近日����,IDC發(fā)布《中國(guó)下一代防火墻發(fā)展趨勢(shì)研究》白皮書,這是自2009年下一代防火墻概念被提出以來(lái)�,IDC首度就目前國(guó)內(nèi)下一代防火墻的市場(chǎng)格局、用戶訴求進(jìn)行分析�����,并重新對(duì)其技術(shù)定義和未來(lái)走向做出深入研究��。
道高一尺魔高一丈 防火墻應(yīng)與時(shí)俱進(jìn)
IDC認(rèn)為����,社交網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)�、大數(shù)據(jù)和云計(jì)算構(gòu)建的第三平臺(tái)加速了互聯(lián)網(wǎng)的變革,新的技術(shù)浪潮改變了現(xiàn)代企業(yè)的競(jìng)爭(zhēng)法則�����,同時(shí)也帶來(lái)了全新的網(wǎng)絡(luò)生態(tài)環(huán)境�。當(dāng)今的新威脅正由小范圍單點(diǎn)攻擊向著有組織、智能化的集團(tuán)沖鋒演進(jìn)���。
近日�����,網(wǎng)康科技安全實(shí)驗(yàn)室通過(guò)部署于Internet上的蜜罐系統(tǒng)成功捕獲了一次完整的數(shù)據(jù)庫(kù)服務(wù)器入侵過(guò)程����,其攻擊速度之快、手段之豐富����、過(guò)程之隱蔽令所有技術(shù)人員吃驚。
“從最初的掃描探查�、到口令破解、再到系統(tǒng)提權(quán)����,黑客完全控制服務(wù)器并開(kāi)始進(jìn)行惡意操作只用了短短的32分鐘,整個(gè)入侵過(guò)程是由多個(gè)攻擊源相互配合并按照一定流程共同完成的�,至少使用了5種攻擊手段,攻擊者使用FTP���、HTTP等多種方法向目標(biāo)植入了百余個(gè)惡意程序��,并存儲(chǔ)在了C盤多個(gè)系統(tǒng)文件目錄下��,攻擊者非常注意隱藏自己的攻擊行為”��,據(jù)網(wǎng)康科技安全實(shí)驗(yàn)室負(fù)責(zé)人張永臣介紹����,目標(biāo)一旦受控��,黑客往往通過(guò)在目標(biāo)主機(jī)上安裝有償推廣的軟件或在搜索引擎中搜索某些特定的關(guān)鍵詞(用于提升該關(guān)鍵詞的權(quán)重)以獲取經(jīng)濟(jì)利益�,同時(shí)目標(biāo)自身也自動(dòng)的加入到了攻擊者的行列,開(kāi)始向網(wǎng)絡(luò)上的其他主機(jī)滲透���。
安全專家指出���,上述案例其實(shí)只是當(dāng)前威脅的一個(gè)縮影,當(dāng)今幾乎所有的網(wǎng)絡(luò)攻擊均具有極高的智能程度并以組織化的形式運(yùn)作����。更為嚴(yán)重的是,黑客設(shè)計(jì)一次成功的網(wǎng)絡(luò)攻擊�,首先會(huì)考慮繞過(guò)現(xiàn)有的防護(hù)手段并隱蔽自己的攻擊行為。面對(duì)日趨復(fù)雜化�����、智能化的新型威脅��,目前相當(dāng)多的用戶仍在借助傳統(tǒng)的“老三樣”(防火墻�����、入侵防御、防毒墻)進(jìn)行防護(hù)��,表面上為網(wǎng)絡(luò)構(gòu)筑了銅墻鐵壁���,實(shí)則成為虛弱的“最后一道防線”�。IDC同時(shí)指出�����,企業(yè)廣泛采用的傳統(tǒng)防火墻由于其固有缺陷����,已經(jīng)無(wú)力應(yīng)對(duì)類似于上述案例中的攻擊,將現(xiàn)有的邊界安全設(shè)備升級(jí)至下一代防火墻已是大勢(shì)所趨���。
下一代防火墻必須具備的五大要素
