随着网络安全威胁的日益严重,用户也开始关注安全的建设。而现阶段的安全威胁在种类上越来越丰富,攻击形势也开始多样化。从早期的病毒蠕虫到现在非常普遍的恶意代码,盗号木马、间谍软件、网络钓鱼以及大量的垃圾邮件等,无一不给用户的正常应用带来了严重的安全威胁。受到攻击的用户轻则黑屏死机,重则造成个人经济利益上的损失。同时,针对服务器的Web应用层攻击(包括SQL注入及跨站脚本攻击等)成为目前的流行方式,造成大量对外提供业务的服务器的网页篡改或者服务器瘫痪拒绝服务等。
安全威胁的演变直接推动了安全技术的发展,回顾安全产品和解决方案的发展历程,我们可以看到,新形势下安全技术的发展有以下显著特点:
1) 从技术发展的角度看,深度的内容安全是目前热点的技术研究方向
在安全建设的初级阶段,安全防护主要依靠的是传统的防火墙包过滤技术,入侵检测技术以及防病毒技术等“老三样”产品,这些产品在安全防护的初期阶段发挥了积极的作用,但是在新的安全威胁形势下,这些产品已经不能完全代表安全技术的形象。面对新的不同种类的安全威胁,我们必须要有新的技术手段进行识别和防护,而基于内容的深度安全分析已经成为目前的热点方向,包括基于特征匹配的深度分析以及基于行为识别的内容分析技术等。基于特征库签名的深度报文特征匹配是目前比较通用的一种方式,通过对报文的深度内容分析,获取安全攻击的典型特征,通过特征库匹配实现对网络攻击的入侵检测和防御;或者通过跟踪协议的状态交互,并通过和学习到的协议状态机模型来比对协议是否发生异常,从而检测出当前网络是否存在攻击发生。此外基于行为的模型学习和智能分析也成为目前最为有效的一种手段,通过对大量攻击行为的模拟和行为特征分析可以提前预知攻击行为的发生并及时告警和响应,从而规避风险。同时需要考虑的是安全不是一个静态的过程,因此及时跟踪最新的安全漏洞,研究新的安全威胁的行为就显得尤为重要。
2) 从产品演变的趋势看,多功能的UTM已经成为新一代中低端防火墙的发展方向
为了实现对各种安全威胁的防护,在Internet出口,企业往往需要考虑多种安全产品的集合部署,这种串葫芦式的部署方式,更多的是各种安全设备简单的堆砌,不仅增加了设备的采购成本,而且加大了后续安装维护的难度,这对于大部分企业来说绝非一个理想的选择。而集成多功能的UTM安全网关的出现,由于其all in one的优势,代表了新一代防火墙的发展趋势,受到了众多用户的青睐。优秀的安全网关可以从以下几个方面来衡量:
1、性能是否够高:这是安全网关的根本要求,没有性能作为支撑,再好的功能也没有用武之地,这也是早期部分厂商推出的UTM网关的致命弱点,全功能开启的性能参数比纯粹防火墙的性能参数下降很大,甚至降为十分之一,这是用户无法接受的。新一代的UTM网关产品得益于硬件平台的发展,在这个方面已经不是瓶颈。
2、特性是否完整:为了应对各种新型的安全威胁,多功能的安全网关除了对传统的交换路由支持外,对于FW/VPN,防病毒,防垃圾邮件以及基于Web的内容过滤等功能的支持也是必然的要求。需要强调的是:多功能集成并不代表是功能的简单堆砌串行处理,而是要在各功能的处理流程上进行整合,通过并行处理和内部信息交互等技术来实现效率和功能的平衡。
3、功能是否专业:由于安全技术点多而且相对分散,仅仅依靠单厂商的力量无法兼顾到各项技术的完美实现。通过开放合作,与业界知名厂商建立广泛合作,为用户提供业界最顶级的解决方案是最为合理的选择,在这个方面,具有可持续性发展能力的厂商更容易获得业界专业厂商的支持。
