精准 智能 高效--诠释引领中国市场的下一代防火墙

  随着国家建设网络强国战略的出台,我国信息安全产业已再次迎来蓬勃发展的春天。业内分析人士指出,在快步增长的中国信息安全市场中,安全硬件市场长期占据半壁江山,而扼守网络边界的防火墙产品则是安全硬件市场中的顶梁柱。

  无独有偶,近日一项针对三百家企业用户的调研数据显示,超过89%的企业在进行信息安全建设时,首选防火墙设备。

  "进不来、拿不走、读不懂是传统安全建设的基本原则,让攻击者进不来,是需考虑的首要问题",一位软件企业CIO表示,防火墙犹如企业网络的守门员,几乎成为安全建设的必选项。

  三问防火墙用户引深思

  据悉,防火墙产品起源于90年代初,迄今为止已历经数代演进。根据《信息安全技术防火墙技术要求和测试评价方法》(我国防火墙技术的国家标准,GB/T 20281-2006)中的定义,在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了流经防火墙的数据,保证了内部网络和DMZ区的安全。

  然而,部署了防火墙真的安全吗?换言之,防火墙真的能够将攻击者拒之门外吗?业内专家指出,由于众多因素,当前多数在线的防火墙设备并未发挥最大效能,形同鸡肋。

  您是否还能记得防火墙的管理员账号和口令?

  您是否会使用防火墙建立一条访问控制策略?

  当网络出现异常时您是否能利用防火墙分析?

  三个问题看出防火墙用户当前窘境

  "三分技术,七分管理,是安全建设不变的铁律,不仅仅是防火墙,安全产品部署了一大堆,安全运维则始终难以落地,是国内用户的共性问题",一位长期从事防火墙项目实施的技术人员称,在所实施过的项目中,75%以上的用户在项目竣工一个月后便很少登陆防火墙设备,80%的在线设备仅配置了一条"any any any permit all"(防火墙中表示放通所有流量)的策略,更多的IT管理者在网络出现异常问题后首先想到的是呼叫救火队员(安全服务商)。

  "安全犹如踢足球,若不能将防线上提,对方前锋则始终有机会直接面对门将,球门失守在所难免",专家表示,长期以来,由于从不进行安全管理,缺乏有效的安全配置,防火墙非但没有发挥隔离器、限制器、分析器应有的作用,反倒成为了虚弱的"最后一道防线"。

  用户需要什么?精准–让安全少出错

  由于防火墙是不同网络安全域的唯一信息出入口,其通常部署于网络的"咽喉"位置,对于用户而言可谓利弊共生。利的方面是可对流经的所有数据进行检查和控制,而弊则体现于一旦误配置、误拦截则极易引发网络访问中断。

  据了解,一般的IT管理者将网络的可用性看的更重,宁铤威胁侵入之险,也不愿接受网络中断的用户绝非少数。因此全通的访问控制策略、仅做告警不做拦截的攻击防御规则在现有防火墙配置中广泛流行,更有甚者根本不开启安全功能,使防火墙形同虚设。

  研究表明,传统防火墙在配置访问控制策略时,常使用TCP协议端口标识需控制的流量,对于用户而言,控制一种流量则需首先确定该流量使用的端口号,无形中增加了误配置风险,用户常因拦截了错误的端口号,或封堵了其它应用复用的端口,造成计划外的业务中断。此外,传统基于签名的威胁识别技术误报率较高已是不争的事实,同样是合法流量被防火墙误拦截的主因之一。

  "首先,我们在下一代防火墙中嵌入了多年的研究成果,中国最大的应用识别库,这个识别库中包含了超过3100种的互联网应用以及700多种移动互联网应用,用户要控制一种流量时不需要再配置端口号,直接在我们的列表中选择应用名称或功能即可。对于威胁的识别和查杀,我们首创了防火墙产品病毒云查杀技术,利用云端更加丰富的资源、更快的响应速度,使病毒、恶意程序、恶意网址等威胁的识别准确度提升了近10倍",网康科技产品市场经理熊瑛说。

  网康下一代防火墙内置中国最大的应用识别库

  用户需要什么?智能–帮用户少思考

  据调查,不重视安全管理的防火墙用户并非全部,但长期以来"无感知"、"看不懂"、"不敢动"犹如三座大山困扰着用户。多数用户反映,每当网络中发生异常情况并非不想采取措施,但往往由于对自己的判断心存疑问便迅速打消了调整配置的念头,长此以往,同样促使防火墙成了摆设。

  产品专家表示,防火墙始终难以发挥一个分析器的作用,传统安全设备的异常输出仅能被少数专家关注并理解,面对设备提供的IP地址、端口号、流量统计等信息,并不足以帮助用户了解网络异常、及时预见风险。

