ISC2013:下一代防火墙发展趋势面面观
信息来源:IT168 发表日期:2013-09-25 17:15:29
【IT168 评论】9月23日消息,今日,由360主办的首届中国互联网安全大会在国家会议中心举行。在下午召开的企业安全论坛上,众多业界专家、企业代表、第三方分析机构等嘉宾参与并发表了演讲。在论坛进行后面,众位嘉宾共同就下一代防火墙是否会在近年被普遍应用的话题进行了圆桌会议。
▲左起:主持人/360副总裁谭晓生、网康科技CEO袁沈钢、绿盟科技副总裁吴云坤、国家互联网应急中心(CNCERT)科技处处长周勇林、太平洋保险集团首席安全专家张军
主持人:咱们的话题是下一代防火墙。在座四位嘉宾里面有两家公司本身是有下一代防火墙产品的,我们先请袁沈钢和吴云坤介绍一下你们下一代防火墙产品。
袁沈钢:下一代防火墙核心技术,包括网络应用可视化,威胁可视化,都是在网络应用层来做,这是网康推出在下一代防火墙速度比较快顺理成章的原因。
吴云坤:绿盟科技做下一代防火墙产品是今年推出来的,我们发现现有的一些东西,一些技术根本解决不了目前的威胁,需要无论是下一代防火墙,还是类似于其他的产品,需要一新的技术和设备解决类似的问题。
主持人:张军先生咱们太平洋保险有下一代防火墙产品吗?
张军:我们下一代防火墙方面近两年也开始关注这个技术,现在正在做进一步的研究。
主持人:UTM似乎和下一代防火墙做的事挺像的,UTM和下一代防火墙到底有什么区别?
袁沈钢:基本上安全技术大概是在三分之一的市场都是防火墙市场,包括UTM市场。源流传统防火墙应该是状态检测防火墙,起源于80恩年代末,90年代初,防火墙技术主要是ATL技术,第一代网络边界防范技术。当发现简单的一个门禁系统无法解决所有安全问题的时候,人们立刻想到了采取多重门禁系统,或者多重过滤系统方式解决问题。当然这个时候就产生了UTM的核心概念,它是采用的多重过滤技术和多重门禁系统。当UTM这么做出来之后,发现多重门禁和多重过滤系统启动以后,一个是性能快起来了,第二个整个安全威胁过程,包括安全进攻主体,包括它侵害的主体整个过程没法发现,就是没有解决焉之攻的问题,针对这个事情,国外主要以以卡拉(音)为代表提出了下一代防火墙的概念。下一代防火墙有一个比较简单的比喻,它是一个门禁系统加了一个CT,就是我们一般的计算机断层扫描对人的CT的扫描所有进与出都要进行扫描。还有一个就是雷达,就是说还是可以对内网僵尸、挂马这些事情进行一定的行为、分析、判断。所以是门禁加CT加雷达,这就是下一代防火墙和UTM的不同。
主持人:上个礼拜五FireEye上市,市值很高,在不断的新的概念和新的产品产生的时候,这个产品会替代下一代防火墙这个产品吗?
吴云坤:产品无论叫什么名称终是解决用户需求的。如果单靠设备,根本没法解决问题,对我们来说,很多东西会发现包括FireEye核心是产品。
主持人:CERT作为一个安全管理机构,请问周处长,对于企业的安全,比如下一代防火墙有可能会解决什么样的问题?咱们从管理和协调机构来讲有什么期望呢?
周勇林:CERT每年都很忙,很多安全威胁事件我们帮助去追查,所有这些被攻击的单位基本上都有防火墙,那他们仍然能够被DDos瘫痪掉,很容易被攻击掉,或者容易被植入后门。我想这就是为什么说我们要考虑下一代防火墙。当前一代防火墙貌似形同虚设,都买了,经常升级,还是不管用。当我们考虑下一代防火墙的时候,我特别想提起今天早晨周总在台上讲的话,就是用户体验,恐怕要从用户的体验,用户实际需求,实际情况去考虑问题。我们面临的问题是运营安全,可能会比到买运营商的服务,如果我们是一个以办公网络为主的,员工都是在网上查资料,可能关注的问题是防止一些木马或者APP上精细化的渗透。对于不同的攻击,不同的用户叫下一代防火墙也好,或者什么也好,重要的还是一个好的产品。
第二点,最近包括我们自己做一些安全检测分析的时候,我们确实借鉴了很多大的海量的历史上的经验或者数据,叫它大数据,或者叫分析也好,非常重要。比如说最近境外有一些团伙经常把地方政府信息网站也黑了,写一些政治上的口号,反政府、反党。我们也对这个黑客组织进行长期的分析,看他到底在哪儿?利用什么手段攻击的?经过一段时间跟踪,我们发现了大概活动的时间和手段,大概什么时间攻击。假如说我做这个防火墙的话,会作为一个未来防火墙预警的信息。怎么得到这样一个大数据的支持呢?下一步我想传统互联网企业,做防火墙的,或者做IDS的,更多的要考虑怎么能够更多的数据上得到分析支持,再跟白名单、用户行为、模型在一起,可能会有一个好的效果。
主持人:问一下张总,对下一代防火墙,比如说您在进行评估的时候,您看重它的什么特性?它在什么地方能帮助到你这个事就可以考虑?
