天极网:从使用工具到管理工具 防火墙进化趋势解读
信息来源:天极网 发表日期:2013-09-05 12:11:00
“Marx says, using tools difference between people and animals.”
马克思这句话揭示了人与动物的根本不同之处:使用工具。正是使用工具,让人类发展到了今天。工具的概念很广泛,在远古时期,工具指的是木棍石斧,随着时间的演进,不同时期的“工具”,也被赋予了特定的意义。在士兵的眼中,工具是指刀枪。在文人的严重,工具是指笔墨纸砚。在网络编辑的眼中,工具是指电脑。在黑客眼中,工具是指能够破坏网络安全、窃取机密的代码。在网络安全管理员的眼中,工具就是防火墙。
工具本无善恶工具本无善恶
从有网络以来,黑客和网管就是一对矛盾。矛盾的焦点就是防火墙。一边是使用防火墙抵挡攻击,另一边是寻找能够穿透防火墙的攻击方式。这样的斗争一直在持续着。伴随着这种攻防的,是用户的信息安全受到前所未有的威胁,并且随着互联网越来越发达,网络攻击的破坏性也直线上升。
由于网络遭受安全威胁,因此很早之前就已经诞生了像防火墙这样的产品,同时也因此孕育了与之相关的网络安全产业。然而在网络攻击和防护的攻防战中,防御方显得颇为被动——从来都是网络攻击先寻找到新的漏洞和新的攻击手段,然后再由网络安全厂商封堵漏洞、寻找应对策略。以著名的ARP欺骗攻击为例,较早提出这种攻击理念的论文形成于1997年,在ARP欺骗攻击被黑客广泛利用,并且逐步发展壮大之后,硬件防火墙才渐渐跟进、拦截,并且导致一些用户不得不额外花钱对防火墙进行软硬件升级。这期间经历了数年时间,ARP欺骗攻击已经造成了大量财产损失。
战争规模直线升级
战争刚刚开始的时候,这样的攻防战还是可以接受的,然而随着计算机运算能力的提升,攻击的规模不断扩大,甚至已经超过了网络设备能够承载的较大负荷,封堵攻击就变得捉襟见肘了。甚至通过攻击网络设备、攻击网络安全设备本身造成的网络拥堵,也早已衍生成为一种攻击方式。
在这样的情况下,传统的攻防战还有多少人愿意接受呢?另一方面,还有大量用户对于网络攻击熟视无睹,或者干脆毫不知情。根据CNNIC的《2012年中国网民信息安全状况研究报告》显示,高达47.5%网络用户根本不对网络攻击做任何处理,任由自己的设备变为肉鸡或者泄密工具。网络用户的麻木,也为黑客窃取商业机密、实施更大规模的网络攻击大开方便之门。
随着智能终端的兴起,更多的设备可以成为攻击工具,同时更多的设备也变成了被攻击的对象。承载着安全防护任务的网络防火墙变得更加不堪重负。但是防火墙无论是硬件性能还是拦截技术,都没能实现与时俱进,成为制约互联网发展的短板。
早在2009年,著名的信息技术研究和分析的公司Gartner就提出了一个新的概念,叫做“Defining the Next-Generation Firewall”,中文叫做重新定义下一代防火墙。根据网络安全的现状,Gartner把网络防火墙定义为在线安全控制措施。同时使用了“下一代防火墙(Next-Generation Firewall)”这个术语来进行描述。
下一代防火墙飞速发展
近两年,互联网、云计算、大数据处理的兴起,在造成网络攻击不断兴起的同时,也为防火墙的发展提供了优势。Gartner描述的“下一代防火墙(Next-Generation Firewall)”正好可以结合云计算与大数据的优势,将高性能硬件系统与云端的数据分析相结合,从多个维度对网络中的数据进行分析判断,而不再机械性的依赖于一些固定规则,这样就提升了网络的安全性,同时对于正常的网络使用不但不会造成拥堵,还可以动态的进行分配和调节网络资源,优化网络结构。
当然Gartner的理念以现在来看也有不足的地方,比如目前移动终端的兴起让网络攻击蔓延到了一些新的设备上,这是那个时代难以预料的。不过下一代防火墙的制造商会在产品端进行完善,以弥补规则方面的不足。比如几个下一代防火墙制造商之一的网康,就在传统防护、新型防护机制相融合的基础上,进一步增加了对各种移动终端的支持,将能够联网的设备全部纳入到下一代防火墙的监控体系内,这样就能够较大程度确保企业网络环境的安全。
当前,下一代防火墙的发展依然存在诸多要解决的问题,比如规则复杂、部署困难、难以从原有设备平滑过渡等等。然而随着时间的推移,能够更好应对网络安全环境下一代防火墙取代传统防火墙已经是大势所趋,下一代防火墙正逐步成为保障网络安全的必备工具。
根据Gartner的预测,在2014年,60%用户所购买的防火墙产品都将是下一代防火墙,可见下一代防火墙产品有巨大的发展潜力,并且用户也很乐于接受下一代防火墙产品,经历多年沉寂之后,网络安全市场终于要迎来一个新的时代。
点击阅读原文:http://net.yesky.com/251/35329251all.shtml#p35329251