2009年,權(quán)威咨詢機(jī)構(gòu)Gartner定義了下一代防火墻的概念,一時間,下一代防火墻已經(jīng)同云計算、WEB2.0、移動互聯(lián)等當(dāng)下最熱門的名詞一起,成為業(yè)界的焦點話題。下一代防火墻之所以是應(yīng)對當(dāng)今網(wǎng)絡(luò)威脅的最佳選擇,最為核心的原因之一,在于下一代防火墻能夠抵御來自應(yīng)用層的威脅。因此,對于當(dāng)今網(wǎng)絡(luò)中各種應(yīng)用流量的精確識別能力,已經(jīng)成為下一代防火墻能否發(fā)揮最大效能的決定性因素。
基于五元組已無法識別當(dāng)今應(yīng)用
隨著網(wǎng)絡(luò)應(yīng)用的不斷地演變,網(wǎng)絡(luò)中的流量較之先前發(fā)生了巨大的變化。在之前,我們基于數(shù)據(jù)包的地址、端口等信息即可輕松識別網(wǎng)絡(luò)流量,并在此基礎(chǔ)上加以安全管控,然而在當(dāng)下,大量應(yīng)用出于各種目的,廣泛采用跳變端口甚至復(fù)用知名服務(wù)端口進(jìn)行數(shù)據(jù)傳輸。以TCP 80端口為例,在從前我們會簡單地認(rèn)為訪問此端口一定是在進(jìn)行HTTP網(wǎng)頁瀏覽,但如今,TCP 80端口既可以被用來P2P下載,也可以傳輸即時通信軟件的流量。
以傳統(tǒng)防火墻為代表的一類產(chǎn)品,基于數(shù)據(jù)包五元組的安全檢測機(jī)制,僅依靠判斷傳輸層端口,早已無法識別具體的應(yīng)用類型,在面對此類應(yīng)用時已完全失效,這給網(wǎng)絡(luò)的管理和安全防護(hù)都帶來了極大的挑戰(zhàn)。
“TCP 80”已不再是HTTP的專利
站在三、四層上何談應(yīng)對應(yīng)用層威脅?
回過頭來再看上述例子,即便TCP 80流量的確是在進(jìn)行網(wǎng)頁瀏覽,但利用傳統(tǒng)的技術(shù)也無從對HTTP流量進(jìn)行更加深入的識別和檢查,尤其是隨著WEB2.0技術(shù)的大量運用,一個看似簡單的網(wǎng)頁僅僅利用瀏覽器就可以向用戶交付多種形式的應(yīng)用,通過網(wǎng)頁騙取敏感信息、在網(wǎng)頁中嵌入病毒或木馬等黑客攻擊手段,利用的就是傳統(tǒng)技術(shù)在此方面的缺陷。
基于“五元組”對流量內(nèi)容毫不知情
傳統(tǒng)的入侵防御(IPS)技術(shù)盡管可以基于特征碼識別并阻斷針對特定協(xié)議的入侵行為,看似可以防范應(yīng)用層威脅,但從本質(zhì)上講,其基于三、四層信息識別數(shù)據(jù)包的機(jī)制沒有變化。必須要澄清的是,傳統(tǒng)的IPS、UTM產(chǎn)品,在某種程度上能夠識別一些應(yīng)用層威脅,但并不意味著它們能夠識別應(yīng)用,當(dāng)應(yīng)用使用非標(biāo)端口(例如HTTP服務(wù)使用TCP 8080端口)時,這些產(chǎn)品在未經(jīng)手工配置的情況下,同樣無法智能識別非標(biāo)端口上傳輸?shù)膽?yīng)用類型,也就無法針對這些流量提供入侵防御、病毒防護(hù)的功能。
值得一提的是,盡管很多傳統(tǒng)防火墻、IPS、UTM設(shè)備早已具備了應(yīng)用層網(wǎng)關(guān)(ALG)功能,但ALG設(shè)計的初衷僅是為了滿足特殊協(xié)議正常通信的需求,因此其支持的應(yīng)用類型少之又少。綜合以上分析,基于三、四層技術(shù)無法真正抵御來自應(yīng)用層的威脅。
企業(yè)需要應(yīng)用層的“安全使能”
在應(yīng)用大爆炸的今天,以上提到的種種挑戰(zhàn),使得的網(wǎng)絡(luò)的管理者必須在“允許”與“阻斷”之間進(jìn)行艱難的抉擇。允許某些應(yīng)用,意味著有更多的威脅可以長驅(qū)直入,將大大增加企業(yè)信息安全的風(fēng)險,但阻斷某些應(yīng)用,又將影響到正常業(yè)務(wù)的開展。信息系統(tǒng)本身就是為業(yè)務(wù)服務(wù)的,如果不能有效支撐業(yè)務(wù)的開展,也就失去了其本身存在的意義,因此,在面對抉擇和平衡時,網(wǎng)絡(luò)管理者迫于來自業(yè)務(wù)方面的壓力,往往選擇默默的接受風(fēng)險,以求業(yè)務(wù)的順利開展。
