一、下一代防火墻準備好了嗎？

1.中高端用戶需求的變化

出于業(yè)務系統(tǒng)本身的重要性考慮，中高端用戶對于系統(tǒng)本身的高性能、高可靠性和功能的專業(yè)性等更為關心。一方面，用戶不希望安全產(chǎn)品成為其中的性能瓶頸，而企業(yè)本身的大流量數(shù)據(jù)客觀上對于性能提出了更高的要求，出現(xiàn)萬兆甚至數(shù)十萬兆的服務需求。另一方面，業(yè)務系統(tǒng)或者數(shù)據(jù)中心成為防護的重點，典型如企業(yè)的辦公自動化系統(tǒng)，生產(chǎn)訂單管理系統(tǒng)，供應鏈和財務體系等部門的業(yè)務服務器等，其系統(tǒng)遭受到攻擊導致的系統(tǒng)癱瘓將對企業(yè)生產(chǎn)運營有非常嚴重的危害。

對于以上的安全防護，除了基礎的安全域隔離之外，針對業(yè)務系統(tǒng)的安全漏洞產(chǎn)生的攻擊防護變得尤其重要，此時FW和IPS入侵防御往往成為企業(yè)安全防護的主要技術手段。這也是下一代防火墻（NGFW）的概念中FW和IPS的功能往往被重點提及的原因。應該說這種FW和IPS特性的集成，在一定程度上可以簡化企業(yè)的安全部署和實現(xiàn)一體化的管理，這自然是符合用戶的期望。

2.“FW+IPS”的現(xiàn)實難題

業(yè)界廠商及第三方的咨詢機構去研究或是試圖去定義新的安全產(chǎn)品形態(tài)，并形成了一些對于下一代防火墻產(chǎn)品的初步定義，其中就包括在防火墻產(chǎn)品中集成IPS特性的這個技術點。這一定義積極的一方面是它在理論規(guī)劃上滿足了用戶的期望，但是在實現(xiàn)方式和效果上，仍然存在明顯的技術缺陷需要解決。

◆專業(yè)性不足，漏報率高

高性能、高可靠以及專業(yè)的功能是用戶對安全最關鍵的技術要求，尤其是針對諸如IPS這種需要進行深度報文過濾的系統(tǒng)，其本身的技術實現(xiàn)方式并沒有成型的技術標準，不同廠商在實現(xiàn)方式上的差異很可能導致相差懸殊的檢測效率和性能表現(xiàn)。與獨立的IPS設備相比，大多數(shù)廠商宣稱的通過軟件集成方式將FW和IPS進行集成的實現(xiàn)方式，在專業(yè)性上存在不足。

眾所周知，IPS產(chǎn)品核心的能力體現(xiàn)在多層次化的檢測引擎、高效的匹配算法、豐富的特征庫數(shù)目、以及對未知特征的快速分析和響應。專業(yè)的IPS設備，在層次化引擎處理方面，包含基礎的基于正則表達式的固定字符串特征匹配、異常協(xié)議的分析檢測、基于自學習流量模型的異常流量檢測、針對未知特征的虛擬機模擬檢測、以及借助IP信譽技術對訪問內容的安全威脅預警等技術手段。這些技術手段的實施，在有效保證檢測準確率的同時，對處理器資源也有非常嚴重的消耗，導致設備的性能無法輕易達到萬兆以上。而通過軟件集成到FW中的IPS特性，出于對性能的考慮，無論是在威脅檢測的方式或是有效的特征庫數(shù)目方面，和專業(yè)的IPS設備相比差距很大。部分廠商在實現(xiàn)過程中，為了獲得相對較高的吞吐性能，對于大部分的流量，只是采取簡單的基于固定字符串的模式匹配，甚至只是開啟少部分的攻擊特征庫，以便大流量快速的通過，由此可能產(chǎn)生威脅檢測漏報。

