互联网思维与传统安全的融合 ——以用户的名义重新定义下一代防火墙
发表日期:2014-10-29 09:41:00
随着国家建设网络强国战略的出台,我国信息安全产业已再次迎来蓬勃发展的春天。业内分析人士指出,在快步增长的中国信息安全市场中,安全硬件市场长期占据半壁江山,而扼守网络边界的防火墙产品则是安全硬件市场中的顶梁柱。
进不来、拿不走、读不懂是传统安全建设的基本原则,让攻击者进不来,是需考虑的首要问题。防火墙犹如企业网络的守门员,几乎成为安全建设的必选项,调研数据显示,超过89%的企业在进行信息安全建设时,推荐防火墙设备。
从产品演进看防火墙三大核心能力
防火墙技术起步较早,先后经历了包过滤防火墙、应用代理防火墙、状态检测防火墙、统一威胁管理、下一代防火墙等数代进化。防火墙在中国市场的活跃始于90年代末,当时防火墙的进化已进行至第四代,即状态检测防火墙。
防火墙用户对于产品始终有着明确的功能预期,拒绝越权访问和阻断非法连接,是其两项核心的要务,防火墙技术的历次升级恰恰是为了在新的安全背景下更好的实现这两项核心目标和基本功能。基于以上分析,防火墙类产品有三项核心能力,分别是数据通信、访问控制和特征匹配。
防火墙的三大核心能力
数据通信指一台设备的网络环境适应性、性能、可靠性等,是安全网关产品的一个必要条件,其能力的高低直接决定了防火墙的部署场景及所保护网络的可用性。访问控制是一台防火墙的核心目标,为了提高其精细度,其技术已经从传统的五元组控制发展至基于应用层的八元组,实现了对网络用户、应用和内容的控制。而特征匹配则是防火墙识别攻击和非法连接的主要技术手段,无论是病毒防护、入侵防御还是恶意网址防护等安全功能都高度依赖相应威胁特征的匹配,随着威胁的进化,当前不少安全设备还引入了行为特征的匹配技术,通过分析异常行为判别攻击,某种意义上说特征匹配也是为了进行更好的访问控制。
几代防火墙类产品的进化对比
毫无疑问,防火墙各代级的演进过程也是其三大核心能力持续提升的过程。例如,UTM(统一威胁管理)将AV(病毒防护)、IPS(入侵防御系统)、URL过滤引入了防火墙,增强了特征匹配的能力,从而可以更好的做访问控制。而下一代防火墙则引入了应用层指标,可以在第七层做访问控制,提升了访问控制的精确度,并且通过一体化引擎大幅改善了安全检测效率低的问题,提升了其数据通信能力。
三问防火墙用户引深思
根据《信息安全技术防火墙技术要求和测试评价方法》(我国防火墙技术的国家标准,GB/T 20281-2006)中的定义,在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了流经防火墙的数据,保证了内部网络和DMZ区的安全。
然而,部署了防火墙真的安全吗?换言之,防火墙真的能够将攻击者拒之门外吗?从实际的使用情况看,由于众多因素,当前多数在线的防火墙设备并未发挥较大效能,甚至形同鸡肋。
您是否还能记得防火墙的管理员账号和口令?
您是否会使用防火墙建立一条访问控制策略?
当网络出现异常时您是否能利用防火墙分析?
