充分利用“云”進行動態實時的威脅信息集中采樣與共享,它可以持續收集威脅的更新信息,這種更新的信息包括互聯網上已知威脅的詳細信息,連續攻擊者、僵尸網絡收獲者、惡意爆發和黑網等。通過將這些信息實時傳遞到防火墻中,可以在僵尸網絡等惡意攻擊者有機會損害重要資產之前及時過濾掉這些攻擊者,從而最終實現主動應變的安全堡壘。
未來的防火墻產品由于在功能性上的擴展,以及應用日益豐富、流量日益復雜所提出的更多性能要求,會呈現出更強的處理性能要求,許多產品都會在防火墻處打開數據包進行檢測。且如允許數據包通過,設備會將數據包重組,并發送至IPS處,由其在第7層而非第3層進行檢測。下一代防火墻的出現使得現有的此類技術如:UTM、防火墻、與IPS間的界線更為模糊,同時,利用下一代防火墻,還可將這些功能都集成到一個單一的CPU中,使用一個時鐘周期及一個路徑或流量,因此具有低延遲性。同時,因為其取代了多個設備,還具有低成本高效的優點。下一代防火墻不僅具有業務應用感控功能,還具有用戶身份識別特性,可提供更多的威脅情報。隨著防火墻更新周期的自然到來、帶寬需求的增加和攻擊的新特性,促使更新防火墻越來越快的出現,大型集團、政府、電信、金融、軍隊等各行各業將用下一代防火墻替換已有的防火墻。
五、如何選擇下一代防火墻
5.1、軟件體系方面
首先,判斷一款防火墻是否具備前瞻性,是否有能力為用戶進行客制化的功能擴展,是否保障穩定可靠,核心的技術就是該防火墻在軟件設計方面是不是自主創新設計,而不是采用通用系統(如Linux、Unix等)進行改造。下一代防火墻的軟件體系,其應用功能的各個環節都應該基于核心的自主創新安全的操作系統平臺,必須從基礎建設做起,類似于下一代通用安全系統平臺VSP(Versatile Security Platform),是一種基于硬件、軟件、管理三種平臺相融合的專用安全平臺,集實時操作系統、網絡處理、安全應用等技術于一身,具有高效、智能、安全、健壯、易擴展等特點;充分考慮到基礎建設,采用有效的智能應用感控技術,隨時應對復雜應用的高安全需求。
5.2、硬件架構方面
當今的網絡可以理解為一個大型的局域網以及無數個小型的局域網,所以,適合用戶的是不同硬件架構,不同性能的多系列防火墻產品,所以,選擇防火墻時對硬件架構的評估也是首當其沖的,無論是IXP、X86、ASIC還是多核等硬件架構,適合用戶自身的網絡安全需求才是最好的安全產品;首先需要明確的是廠商各系列防火墻所對應的硬件架構著作權,比如ASIC防火墻,就需要查清是否具備ASIC并行操作平臺(或系統)著作權,當然,對于高端用戶,硬件架構面臨著高性能、多業務的應用,業界很多廠商開始宣傳多核防火墻,有的甚至拿X86多核來混淆用戶,但什么才是真正的多核架構,如何判斷多核防火墻更需要明確。當前,業界多核廠商主要有RMI和Cavium,其推出的基于MIPS架構的嵌入式多核處理器,與X86、X86多核以及ASIC相比,多核處理器每個核可以模擬出8、16或32個虛擬的處理器單元,并可在配置界面上針對每個CPU運行的狀態、利用率進行監控,另外,比較明顯的區別在于防火墻最大并發連接和新建連接數的指標值不同,真正多核最大并發連接數在400萬以上、每秒新建連接在10萬以上。
#p#
5.3、方案部署方面
對于使用僵尸網絡傳播方式的威脅,傳統防火墻的部署模式基本上是看不到的。隨著面向服務的架構和Web2.0使用的增加,更多的通信通過更少的端口(如HTTP和HTTPS)和使用更少的協議傳輸,這意味著基于端口/協議的政策已經變得不太合適和不太有效。用戶在選擇下一代防火墻的部署方案時,需要認清防火墻是否在不同信任級別的網絡之間實時執行網絡安全政策的聯機控制,是否支持新信息饋送和新技術集成的升級路徑來應對未來的威脅,收集外來信息來做出更好的阻止決定或建立優化的阻止規則庫方案。
