在傾聽客戶講述這件事情的時間��,我?guī)缀蹙鸵攬鲎鞒龌卮鹆�����。但這一次,我終于做到了僅僅只是在認真傾聽���。除此之外��,所面臨的實際問題依然是如果這位員工所說的內容是正確的該怎么辦?由于對該問題沒有足夠了解����,我決定開始對下一代防火墻(NGFW)進行深入的了解���。為此��,我甚至專門撰寫了一篇文章來對從中學到的東西進行介紹���。
在撰寫這篇文章之前,有一個問題出現(xiàn)在了我的面前:下一代防火墻都屬于結構非常復雜的多功能設備����,這導致進行測試的難度變得非常大�。人們不能僅僅將設備安裝起來�,就呆在那里旁觀事情的發(fā)生。除此之外�,我也恰巧認識一位可以提供幫助的專業(yè)人士。
我需要一些幫助
他就是軟件與數(shù)字設備研究與測試公司NSS實驗室的創(chuàng)始人兼首席執(zhí)行官里克·莫伊���。幾年前��,我將NSS實驗室加入到自己的關注列表中����。而選擇這么做的理由就是NSS實驗室屬于完全自主的中立機構��。里克在這方面的態(tài)度非常堅決:
最重要的就是�����,這意味著NSS實驗室的使命就是向信息技術公司提供他們花費數(shù)百萬美元購買產(chǎn)品基于測試結果的無偏見評價���。我們的職責不是簡單地“證明”這些產(chǎn)品可以做什么��,而是找出它們不能完成什么工作�,或者其中的極限在哪里——這經(jīng)常會導致供應商非常惱火。
基本上�����,我們的職責是為所服務的客戶——信息技術公司提供支持����。不象其它分析師和測試實驗室,我們在進行研究或制作公共測試報告的時間不接受贊助或資助��。
讀者如果希望了解有關NSS實驗室更多信息的話�����,可以看看YouTube上的這段視頻���。
基于現(xiàn)實環(huán)境的全面測試
在看完這段視頻后,大家可能就會發(fā)現(xiàn)讓我著迷于NSS實驗室的某些原因�����。里克和他的團隊采用了獨特的方式來對設備以及軟件進行測試���。一有可能�,他們就會針對現(xiàn)實環(huán)境進行取樣。對此�����,里克是這么解釋的:
在基于現(xiàn)實環(huán)境的全面測試中�����,最關鍵的部分就是采用目前網(wǎng)絡犯罪分子正在使用的實時攻擊技術�����。而NSS實驗室分布在全球的威脅情報網(wǎng)絡正在對40個不同國家里的威脅態(tài)勢保持著持續(xù)監(jiān)視�����。
現(xiàn)實環(huán)境中發(fā)生的問題可以直接反饋到我們的現(xiàn)場測試工具上��。這樣的話�,我們就可以讓產(chǎn)品同時運行在各種配置上,并針對連接到互聯(lián)網(wǎng)上出現(xiàn)的實時威脅攻擊進行測試�����。這種模式讓我們可以實現(xiàn)防范來自任何特定時刻中現(xiàn)實威脅的目標���,并針對用戶保護情況作出最準確的評估����。
據(jù)我所知,沒有其它測試機構可以做到這一點��。為了確保沒有記錯�����,我特地詢問里克以便確定:
是的���,我們確實屬于獨一無二的選擇��。首先����,其它測試機構(實驗室和企業(yè)技術團隊)沒有建立起這么高級別的可見性或訪問技術來應對全球性威脅��。他們通常采用的是功能和方式有限的免費或現(xiàn)成產(chǎn)品���。
而我們所使用的現(xiàn)場測試工具則屬于完全自主設計和內部開發(fā)的。建立并運行這種類型的基礎設施就意味著大量復雜工作以及高昂成本��。對于供應商贊助的測試實驗室來說,技術和財務方面的限制都會讓這種高效自動化的處理流程無法得以實現(xiàn)����。
