下一代防火墻如何讓網絡空間多維化
談到人類生活的空間和無限的宇宙,大家都會有很大的興趣和很強的神秘感,認為多維空間的環境中,存在我們未知的事物,但從人的肉眼中只能看到是個長、寬、高三個維度所構成的空間,最多我們還可以加入時間,讓時空互相聯系,所以對于我們來說生活在一個四維時空。說到這里,讓我們也想起,近年的一部大片諾蘭的“盜夢空間”他突破了時空的限制,讓電影中的時間與空間隨意的跳躍交錯,讓人不得不佩服“諾蘭改變電影結構”的這句話。但網絡是否也能空間多維化,讓一個個數據包不再是二級制數字,而是一個真實的網絡空間表現!
我們先來縱觀一下防火墻的發展,我們看到最早人們為了防護火災或者大風,都要建立高于屋面的墻面,這樣高高的墻面,可以防止在相鄰民居發生火災的情況下,起到隔斷火源的作用。同樣我們把網絡中進行安全隔離,防止由于一些區域電腦感染病毒,而蔓延到整個業務網絡,而且如果部署在內部網絡和互聯網的邊緣,也可以起到防止外部非法流量訪問業務網絡。
早期的防火墻,主要通過查看數據流的源IP地址、目的IP地址和交互端口,綜合這些因素進行安全的行為判定。由于這些固定方式的安全查看也帶來很多的問題,不能支持動態端口協商的應用處理,像某些應用程序在協商信道和數據信道并不是固定的端口,數據端口的使用往往需要協商后獲得,比較隨機,這對早期的防火墻是很大的挑戰。還有些情況,用戶IP地址經常會被篡改,所以通過IP地址限制特定用戶是無法實現的。
為了解決這些問題,防火墻做了一次技術的變革,增加了深度包檢測的功能,對動態端口的應用協議進行深度結構化檢測,動態協商的數據端口采用動態放行方式。同時也對數據認證源進行改進,結合微軟活動目錄,加強與身份認證系統的互動,讓用戶認證不再僅通過IP地址進行識別。
看似這樣的改變解決了我們面臨的問題,但技術的發展是永遠不會止步的,當今互聯網的主要趨勢正在向應用發展,帶來虛擬化、智能終端、BYOD等新的概念和技術。如今,一般員工越來越習慣在移動設備上使用消費者應用訪問基于Web的服務,來滿足個人和工作兩方面的需求。這些員工希望能夠在企業網絡上使用其常用的應用。IT消費化也已成為趨勢-員工希望能夠在工作場所輕松使用其個人手機、平板電腦和筆記本電腦,而且不用擔心會遭到黑客攻擊。這次技術的變革也帶來我們對安全更高的需求,我們更需要一個把用戶真實環境中的信息作為安全的因數,體現在網絡世界中。
思科ASA5500X下一代防火墻對網絡安全進行了全新的詮釋,不再是一個IP地址就代表了一個用戶,一條訪問控制列表就能保證網絡的安全,而是把扁平的線性網絡重新構建成一個真實的生活空間。我們從人的肉眼中能看到是個長、寬、高三個維度所構成的空間,而思科下一代防火墻對這個空間進行了更詳細的描繪,添加了用戶接入的使用設備、接入網絡中所處的物理位置、接入時間、接入使用的網絡類型。同時結合用戶訪問的網站信譽度、使用的哪些應用軟件等因子,讓一個真實的用戶所處的多維空間呈現在網絡中。
試想如果要在網絡中構建一個真實的多維空間,哪些是我們需要的關鍵技術呢?首先大家都會想到用戶識別,訪問用戶是什么身份、他會有哪些權限、如何去鑒別用戶?這個需求是很好解決的,我們可以結合微軟活動目錄等多種的后臺數據庫,有效的實現了用戶定位,幫助網絡管理人員真正達到活動目錄認證/防火墻策略和身份的對應,使得策略身份化,訪控更加精細,管理更加方便。
其次智能終端的出現帶來很大的安全挑戰,也帶動了安全的發展機遇,下一代的防火墻必須具備設備識別的功能才有可能滿足市場的需求,對智能終端的識別可以幫助企業和用戶加強安全防范,控制安全風險。
然后惡意網頁、流氓軟件、游戲網站……互聯網上滿天飛的年代,如何保證網絡訪問安全,同時滿足用戶的體驗。我們不僅要通過內部流量可視化,帶寬精準控制,也需要一個全球的信用度評價系統幫助鑒別那些未知網站的安全。
思科提供了世界最大的威脅分析系統—思科安全智能運營中心(SIO)。它包括超過700,000個全球傳感器,每天可查看超過50億次Web請求,以及35%的全球流量。SIO持續收集其接收到的所有信息,對網絡、域和應用進行分類并為其分配信譽分數。這些分數通過集中計算,3-5分鐘迅速分配至配置為接收這些分數的思科設備。ASACX收到這些分數后,更新其全球環境存儲庫,開始識別新興威脅,并著手實施防御這些威脅的操作。
講了這么多,我們用一個場景幫助大家更好的理解思科下一代防火墻如何改變網絡空間,讓網絡不再扁平,把網絡真正映射成一個現實的空間。
試想我們工作的普通一天,大家到了公司第一件事情當然是打開電腦處理郵件,找不同部門的同事協調事情,在上班時候沒法訪問公司業務以外的應用,但休息時間和下班后是可以訪問的,這就是我們把時間加入了到網絡維度中,如果你在非工作區上網將僅能訪問internet,可以理解為我們把地點也加入了網絡安全維度。同時我們也對使用不同設備進行控制,普通員工使用智能終端是不能訪問業務網絡的,但老板或者高級管理人員可以隨時隨地進行。與此同時,訪問外部的應用是否被允許,被訪問的外部網站是否安全,這些問題可以通過思科全球的SIO網站榮譽度評級,幫助大家過濾有潛在威脅的網站。這樣一個網絡安全多維因素結合起來,協助我們建立一個全新的網絡安全空間。