◆綜合性能不理想，實際部署不樂觀

現(xiàn)階段在防火墻中集成的IPS特性，由于本身的業(yè)務處理流程的差異，其防火墻和IPS等特性的性能之間相互存在很大的影響，導致設備的綜合性能不理想。一般情況下，設備標稱的往往是理想情況下單特性開啟情況下的最佳性能，而在實際的部署環(huán)境中，當FW/IPS等功能全部開啟后，因為處理流程的整合，其綜合的性能指標會有明顯的下降；尤其是對于IPS特性，其性能測試涉及到多個方面的因素影響，如其測試使用的攻擊流量協(xié)議類型、攻擊流量特征是否被分片、攻擊特征庫的激活數(shù)目，測試的背景流量設置和引入到IPS檢測引擎的攻擊類型等。不同的環(huán)境設置所產(chǎn)生的結果會有很大的差異。

美國《網(wǎng)絡世界》于2009年和2011年針對宣稱支持NGFW的兩個廠商的產(chǎn)品組織進行的兩次測試顯示：A廠商的防火墻集成IPS特性，在沒有開啟IPS特性時，其防火墻可以達到其宣稱指標，但是在IPS特性后，即使按照該廠商的推薦開啟和攻擊流量相關的部分特征庫，在沒有發(fā)送任何攻擊流量的情況下，設備的FW性能直線下降超過60%；發(fā)送超過10G以上的混雜攻擊流量后，設備顯示僅僅有不到1G的流量經(jīng)過了IPS的檢測處理并產(chǎn)生了一些攻擊日志，其他的大部分流量直接被BYPASS，造成了測試攻擊報文的漏報。對B廠商NGFW產(chǎn)品進行測試，將標稱超過千兆IPS性能的產(chǎn)品部署在40M的實際Internet環(huán)境中，和另外一臺同樣環(huán)境下的獨立IPS設備進行對比測試，結果顯示該廠商的NGFW產(chǎn)品沒有表現(xiàn)出可以匹敵專業(yè)IPS設備的攻擊檢測的適應性和準確率 【As with most IPS-in-a-firewall products, the product doesn't match the flexibility and power of dedicated IPS products】

基于上述的分析，在解決諸如IPS特性的性能和效率的矛盾等問題上，目前談論的NGFW下一代防火墻仍然任重而道遠。面對業(yè)務系統(tǒng)的安全防護需求，通過機架式防火墻輔助高端的IPS盒式產(chǎn)品，或者是模塊化的FW和IPS的組合，在功能的專業(yè)性和性能的可擴展性上，相比較NGFW產(chǎn)品具備明顯的優(yōu)勢，仍然會是高端用戶首選方案。

二、網(wǎng)絡與安全的融合

在早期的企業(yè)IT信息化的過程中，網(wǎng)絡與安全缺乏統(tǒng)一的規(guī)劃設計，在建設基礎網(wǎng)絡的同時并沒有充分考慮到安全的建設，以至于在發(fā)現(xiàn)安全風險的同時只能進行補丁式的安全防護升級，而隨著新一代互聯(lián)網(wǎng)（NGIP）的發(fā)展，成熟的安全服務如FW或IPS等開始融合到云聯(lián)網(wǎng)、基礎承載網(wǎng)以及物聯(lián)網(wǎng)，這種融合也是客戶需求的直接體現(xiàn):

◆高性能的網(wǎng)絡安全基礎架構的融合，為用戶部署安全增值業(yè)務應用提供了條件

早期的安全產(chǎn)品，因為其本身百兆或者多千兆的性能，在大型數(shù)據(jù)中心的部署過程中，只能是將少部分的流量重定向到旁路部署的安全設備進行處理，安全并沒有成為整個流量的基本屬性。而現(xiàn)階段，隨著10G，20G甚至100G的安全硬件平臺的出現(xiàn)，高性能的基礎網(wǎng)絡已經(jīng)可以融合疊加同樣高性能的安全業(yè)務，以至于在同一個基礎架構的物理節(jié)點上，就可以對外提供數(shù)十G甚至上百G的網(wǎng)絡轉發(fā)和安全增強查服務，這種基礎架構的融合讓安全的云網(wǎng)絡部署成為可能。