然而,近年來大量的信息安全事件讓我們遺憾地看到,一旦信息系統(tǒng)遭受黑客的攻擊或入侵,給企業(yè)造成的絕不僅僅是經(jīng)濟(jì)上的損失。系統(tǒng)癱瘓、信息泄密等安全事件,將會給企業(yè)帶來不良的社會影響,嚴(yán)重的還要承擔(dān)法律責(zé)任,這些破壞和打擊對于很多企業(yè)來講都是致命的。
當(dāng)今企業(yè)需要精細(xì)化的應(yīng)用控制,對于支撐業(yè)務(wù)所必須允許的應(yīng)用,要進(jìn)行深層次的安全檢測及一體化的安全防護(hù),實現(xiàn)真正基于應(yīng)用層的“安全使能”,同時阻斷與業(yè)務(wù)無關(guān)的應(yīng)用或應(yīng)用的子功能,這些都要求設(shè)備對網(wǎng)絡(luò)流量深入、智能的識別。
基于應(yīng)用層的“安全使能”
下一代防火墻才能真正應(yīng)對應(yīng)用層威脅
統(tǒng)計數(shù)據(jù)表明,當(dāng)今有3/4的網(wǎng)絡(luò)安全事件發(fā)生在應(yīng)用層,今后應(yīng)用層威脅將越來越普遍,傳統(tǒng)的安全防護(hù)技術(shù)在面對當(dāng)今威脅時幾乎不戰(zhàn)而敗,最核心的原因是傳統(tǒng)的技術(shù)已經(jīng)無法對當(dāng)今網(wǎng)絡(luò)中的流量進(jìn)行精確的識別,也就談不上加以管控和過濾了。在當(dāng)今的技術(shù)背景下,要精確的識別流量,必須要基于應(yīng)用、行為的特征來實現(xiàn),正如當(dāng)今醫(yī)學(xué)上要準(zhǔn)確的確定一個人,絕不能再僅僅基于其身高、體貌來判斷,而是要檢驗其指紋甚至DNA的特征,利用網(wǎng)絡(luò)數(shù)據(jù)包的“指紋”、“DNA”對數(shù)據(jù)類型進(jìn)行鑒別的技術(shù),就是我們常說的基于應(yīng)用層的應(yīng)用識別技術(shù)。
下一代防火墻從容應(yīng)對應(yīng)用層威脅
作為網(wǎng)絡(luò)應(yīng)用層安全、管理方面的專家,網(wǎng)康科技利用專有的應(yīng)用特征和行為特征檢測技術(shù),可以精確的識別網(wǎng)絡(luò)中的各種應(yīng)用,目前網(wǎng)康科技的應(yīng)用特征庫已經(jīng)收錄了超過3000種互聯(lián)網(wǎng)應(yīng)用,還包括700余種移動互聯(lián)網(wǎng)應(yīng)用,是目前國內(nèi)最全面的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)庫。
在對海量應(yīng)用精確識別的基礎(chǔ)之上,網(wǎng)康科技下一代防火墻通過簡單的策略配置,即可實現(xiàn)對各種應(yīng)用的細(xì)粒度控制,可完全阻斷與企業(yè)業(yè)務(wù)無關(guān)的高風(fēng)險應(yīng)用,對于支撐業(yè)務(wù)開展必須保障的關(guān)鍵應(yīng)用,可進(jìn)行攻擊防護(hù)、入侵防御、病毒防護(hù)、間諜軟件防護(hù)、URL過濾等一體化的安全檢查,并利用主動防御的管理接口對網(wǎng)絡(luò)中的可疑行為進(jìn)行關(guān)聯(lián)分析,幫助網(wǎng)絡(luò)管理者及時發(fā)現(xiàn)未知的、隱蔽性強(qiáng)的威脅。同時,網(wǎng)康科技下一代防火墻具有十余種用戶識別手段,內(nèi)嵌了全球最大的中文網(wǎng)頁URL分類庫,綜合對人、應(yīng)用、內(nèi)容的管控和安全防護(hù),可幫助企業(yè)構(gòu)建穩(wěn)定、高效的安全網(wǎng)絡(luò)。
防火墻走向下一代,安全更上一層!
京公網(wǎng)安備 11010502049343號