  "人永远对图形更敏感,因此基于文本的告警、日志一般很难引起用户的注意",熊瑛表示,用户界面非常重要,同样的信息分别用文本和图形呈现出来,完全有可能产生不同的效果。除此之外,仅仅呈现统计结果,对于用户的价值并不大,用户需要的是对统计结果的进一步分析,经过分析后的信息才是真正支撑用户做出选择的依据。

  举例来说,正如我们在生活中看到手机上的陌生号码来电,并不能判断其是否为骚扰电话,在防火墙上仅告知用户一条连接建立于哪两个IP之间,用户也很难判断其是否为恶意流量,但若为IP赋予地理位置属性,用户则完全有可能快速注意到频繁与境外主机建立连接的用户。

  网康下一代防火墙中的目的国家统计

  又如,仅告知用户当前网络中各种流量的大小,一般的用户并不能以此推导出哪些是异常的,但若将此流量大小与先前同一时间点的情况进行对比,用户则可直接定位出网络中明显激增的流量。

  网康下一代防火墙以基线方式对比流量异常变化

  "让用户以更直接、便捷的方式了解到经过分析后的结果,对于用户及时发现问题并快速做出决定作用重大,这有助于用户将防线上提",熊瑛说。

  用户需要什么?高效–让响应更及时

  当用户基于了解到的信息作出决定后,高效的配置策略和规则,并高效的执行成为防火墙是否能够尽早防御威胁的关键。然而,由于配置逻辑复杂,多数用户并不具备快速调整防火墙安全配置的能力,尤其是各种高级功能集成入防火墙后,配置方法更加难以掌握,这无疑又为攻击者提供了时间条件。

  以一个典型的企业网需求场景为例,用户要求实现允许内网用户访问互联网,并对网页访问开启病毒防护,同时开启对用户PC的入侵防御功能,此外还要禁止电商、炒股网站访问并禁止外传所有Office文档。

  多数采用非一体化引擎的安全设备,往往需要在不同功能的配置页面下分别完成相应规则的建立,在上述的需求场景中,应首先在策略模块下新建一条允许上网的策略,接着到病毒防护模块下配置一条病毒查杀的规则,然后到入侵防御模块下启用针对用户PC的漏洞防护功能,用户在进行到此步骤时已在三个完全不同的页面下进行了大量复杂的操作,不少用户反映,在配置过程中经常会忘记接下来要配置的功能。

  而类似下一代防火墙这种采用一体化引擎的设备,由于各功能模块是有机融合在一起的,因此在同一个页面下配置就可以完成上述所有需求,以网康下一代防火墙为例,用户仅需在安全策略页面下新建一条策略,在其高级选项中按照界面约束好的顺序逐步开启病毒防护、入侵防御、URL过滤、数据防泄漏等功能,并且在"Loading-Profile"式的菜单中选择各功能的配置参数。

  网康下一代防火墙真正实现一体化配置

  "一体化的策略对于用户而言有两个最大的好处,首先是简化过程、提升效率,即便要启用多个功能也无需频繁跳出到不同的配置页面下;第二是逻辑清晰,绝对不会出现配置过程中忘记下一步的尴尬情况",网康下一代防火墙用户如是说。

  如何定义真正的下一代防火墙?

  下一代防火墙由Gartner定义于2009年,5年后重新审视其最初的概念,不难发现当时报告中提到的几个必须满足的硬性条件其实仅仅是一个最小化的功能集合。换言之,从某种意义上说,当前市场上不少所谓的集成防火墙、多功能防火墙甚至Web应用防火墙等均可以与此概念扯上关系。

  "我们始终认为下一代防火墙应该有两个标准,Gartner提出的属于技术上的定义,但站在用户角度来看,解决上一代问题的,才可以称之为下一代",熊瑛表示,在网康的理解中,下一代防火墙同样是一款边界安全设备,甚至可以说仍然是一款防火墙,和传统防火墙一样应当具备访问控制、攻击防御、安全管理等功能,只是在技术实现上要高出一个层面。

  同时,熊瑛特别强调,先前的经验已经证明,只有人充分利用设备才有可能较好的解决安全问题,下一代安全更加强调人参与其中。因此,对于用户而言,下一代防火墙应当是一款"控得准"、"看得懂"、"易操作"的设备,必须具备精准、智能、高效的特点,这是改变先前用户使用习惯,帮助用户通过使用防火墙提升安全防护水平的前提条件。

  近日,全球著名增长咨询公司Frost&Sullivan基于对下一代防火墙市场的专业调研分析,首次颁出下一代防火墙市场增长领导奖,网康科技凭借对下一代防火墙的深厚理解及卓越的产品品质,成为此项大奖的首个获得者,再次向业界证明网康科技在下一代防火墙市场的杰出产品贡献和技术优势,同时体现了其在行业整体发展和进步上所发挥的重要作用。

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:梭子鱼下一代防火墙现已在微软Azure虚拟机库中全新上线