◆網(wǎng)絡安全的融合，有助于建設綠色數(shù)據(jù)中心

在云計算環(huán)境下，大量、獨立的安全設備對于數(shù)據(jù)中心的空間占用、系統(tǒng)布線工程以及電源系統(tǒng)有著更多的要求，而高性能的安全硬件模塊和基礎網(wǎng)絡的融合，既可以有效規(guī)避上述幾方面的要求，減少噪音降低能耗，又能在系統(tǒng)故障時通過簡單的熱插拔備份等方式保證系統(tǒng)的可持續(xù)性運行，符合當前建設綠色數(shù)據(jù)中心的需求。

◆企業(yè)對于簡易化維護管理的需求，要求網(wǎng)絡和安全進行管理層面的融合

管理員除了對數(shù)據(jù)中心的網(wǎng)絡設備和安全設備進行例行的日常維護外，還要根據(jù)業(yè)務的變更及時調整與之相關聯(lián)的網(wǎng)絡設備和安全設備的配置，如變更網(wǎng)絡設備的接入端口、VLAN或ACL配置、監(jiān)控設備狀態(tài)、調整安全策略、設定安全事件告警條件等。為了避免在不同管理系統(tǒng)之間來回切換造成的配置錯誤風險等，用戶需要面向業(yè)務的、統(tǒng)一的網(wǎng)絡安全管理平臺來提升管理員的工作效率。

三、未來的安全管理產(chǎn)品如何適應云計算的要求？

在安全的發(fā)展過程中，安全管理一直有著非常重要的作用。一方面，它通過對多個設備的統(tǒng)一的策略配置和設備管理，在安全產(chǎn)品規(guī)模部署的情況下，實現(xiàn)簡易化的部署方式，節(jié)省維護成本。另一方面，安全管理平臺又是整個安全解決方案的窗口，通過對安全設備產(chǎn)生的各種安全日志的收集分析，生成清晰全面的多種TOP N的攻擊報表，便于管理員及時了解整網(wǎng)的安全狀況，增強了整網(wǎng)安全的可視性；

盡管現(xiàn)階段的安全管理平臺已經(jīng)可以較好的滿足上述的職責要求，但是應對未來的云計算環(huán)境，安全管理平臺將會面臨一些新的需求：

◆如何更好的整合安全事件和日志的差異性，適應多廠商、多類型設備混合組網(wǎng)的需求？

◆如何適應虛擬化環(huán)境下的安全策略管理和部署？

◆如何及時感知虛擬化環(huán)境下的業(yè)務遷移，實現(xiàn)安全策略的及時調整和動態(tài)遷移等等。

為了有效解決這些潛在的問題，未來的云安全管理平臺將著重在以下幾個方面實現(xiàn)升級：

1.集成與開放

在企業(yè)的網(wǎng)絡安全建設過程中，為了建設相對全面的防御體系，勢必涉及到多種不同類型的安全設備的部署，典型如防火墻產(chǎn)品、IPS入侵防御產(chǎn)品或者是流量分析系統(tǒng)等。如果管理員利用其產(chǎn)品配套的管理軟件如FW manager，IPS manager或者是Traffic manager進行日常的維護監(jiān)控，勢必造成管理效率的低下；同時，大型的網(wǎng)絡安全環(huán)境下，因為安全建設的補丁式疊加和產(chǎn)品選擇標準上的差異，在同一個網(wǎng)絡安全環(huán)境下，很可能存在多個安全廠商的多類型產(chǎn)品同時存在：如為了可靠性考慮選擇2個防火墻廠商的產(chǎn)品做異構安全防護、或者選擇不同的廠商分別提供諸如IPS和流量防護等產(chǎn)品；此時，如何解決不同廠商配置方法上的差異，如何實現(xiàn)多類型安全設備的統(tǒng)一日志管理和事件關聯(lián)分析，是需要考慮的關鍵需求。