4、本地化应用是否支持:企业安全网关的部署,也需要考虑到本地化需求的支持。随着国内针对企业用户Internet出口流量带宽管理和用户上网行为审计需求的出现,安全网关厂商也应该有足够的研发能力可以及时跟进,快速响应用户的需求,在这个方面具备强大研发能力的本土厂商是运营商理想的合作对象。
3) 从硬件支撑方面看,基于多核+ASIC的硬件架构已经成为安全业务网关的主流平台
在安全网关硬件平台的演进方面,从早期的基于X86通用处理器的架构,到后来的NP架构,FPGA架构以及ASIC架构等,其优缺点体现的都非常明显:
基于通用处理器的集中式架构很好的满足了防火墙灵活多变的应用需求,但是性能上的缺陷却成为其在高端市场或者是多功能网关市场上发展的瓶颈问题,无法满足用户的性能需求。而ASIC、FPGA或者NP架构的防火墙性能优势明显,但是可扩展性差,灵活性不足,用户必须要为新业务的扩展投入新的成本,它已无法适应业务功能不断丰富、业务需求不断变化的防火墙的应用。因此,具备良好的业务扩展能力、软件编程可继承性、高性能并行处理的多核硬件平台成为新形势下安全网关发展的首选。
基于多核的硬件平台,能够有效的解决多功能和高性能这对矛盾,使得安全在功能灵活性和设备性能上均达到了新的高度。多核处理器将多个通用的CPU以及一些功能部件集成到一块芯片中,它良好的继承了通用处理器高灵活性和高可扩展性的特点,业务升级和扩展灵活方便,通过软件升级便可以更新系统获取最新的安全威胁防御功能。同时,通过多线程技术可以充分利用访问内存或者I/O时所必须等待的时间,尽可能的发挥多个CPU的并行处理能力,从而提高了整体系统的性能,高速的核间通讯技术使得各个核间、核与其它功能部分之间在同一时间各自并行的传递数据,打破了以核间通讯以及系统其他部件间通信的性能瓶颈,使系统性能得到保证。
在中低端安全网关市场,基于多核的硬件平台已经成为标准化的支撑平台,而在高端安全网关市场,基于多核+ASIC的分布式架构由于各自优势的结合也成为主流的设计方向。
4) 从解决方案的建设思路看,要实现从被动防御到主动防御,从局部安全到智能安全防护的转变
在与安全威胁进行博弈的过程中,我们也经历过头痛医头的局部安全被动防御的尴尬。从安全防御的效果来看,站在终端用户的角度,虽然PC系统安装了防火墙和各种杀毒软件,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰,而在网络层面尽管部署了IDS入侵检测产品,但是受制于检测算法的局限和硬件平台的性能瓶颈,在攻击检测的提前预警、减少误报率,以及发现攻击之后的及时响应方面都存在不足。另外,运营商和企业的内网安全防护也并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理、上网行为审计以及合规性管理等方面都是需要考虑的重点。
因此,在进行安全威胁的防护时,更多的是需要在从整体安全防护的角度来看待问题,要从Internet接入,桌面终端安全接入,内部安全域隔离划分等方面来综合考虑对业务支撑系统的安全加固。需要从被动的安全防御向主动安全防御的思路转变,从针对单个系统、软硬件及程序本身的安全保障,向关注应用层、关注用户的行为安全的整体安全防御的方式转变,利用主动入侵防御的IPS产品来实现针对业务服务器的应用层安全防御,通过SIEM安全事件管理产品实现对全网安全事件的分析关联,并基于安全知识库的各种安全策略进行响应,从而实现安全威胁的实时监控和动态的调整,增强了网络安全的智能性。
归结起来,在如何更好的进行安全防护的问题上,只要我们遵循安全技术的发展趋势,及时根据安全形势动态调整安全策略,站在智能安全建设的角度,企业和运营商的安全建设必将上到一个新的台阶。