5.4、用戶體驗方面
下一代防火墻在用戶體驗方面首先就是要看其軟件的簡潔性,如果不易配置與管理,且界面看起來比較老派,那么該產品也就有可能是過時產品。如果需要利用命令行進行繁雜的后臺工作,則肯定是利用過時代碼編寫的產品,因為現在已經沒人會再利用那種界面來編制代碼。
5.5、云防御技術方面
隨著人們對云計算的質疑聲越來越少、越來越弱,云計算作為IT發展的下一個關鍵方向已經基本得到了確認。云計算如此高效,正讓整個IT行業發生變革,然而安全性問題始終困擾著云計算。云計算服務自身的安全隱患隨著應用的不斷深入逐漸暴露出來。作為下一代防火墻,必須具備技術前瞻性,從“云”開始出現的第一天起就要考慮其安全性,給“云”提供必要的安全措施也是很重要的,提供安全隔離。
5.6、網絡防攻擊方面
下一代防火墻在網絡攻擊方面首先需要很容易處理以下的威脅,如DDoS攻擊、DNS攻擊、病毒、間諜軟件、漏洞/入侵、蠕蟲、僵尸網絡、木馬等攻擊;其次能精確地應用識別(無論是端口,協議,ssl還是其他的逃避策略,在應用層訪問/功能之上的細粒度的識別和策略控制,實時的保護來對抗嵌入在跨應用的威脅。
六、網御下一代防火墻安全解決方案
網御下一代防火墻分為KingGuard萬兆系列、Super V高端系列、Power V中高端系列和Smart V低端系列,共計80余款,可為各種規模的企業和政府機構網絡系統提供相適應的產品。網御防火墻已在稅務、公安、政府、軍隊、能源、交通、電信、金融、制造等各行業中部署50000臺以上。KingGuard、Super V系列采用高性能的RSIC多核架構,并結合國內首創的WindRunner矩陣式并行處理技術,將多顆CPU排成矩陣,在對網絡數據流進行IPv4/IPv6雙協議棧的策略匹配、抗攻擊、內容過濾、加解密、QOS、日志等多項業務處理時,采用并行計算和流水線兩個維度進行并行處理,確保了高安全的前提下的高性能處理。Power V系列采用基于應用識別的綠色上網控制模塊,并在Power V-4000及3000系列集成了專用ASIC加速硬件芯片,使得小包高達10Gbps;Power V是已部署3萬多臺套的高可用多威脅統一管理的下一代防火墻系列。Smart V系列是集成防火墻、VPN、交換機、主動防御等功能于一身,可采用機架型和桌面型兩種設備部署方案,適合各類大集團的分支機構、區縣級政府機關、小型企業及SOHO用戶。
在應用感控與云安全技術方面,網御下一代防火墻結合VSP、USE、MRP等核心安全技術,通過智能感控技術收集攻擊檢測源和掛馬網站URL等特征,,與已部署的防病毒網關、IPS、UTM、Guard等設備聯合抓取病毒源、攻擊檢測源和掛馬網站URL等特征,匯集至云防御服務器定時收納合并,云防御服務器動態更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有網御安全網關設備中,使其他設備也具有防病毒、IPS、防掛馬等功能,同時使其具備更高的處理性能,共同形成整體可信架構云防御體系。網御公司提前部署可信架構“云防御”體系,主動防御未知威脅,網御下一代防火墻在不斷變化的威脅環境、不斷變化的業務IT流程、不斷更新的云威脅下,為用戶提供真正有價值的信息安全整體防護方案,使信息安全3.0時代提前到來。
【編輯推薦】