三分技术,七分管理,是安全建设不变的铁律,不仅仅是防火墙,安全产品部署了一大堆,安全运维则始终难以落地,是国内用户的共性问题。据调查, 75%以上的用户在近三个月内没有登陆过防火墙设备,80%的在线防火墙仅配置了一条“any any any permit all”(防火墙中表示放通所有流量)的策略,更多的IT管理者在网络出现异常问题后首先想到的是呼叫救火队员(安全服务商)。长期以来,不会用、不管用、不爱用已然成为防火墙乃至大部分安全产品的代名词。
安全犹如踢足球,若不能将防线上提,对方前锋则始终有机会直接面对门将,球门失守在所难免。长期以来,由于从不进行安全管理,缺乏有效的安全配置,防火墙非但没有发挥隔离器、限制器、分析器应有的作用,反倒成为了虚弱的“最后一道防线”。
洞察力——被长期忽略的第四大能力
究其根因,导致用户对于安全产品不会用、不管用、不爱用的核心原因是关键信息的缺失。用户在安全决策时缺乏对基本信息的了解,执行安全策略时缺乏合理的建议,而在实施后又缺乏及时的效果反馈。对于现状、风险、威胁、事件、建议、效果等安全决策资源看不清、看不懂、看不全,是造成用户几乎不使用防火墙的根因。
智能威胁时代来临,我们不能再单纯的依赖传统的病毒库、威胁特征库匹配技术进行被动防御。应对复杂性更强、隐蔽性更高的新型威胁,一定要构建起能够持续运转的安全管理闭环,而这一切对安全设备的洞察力提出了更高的要求。
洞察力是指深入事物或问题的能力,它并不等同于安全产品传统意义上的可视化,绝不是指简单的日志呈现和TOP10统计。传统安全设备的异常输出仅能被少数专家关注并理解,面对设备提供的IP地址、端口号、流量统计等信息,并不足以帮助用户了解网络异常、及时预见风险。如果说可视化将信息做了基本的整理和呈现,那么洞察力应该在其基础之上,进行多维的分析和智能的关联,彻底解决关键信息看不清、看不懂、看不全的问题。
举例来说,在防火墙上仅告知用户一条连接建立于哪两个IP之间,用户很难判断其是否为恶意流量,但若为IP赋予地理位置属性,用户则完全有可能快速注意到频繁与境外主机建立连接的用户。
网康下一代防火墙中的目的国家统计
又如,仅告知用户当前网络中各种流量的大小,一般的用户并不能以此推导出哪些是异常的,但若将此流量大小与先前同一时间点的情况进行对比,用户则可直接定位出网络中明显激增的流量。
网康下一代防火墙以基线方式对比流量异常变化
基于强大的洞察力,下一代防火墙能够为用户呈现网络的流量、威胁、风险及安全事件,同时用数据给出安全策略调整的建议,并且将实时的安全防御效果反馈给用户。站在用户角度而言,下一代防火墙彻底颠覆了传统安全被动式事件响应的逻辑,重构出发现问题、给出建议、快速响应、检测效果的安全闭环。
下一代防火墙重构防火墙的使用逻辑
互联网化的下一代安全——以用户的名义重新定义下一代防火墙
用户需要的并不是一个盒子,而是真正的解决安全问题,安全厂商不能仅关注产品功能的开发,即便产品功能强大,但假若未被正确认识和使用,同样只是空谈。只有充分利用设备才有可能较好的解决安全问题,尤其是今后的安全将更加强调人参与其中。
在当前,互联网思维正在快速的渗透各行各业、各个领域,并不断颠覆着传统行业。传统安全行业也正处于巨大的历史变革期,互联网与安全的结合已经成为当前的主流趋势。
互联网思维的精髓在于完全以用户需求驱动产品发展,强调极为的用户体验并追求强大的用户粘性。从互联网思维的角度出发来看,传统安全产品其实仅仅解决了对用户“有用”的问题,但由于用户并未真正使用,并没有达到理想的预期。近年来提出的“下一代”安全产品则通过一系列的技术创新降低了用户的操作难度,做到了帮用户“会用”。面对今后更加严峻的安全环境,更加强调管理和人的参与,因此应当倡导互联网化的下一代安全,通过极为的操作体验,激发用户的使用欲望,做到让用户“爱用”。
用互联网思维武装传统安全
对于用户而言,安全产品只有做到有用、会用、爱用才能够真正发挥较大的价值。因此,以用户名义定义的下一代防火墙,应当融合必要的安全功能,能够防御更加复杂、隐蔽的攻击,能够用数据支撑用户建立并持续高效运行安全管理闭环,拥有简约的人机交互界面和及时的正反馈激励,具备极为的用户体验。