眾所周之�����,扼守網(wǎng)絡(luò)咽喉的防火墻設(shè)備����,主要通過(guò)隔離、限制等手段對(duì)網(wǎng)絡(luò)流量中的越權(quán)訪問(wèn)以及惡意連接進(jìn)行識(shí)別和阻斷����,防火墻產(chǎn)品的歷次演進(jìn)均是圍繞著這兩大核心目標(biāo)而展開(kāi)的�����。如今��,距離下一代防火墻概念首度提出已時(shí)隔5年����,IDC在白皮書中提出,當(dāng)今的下一代防火墻必須具備5大核心要素以有力對(duì)抗新型威脅����。
1) 針對(duì)應(yīng)用、用戶���、終端及內(nèi)容的高精度管控
訪問(wèn)控制始終是防火墻類產(chǎn)品的核心功能���,面對(duì)應(yīng)用爆炸式發(fā)展、用戶接入手段多樣化、信息泄密問(wèn)題突出等多重挑戰(zhàn)�����,當(dāng)今的下一代防火墻應(yīng)持續(xù)增強(qiáng)其訪問(wèn)控制的精細(xì)度�。
白皮書特別強(qiáng)調(diào),應(yīng)用控制絕非傳統(tǒng)意義的阻斷應(yīng)用���,出于精細(xì)化控制的需求����,下一代防火墻應(yīng)該能夠控制各類平臺(tái)化應(yīng)用的子功能�,如QQ的文件傳輸?shù)龋瑫r(shí)還要能夠基于用戶和終端進(jìn)行控制����,而非傳統(tǒng)的IP地址,并且能夠?qū)δ承┨囟ㄎ募膬?nèi)容進(jìn)行深入過(guò)濾�����,以削減信息泄密的風(fēng)險(xiǎn)�。
應(yīng)用識(shí)別技術(shù)無(wú)疑成為滿足上述需求的本質(zhì),下一代防火墻在未來(lái)仍將持續(xù)提升對(duì)應(yīng)用�����、用戶、終端和內(nèi)容的識(shí)別能力����,并對(duì)加密流量、隧道封裝的數(shù)據(jù)進(jìn)行識(shí)別���,隨著應(yīng)用識(shí)別技術(shù)在廣泛度和精細(xì)度等方面的提升����,企業(yè)將逐步由目前的黑名單訪問(wèn)控制過(guò)渡至安全級(jí)別更高的白名單模式���。
2) 一體化引擎多安全模塊智能數(shù)據(jù)聯(lián)動(dòng)
上述攻擊案例已充分證明,當(dāng)今網(wǎng)絡(luò)威脅均為采用多種手段的復(fù)合式攻擊��,無(wú)論是事中的防御還是事后的溯源����,都要求下一代防火墻能夠?qū)⒍喾N安全檢測(cè)技術(shù)融合。為此���,白皮書中首度提出了下一代防火墻應(yīng)采用“一體化引擎”架構(gòu)�����,使其能夠全方位的防護(hù)安全威脅并實(shí)現(xiàn)智能的數(shù)據(jù)聯(lián)動(dòng)���。
產(chǎn)品專家認(rèn)為�,采用一體化引擎的優(yōu)越性諸多��,除了提升自身的防御能力外���,還體現(xiàn)在其他兩個(gè)方面���。首先,一體化引擎實(shí)現(xiàn)了數(shù)據(jù)的單路徑匹配��,數(shù)據(jù)包僅需一次解碼即可匹配所有威脅特征����,有助于設(shè)備性能的大幅提升,讓所有安全功能模塊能夠真正的開(kāi)啟并發(fā)揮作用�����。
第二����,對(duì)于隱蔽性極強(qiáng)的新型威脅�,單維的分析散落多處的信息對(duì)于盡早感知威脅已毫無(wú)幫助�。多安全模塊的融合,使得各個(gè)安全模塊在對(duì)數(shù)據(jù)檢測(cè)過(guò)程中產(chǎn)生的信息能夠充分關(guān)聯(lián)����,徹底改變傳統(tǒng)安全設(shè)備信息割裂的詬病,用戶無(wú)需進(jìn)行人工挖掘和分析即可全面掌握威脅全貌�。