為了滿足用戶的上述需求安全管理平臺的增強要從以下兩個方面進行增強：一方面需要增強自身的組網(wǎng)及服務提供能力，集成對本廠商多類型安全設備的統(tǒng)一配置管理和事件分析功能，并且可以通過定制化的手段，實現(xiàn)對其他主流廠商的安全日志的支持；另一方面，針對多廠商設備混合組網(wǎng)的實際情況，各設備廠商的安全管理軟件，需要從配置管理和事件分析兩個角度提供標準的API接口。通過這種API接口，廠商自身的安全管理平臺以Agent代理方式，完成上層第三方安全管理平臺對本地設備的配置下發(fā)及安全事件的格式轉換，為企業(yè)的統(tǒng)一安全管理平臺的建設創(chuàng)造條件。

如圖1所示，交換機路由器等網(wǎng)絡設備的安全日志、FW/IPS等安全設備的安全日志、以及類似關鍵服務器的安全日志，本身在各自的管理平臺上可以得到展現(xiàn)。同時，廠商管理平臺實時事件分析Agent模塊，對這些安全日志進行預定的格式轉換，重新發(fā)送到上層的統(tǒng)一安全事件管理平臺，以實現(xiàn)整網(wǎng)安全事件的統(tǒng)一分析。

圖1統(tǒng)一的安全管理平臺組網(wǎng)示意圖

2.虛擬化的資源管理

和傳統(tǒng)的網(wǎng)絡環(huán)境不同，虛擬化環(huán)境下的安全管理平臺，其面向對象不再是單一的廠商物理設備。因為虛擬化實例的廣泛使用，整個云中的安全設備已經(jīng)虛化成了一個包含多個虛擬單元的資源池。此時的安全管理軟件平臺，無論是在設備配置管理還是安全日志分析等方面，都需要基于單個虛擬化設備資源來進行。同時，對于這些虛擬化單元，還需要更進一步，將傳統(tǒng)的單一用戶管理升級到多用戶可以同時管理的模式中來，在完成初始化的用戶虛擬化資源分配和綁定后，后續(xù)的任何操作，都應該可以基于不同租戶的不同管理員進行；每個管理員都可以隨時對本企業(yè)的安全資源進行策略配置調整，管理維護企業(yè)本身的安全事件分析報告。

3.安全策略的自動遷移調整

虛擬化環(huán)境下的虛擬機自動遷移，是云計算環(huán)境的重要特征之一。為跟隨這種虛擬機的遷移，業(yè)務系統(tǒng)本身的資源配置以及該虛擬機的接入端口屬性都在積極響應并提供適配的手段。而要想實現(xiàn)安全策略的跟隨遷移，要求安全管理平臺提供重要的技術支撐，主要的技術要求將包括：

◆及時建立起網(wǎng)絡中的每個虛擬機和安全策略組的對應關系，實現(xiàn)全局的虛擬機安全策略統(tǒng)一規(guī)劃和管理；

◆及時感知虛擬機的遷移動作，并獲取虛擬機遷移后的網(wǎng)絡位置信息，以此來觸發(fā)安全策略的遷移；

◆根據(jù)遷移后的虛擬機信息，探測計算出遷移后的虛擬機所對應的安全設備，為下一步的安全策略調整做準備；

◆基于上述信息自動調整安全策略，將該虛擬機對應的安全策略組重新下發(fā)到新的安全設備上，完成整個安全策略的遷移。在這個過程中，安全管理平臺可以有效整合各方面資源，實現(xiàn)安全策略的動態(tài)遷移。

在新一代互聯(lián)網(wǎng)的變革中，“云安全”的概念日益被用戶所接受。安全產(chǎn)品自身的發(fā)展、安全與網(wǎng)絡的融合以及虛擬化等對安全防護帶來了新的促進和挑戰(zhàn)。云安全不僅要解決常規(guī)的安全防護，更要對云帶來的虛擬化能高效的適應，要能實現(xiàn)安全的智能管理。