进入Web2.0时代,各种基于Web的网络攻击层出不穷,传统防火墙已无力招架,更具针对性、能防御各种攻击的下一代防火墙应运而生。近日,企业网安解决方案的领先供应商Secure Computing,正式宣布对身份识别解决方案供应商Securify进行收购。通过此次收购,Secure Computing将能够为用户提供具备应用检测和用户感知访问等多重功能的下一代防火墙产品。下一代防火墙市场,即将展开新一轮的市场抢位战。
Web2.0威胁使传统防火墙过时
与上一代网站相比,Web2.0网站最大的特点便是开放性和交互性,用户只需简单操作便能在Web2.0中创作内容。这在给普通用户带来便利的同时,也为黑客的恶意攻击开启了方便之门。
当今最常用的防火墙采用的安全模式主要为使用签名阻止已知不良数据包。然而,面对SQL注入式攻击、URL篡改、跨站脚本攻击等复杂的Web应用漏洞攻击,这种“消极”的安全模式几乎无能为力。这是因为该防护方法无法处理比较网络中来回传输的每个数据包所需的签名数量。在大多数情况下,由于对环境性能造成影响,通过签名进行应用层过滤的产品马上会被关闭,使网络缺乏所需的防护。即便部分安全供应商向传统有状态数据包过滤器中添加签名,但面对黑客采用的混淆技术,这些签名根本无法执行有效保护。黑客们只需通过加密有效负载或者每次使用不同的技术将恶意程序发送至新的主机,便可轻松逃避签名。
总之,面对基于应用层的威胁,传统的防火墙已经过时。然而,据相关调查数据显示,如今70%以上的成功攻击均以应用程序为目标,基于应用层的防火墙,即下一代防火墙呼之欲出。
众说纷纭 莫衷一是
“下一代防火墙”这一名词提出以来,便在业界引起了广泛争议,有人说它是具备多重安全防护功能的多功能安全设备,即多功能防火墙;也有人认为它是UTM发展到最高阶段的表现形式……各安全厂商纷纷从自身的专业角度为其定义,只是谁也无法说服谁。即便是权威第三方机构Gartner给出的定义——“下一代防火墙是将防火墙过滤与入侵防御系统(IPS)结合在一起的防火墙”,也无法统一意见。
尽管目前业界关于下一代防火墙的定义仍然莫衷一是,然而这并不会影响用户对其的需求。用户关心的不是“什么是下一代防火墙”,而是“什么产品能帮助他们解决Web2.0环境下产生的新安全隐患”。基于这点认识,我们不妨从用户的实际安全需求,看看下一代防火墙产品应该具备哪些特点?
特点一:为受保护服务器披上“隐形”外衣
映射或指纹识别网络资产,几乎是所有网络攻击的第一步。因此,隐藏网络资产使其避开黑客的Internet扫描,是防火墙解决方案的首要职责。
传统的防火墙产品只能集合部分数据流,在数据通过受保护的服务器时,将它们与基于消极模式的签名进行比较。如果签名与已知不良数据包匹配,即丢弃该数据包,而其他数据流组成仍可以自由通过,这就可能出现当数据流全部集合时,对内部服务器产生突然攻击的情况。而解决这一问题的最佳办法,就是从源头上阻断黑客与受保护服务器的连接。因此,下一代防火墙产品必须具备阻断客户端服务器的功能。
来自Secure Computing的Secure Firewall设备,能完整集合所有数据流,并在防火墙的入口点终止连接。然后,建立新的空数据表,并基于策略配置仅将原始软件包中的这些部分拷贝到数据表中。由于黑客无法直接与受保护的服务器连接,相当于为服务器披上了一件“隐形”外衣,黑客无法窥探任何网络资产,从而大大降低了网络被攻击的风险。
特点二:既攘外又安内
传统的防火墙产品只能对外部攻击进行防御,然而,随着网络的日益开放,企业内网用户可执行的应用越来越多,来自企业内部的风险成为更为重大的安全隐患,如何有效控制内部用户访问成为企业安全的焦点。这就要求下一代防火墙产品,能够对所有进、出网络的常规的及密集流量进行监控,识别并检查应用行为。
Secure Firewall包含了针对超过20万个已知病毒与攻击的签名防护,并且基于全球信誉系统TrustedSource的支持,能对各种未知攻击进行有效侦测和防护。此外,它还可对特定的流量设置特定的过滤规则,并具备高度兼容的IPS签名服务及精颗粒度的过滤。收购Securify后,Secure Computing将进一步整合其在用户网络访问行为监控方面的技术优势,为用户提供对内、对外的双向防护安全解决方案。
特点三:性能高 效率更高
性能和效率,一直被认为是防火墙产品无法兼顾的两种特性。随着防火墙功能的不断增加,性能低下的问题也日益突出。有调查显示,某些厂商的百兆产品,在单独打开网关防毒功能后,性能下降到8M;如果单独打开IPS功能,性能也接近8M;如果两项功能全部打开,性能下降到6M。有些产品甚至可以到达96%的性能下降。是否能在性能和效率之间找到完美的平衡点,也成为衡量下一代防火墙产品的重要标志。
Secure Firewall拥有超过40个基于应用的代理,包括对电子邮件、Web、Oracle、Citrix、SQL、VoIP与其它高使用率互联网协议进行深入的应用过滤,过滤后允许的流量将以千兆速度通过,比流行的“深层检测”防火墙快3到4倍。此外,基于信誉的防护部署作为其第一道防线,可以在周边快速拒绝公众Internet中IP地址、网络或域的不良信誉连接。而通过基于Geo-Location的过滤技术在周边应用策略,基于国家来源拒绝或进一步过滤连接。这就好比直接消灭导弹发射者,而不是费力去迎击其发射过来的每枚导弹。这样不仅能显著减少风险,还能节省许多不必要检查所耗费的时间及费用。Secure Firewall真正满足了用户对防火墙产品高性能、高效率的双重需求。
下一代防火墙的概念虽然终难下定论,然而,企业用户的需求却是可以感知的。日益成形的下一代防火墙市场烽烟正起,各大网安厂商最后谁能独领风骚,且让我们拭目以待。