3) 外部的安全智能
防火墻本地的運(yùn)算性能和檢測(cè)能力始終是有限的,下一代防火墻應(yīng)該具備聯(lián)動(dòng)外部安全智能系統(tǒng)的能力�。盡管這項(xiàng)要求早在2009年的定義中便有提及,但在當(dāng)時(shí)的技術(shù)背景下��,除了與用戶認(rèn)證系統(tǒng)聯(lián)動(dòng)之外����,并未明確描述與其他系統(tǒng)的聯(lián)動(dòng)��。
隨著云計(jì)算���、大數(shù)據(jù)技術(shù)的不斷成熟�,將云端的海量資源及大數(shù)據(jù)的高度智能用于判別日趨復(fù)雜的威脅����,已成為業(yè)界公認(rèn)的技術(shù)發(fā)展方向�����。近年來(lái)市場(chǎng)上也已經(jīng)涌現(xiàn)出了不少以云沙箱檢測(cè)����、病毒云查殺�����、威脅情報(bào)分析等為核心的新技術(shù)產(chǎn)品����。
鑒于這樣的技術(shù)環(huán)境,白皮書明確指出����,下一代防火墻應(yīng)當(dāng)具有與外部云計(jì)算聯(lián)動(dòng)的能力,并且能夠利用大數(shù)據(jù)分析技術(shù)應(yīng)對(duì)威脅特征庫(kù)中并未收錄的未知威脅����。
4) 可視化智能管理
防火墻設(shè)備的洞察力往往是廠商和用戶長(zhǎng)期忽視的一項(xiàng)能力,然而在更復(fù)雜的威脅面前�����,用戶需要更加及時(shí)的掌握網(wǎng)絡(luò)現(xiàn)狀、風(fēng)險(xiǎn)�、威脅、事件以及防御效果等用于支撐安全決策����,下一代防火墻的可視化技術(shù)尤為重要。
“智能”一詞對(duì)于下一代防火墻而言同樣是一項(xiàng)新的要求����,專家認(rèn)為,下一代防火墻要實(shí)現(xiàn)的可視化智能管理���,絕非傳統(tǒng)意義上的日志呈現(xiàn)和TOP 10排名�,真正的“智能”應(yīng)該是在多維統(tǒng)計(jì)的基礎(chǔ)上加以深入的分析��,并將結(jié)果呈現(xiàn)出來(lái)�,以幫助用戶更加快速的了解網(wǎng)絡(luò)風(fēng)險(xiǎn)并及時(shí)部署防御措施�����。
白皮書同時(shí)指出���,安全產(chǎn)品的有效性取決于操作安全產(chǎn)品的人員�,在信息安全專業(yè)人才緊缺以及安全設(shè)備用戶范圍日趨廣泛的大環(huán)境下,下一代防火墻應(yīng)當(dāng)簡(jiǎn)化配置難度�����、降低技術(shù)門檻并持續(xù)提升產(chǎn)品易用性�����。
5) 高性能處理架構(gòu)
性能是歷代防火墻產(chǎn)品永恒的話題����,IDC研究數(shù)據(jù)表明,當(dāng)前國(guó)內(nèi)傳統(tǒng)防火墻的市場(chǎng)份額在整體安全硬件中仍占比最高�����。究其根因���,并非用戶對(duì)下一代防火墻特有的功能缺乏需求��,而是由于很多大型網(wǎng)絡(luò)����、數(shù)據(jù)中心出口出于性能的考慮無(wú)法開(kāi)啟所謂的“下一代”安全功能。由此可見(jiàn)����,性能的高低決定了下一代防火墻能夠部署的場(chǎng)景和位置,以及能否為更多的網(wǎng)絡(luò)和系統(tǒng)提供保護(hù)�����。