张军:网络安全方面我们太平洋保险有三个步骤。首先是做分析规划,然后建立相应的防护体系,较后一步是相应的用户管理。目前太保已经建立了例如DDos防护系统、上网行为管理,包括ITS,但是这些系统还是不够,还是会发生很多网络事件。如果我们能够检测到发现一种事件的时候能有一些联动的效果,那我们觉得还是会考虑的。同时我也同意,我们后续也会加强对整个网络方面的监控,对一些日志方面的监控体系的建设。能够预知这些攻击事件的告警,这样防御处置能够更加的及时。
主持人:有一位朋友得知我们今天下午论坛会讨论下一代防火墙,给我一个问题代上圆桌会,他认为将来SDN会把下一代防火墙给灭了,大家怎么看?
吴云坤:SDN我们这块做了一些研究也包括跟一些运营商和提供商做了一些合作。所谓的下一代防火墙是一个盒子,跟这些防火墙一样,不同在于它的决战不是在盒子里面,是在外面。它需要安全的智能,是通过云端和端点和其他的分析完成的。我对下一代防火墙这样一个安全入口的设备,更多的是表现再一个企业在外界建立生态圈是什么样的。
第二个观点,较重要的是SDN是一个技术,但是安全是一个门槛,下一代防火墙概念中,很重要的就是如果不是这点,下一代防火墙的下一代不成立。所以怎么解决这个问题?如果形成一个闭环,这种东西是下一代防火墙另外一个争夺的焦点,这个所谓的闭环就是响应时间,是客户自己响应还是专业团队响应,能不能把信息迅速更新到下一代防火墙上。SDN对于网关安全来说是很好的一个东西,在网络层方面可以做很多控制,但是下一代防火墙的优势是始终不变的。
袁沈钢:我觉得安全总是道高一尺魔高一丈。SDN还是主要解决网络安全系统的建设,重构建设和配置方面的问题。网络现在无论内外都是危险的,网管可以被别人搞定,你的秘书也可以被别人搞定,所以下一代防火墙来解决内外安全整个可控、可管的问题。
第二个方面传统安全主要在三、四层,下一代安全首先要解决对应用主体识别认知的问题,包括对应用主体的人,所有的安全问题都是人的问题。是人在驱动着应用来做各种各样的事情,所以应用风险和人一定相关,包括跟人的网络活动相关。所以下一代防火墙也带来了很大的用户身份的识别,包括活动的认知。
第三个方面,下一代防火墙安全一定是互联网,只有做到了下一代网络安全的互联网化,而且是云和端相结合,云和边界相结合,解决了互联网问题,才能够解决大数据的问题。现在安全已经出现了既跟漏洞相结合,又开始跟大数据数学建模和整个数学行为分析结合,是两种结合。所以大数据必须是先互联网化才能大数据化。
主持人:吴总一直强调盒子就是盒子,智能是人和人的对抗。我们知道绿盟科技一直是在安全服务方面比较强的公司,吴总认为防火墙将来肯定需要人的更多的智能的服务,袁总您怎么看?
袁沈钢:这点我跟吴总他们不同,吴总他们擅长做服务,绿盟科技有非常多的高级的安全人员可以对提供服务,而网康是做产品的,我是希望把服务产品化。
主持人:以Palo Alto产品为前提,咱们产品跟他们有什么可比性?
袁沈钢:性能角度来说,目前大家都是在全开启所有产品,包括云查杀,全开启数据通过时候10个G,另外ITS方面目前整个漏洞是3000多,Palo Alto这方面漏洞已经是5000多种。我们有自己的创新,我们支持识别700种移动应用的防范。我们跟Palo Alto相比还是有差距的,如果他们打100分的话,我们能打几十分。
吴云坤:提到这点不得不提国际化,真正到客户现场做一些单子,会有不同的感触。网络攻击在全球是通用的技术,这个地方发生问题很快另一个地方也会发生,这来源于产业链和地下漏洞的市场。国外是一个全球化的公司,他们在应用性方面好的很多。
我个人觉得不是产品本身的问题,是公司在对客户交付方面细节方面差很多,这是中国整体的状况,不是单一厂家的问题。无论对用户还是厂家来说这方面的细节都把控的不是特别好。所以整个环境导致这样的一个群体产生。
今天早晨也好,还是下午也好涉及到很多互联网安全的话题,互联网安全其实对应用性和交互都会有很大的提升,跟很多产品有很大的压力,根本上中国做网络安全是软件公司,国外很多都是硬件出身的。所以这点是本质上的差别。
我们希望更多的卓绝厂家进来,能使得整个市场整体水平提升,而不是下降。
网康科技CEO袁沈钢——《中美网络安全产业对比及应对》演讲资料下载地址:http://cnrdn.com/vHR8