大家現(xiàn)在明白了,為什么在涉及到防火墻問題的時間��,我會毫不猶豫地直接聯(lián)系里克的原因么�����。
下一代防火墻面對的測試環(huán)境
對下一代防火墻進行實際測試確實超出了我個人的能力范圍����,但對于NSS實驗室來說,答案顯然就是否定的——這里就是下一代防火墻測試方法的書面文檔�����。對于正在認真考慮購買下一代防火墻的讀者來說��,我個人強烈建議仔細閱讀一下這些資料���。
從文件的一個章節(jié)中�,我發(fā)現(xiàn)NSS實驗室建立的測試網(wǎng)絡非常有趣�����。
在測試中,NSS實驗室采用了思科Catalyst 6500系列交換機(光纖和銅纜千兆接口)來建立一張配置多個千兆接口的網(wǎng)絡�。
網(wǎng)絡流量發(fā)送和接受設備——采用的是BreakingPoint和思博倫Smartbits之類的傳輸端口——實現(xiàn)“內部”和“外部”網(wǎng)絡之間的連接。
攻擊者可以連接到外部網(wǎng)絡上���,而與此同時易受攻擊的主機和面向互聯(lián)網(wǎng)的服務器 (如Web�、FTP等等)則會連接到包括非軍事化區(qū)域(DMZ)的內部網(wǎng)絡����。這讓我們可以根據(jù)產(chǎn)品的部署和使用情況針對多種方案進行全面的性能測試。
看起來�����,NSS實驗室似乎做好了進行完全測試的準備����。但是����,我希望對下一代防火墻相關情況進行更為深入的了解。而下面列出的內容����,就是我所找到的��。
卡斯勒:剛才�,你介紹了現(xiàn)實威脅以及網(wǎng)絡方面的情況��。因此��,現(xiàn)在的問題就是:在對下一代防火墻進行測試的時間����,你究竟會怎么做?
莫伊:在針對下一代防火墻的第一次全面測試中,我們會將重點集中在基本功能����、性能以及應對受控攻擊的有效性等領域中。這些攻擊將來自互聯(lián)網(wǎng)����、類似Metasploit和ExploitHub的開源工具以及其它行業(yè)合作伙伴。
我們將利用1500多種獨立方式來攻擊通用漏洞披露(CVE)系統(tǒng);考慮到所模擬的是非常關鍵的企業(yè)環(huán)境��,因此還將使用到通用安全漏洞評估系統(tǒng)(CVSS-7+)�。這里面將包含有遠程服務器攻擊,以及大量針對瀏覽器�����、插件和辦公應用軟件的客戶端攻擊。
在針對隱藏在下一代防火墻后面的目標機器進行攻擊后��,我們將對目標機器返回的命令外殼程序進行監(jiān)測��。如果做到了這一點��,就意味著攻擊者獲得了終端的完全控制權���。而這就說明攻擊獲得了成功����,下一代防火墻沒有起到有效的保護作用��。
即便在沒有連接到互聯(lián)網(wǎng)的情況下�����,我們就已經(jīng)發(fā)現(xiàn)了幾個客戶必須認識到的問題和限制�。下一階段的測試將在第二季度開始,我們將利用來自互聯(lián)網(wǎng)上的威脅對下一代防火墻進行測試���。
卡斯勒:在文檔中�����,你提到了測試的具體標準���,里面包括了:安全有效性、抗規(guī)避性�、性能、穩(wěn)定性以及總體擁有成本�����。你能否對所有類別進行一下簡要說明?我特別感興趣的就是“抗規(guī)避性”����。它究竟是什么意思?
莫伊:除了現(xiàn)場測試架構以外,我們還建立了一張包含有漏洞系統(tǒng)和攻擊系統(tǒng)的大型內部網(wǎng)絡�����,以便進行安全有效性方面的測試�����。只有通過對現(xiàn)實攻擊所產(chǎn)生的后果進行深入了解��,我們才能夠發(fā)現(xiàn)哪些產(chǎn)品可以真正阻止它們。
規(guī)避技術指的是攻擊者對采用的入侵形式進行偽裝以達到繞過傳統(tǒng)安全工具針對原始攻擊所進行檢測的模式��。在測試中��,我們會對攻擊進行調整��,就如同真正的惡意黑客所以做的那樣���,看看哪些產(chǎn)品會發(fā)現(xiàn)原始以及變形后的攻擊���。
在性能測試中,我們會利用BreakingPoint系統(tǒng)來提供最高80 Gbps的現(xiàn)實網(wǎng)絡流量����。當然,數(shù)據(jù)吞吐量僅僅屬于測試中很小的一部分內容���。對于數(shù)據(jù)中心和外圍設備來說���,潛伏期的影響、每秒連接數(shù)以及可以達到的最大并發(fā)連接數(shù)等項目才屬于關鍵參數(shù)�����。
穩(wěn)定性測試是我們測試中最困難的項目之一。我們將會運行電池相關方面的協(xié)議以進行長達數(shù)天之久的模糊以及突變測試��。在我們針對下一代防火墻進行的測試中��,有一半產(chǎn)品在這一步中剛開始就以某種方式崩潰����。
最后����,終于到了總體擁有成本分析階段。現(xiàn)在����,我們將針對很多涉及因素進行全面分析。由于價值并不僅僅局限在成本之中����,所以我們也將針對:
每兆位/秒的安全性會有多高。
產(chǎn)品規(guī)模是否會給工作人員帶來壓力���。
管理控制臺和模式是否需要額外的運營商來對提示信息進行監(jiān)測和處理����。
卡斯勒:在測試完幾種模式的下一代防火墻后,你覺得測試結果中的哪些產(chǎn)品以及什么功能屬于比較令人向往的?
莫伊:我們向所有防火墻供應商都發(fā)出了提交產(chǎn)品進行免費測試的邀請����。最終的結果是收到了來自梭子魚、Check Point����、飛塔、瞻博�����、帕洛阿爾托網(wǎng)絡���、音墻網(wǎng)絡和磐石網(wǎng)絡等公司的參評設備��。
該測試的研究報告����、測試結果����、RFP工具以及分析服務都提供了訂閱選項��。感興趣的讀者也可以訪問我們的網(wǎng)站來獲取更多信息��。
卡斯勒:里克�,我知道你對于第一代防火墻有著非常深入的了解——你覺得下一代防火墻的進步很大么?公司是否應該開始考慮更換現(xiàn)有的系統(tǒng)了?
莫伊:下一代其實屬于營銷方面的術語�����,它并不一定意味著對于所有公司和應用案例的實際效果都會“更好”�����。公司需要做的是認真考慮自身實際需求��,而是否屬于下一代防火墻并不屬于很重要的問題��。
舉例來說����,很多下一代防火墻產(chǎn)品中都包含了性能和潛伏期方面的功能�����,這導致會無法針對特定應用程序和數(shù)據(jù)的需求進行有效處理�����。而這里面就可能會包含有市場交易數(shù)據(jù)或者實時的低延遲應用。
更有趣的是��,很多產(chǎn)品還表現(xiàn)出第一代產(chǎn)品就有的典型質量問題:穩(wěn)定性����、性能和管理等方面的困難。由于從很多方面來看����,下一代防火墻都屬于全新的產(chǎn)品。所以��,用戶不能抱有將防火墻加進入侵防御系統(tǒng)就開始幻想以后可以萬事無憂了的態(tài)度�����。實際上����,添加應用程序標識以及控制方面的工作反而會變得更加具挑戰(zhàn)性。供應商將不得不對這些產(chǎn)品的體系結構進行重新考慮�����。
最后的思考
提醒一下,千萬別忘了感謝某位客戶公司的員工��。要不是他的話——以及我的自負——就不能讓我可以向客戶提供更好的建議了����,F(xiàn)在,基于NSS實驗室的測試����,她就可以針對下一代防火墻是否適合自身業(yè)務情況作出決定了。