白皮書特別強(qiáng)調(diào)��,今后的網(wǎng)絡(luò)安全是應(yīng)用層安全��,所有的流量都要進(jìn)行應(yīng)用層的深入分析���,因此下一代防火墻已將深度包檢測(cè)(DPI��,用于應(yīng)用識(shí)別及其它應(yīng)用層安全功能)作為其架構(gòu)中的基礎(chǔ)部件�,設(shè)備開(kāi)機(jī)即處于啟動(dòng)狀態(tài)��,并且鼓勵(lì)用戶打開(kāi)全部安全功能�����。對(duì)于下一代防火墻用戶而言��,真正有價(jià)值的參數(shù)是其應(yīng)用層性能以及開(kāi)啟全部安全功能后的性能����。
因此,IDC認(rèn)為下一代防火墻要滿足大型數(shù)據(jù)中心�、運(yùn)營(yíng)商網(wǎng)絡(luò)環(huán)境的性能要求,必須持續(xù)提高應(yīng)用層性能及多威脅安全檢測(cè)性能�����。
強(qiáng)強(qiáng)聯(lián)合 首度發(fā)布下一代防火墻白皮書
IDC分析師認(rèn)為�����,由于下一代防火墻有力并極大的提升了用戶應(yīng)對(duì)新威脅的能力�,無(wú)疑已經(jīng)成為順應(yīng)趨勢(shì)并且廣受用戶認(rèn)可的產(chǎn)品,同時(shí)也注意到當(dāng)前無(wú)論是國(guó)內(nèi)還是國(guó)外�,幾乎所有的傳統(tǒng)防火墻和UTM廠商均紛紛將其產(chǎn)品向下一代防火墻轉(zhuǎn)型。
縱觀整個(gè)信息安全行業(yè)�����,在最近10年發(fā)生了天翻地覆的變化���,從最早的國(guó)外廠商大行其道�����,到當(dāng)今國(guó)內(nèi)產(chǎn)品漸成主流�,從早先的“玩概念”,到如今的“重體驗(yàn)”�����,都充分說(shuō)明信息安全已經(jīng)從專業(yè)領(lǐng)域走向了全民關(guān)注���,這要求安全產(chǎn)品更加貼近用戶并更加清晰的呈現(xiàn)價(jià)值�。IDC認(rèn)為����,網(wǎng)康科技作為國(guó)內(nèi)新興安全技術(shù)廠商的優(yōu)秀代表,在這場(chǎng)傳統(tǒng)安全顛覆性大變革中正在發(fā)揮積極的作用�����。
據(jù)悉���,網(wǎng)康科技于2012年10月發(fā)布了國(guó)內(nèi)首款真正的下一代防火墻產(chǎn)品����,迅速得到了來(lái)自市場(chǎng)和用戶的積極反饋,如今產(chǎn)品上市已兩年時(shí)間����,其在同類產(chǎn)品中的多項(xiàng)指標(biāo)始終保持領(lǐng)先��。今年7月�,網(wǎng)康科技榮獲Frost&Sullivan頒發(fā)的“2014 中國(guó)區(qū)下一代防火墻市場(chǎng)增長(zhǎng)領(lǐng)導(dǎo)獎(jiǎng)”,向業(yè)界證明了其產(chǎn)品在市場(chǎng)上的增長(zhǎng)潛力和競(jìng)爭(zhēng)力���。本次與IDC聯(lián)合發(fā)布業(yè)界首個(gè)針對(duì)下一代防火墻展開(kāi)深入研究的白皮書�,再一次體現(xiàn)了其在下一代防火墻領(lǐng)域的領(lǐng)導(dǎo)地位�。
IDC中國(guó)助理副總裁要?jiǎng)傁壬砻?ldquo;IDC作為一家國(guó)際性的市場(chǎng)研究咨詢公司,在市場(chǎng)上可以幫助大家定義一些新型的技術(shù)���,當(dāng)前的防火墻技術(shù)在市場(chǎng)的發(fā)展沒(méi)有一個(gè)整體的標(biāo)準(zhǔn)�����,我相信網(wǎng)康公司很了解���,所以IDC第一個(gè)站出來(lái)對(duì)這個(gè)技術(shù)進(jìn)行一些我們的分析與研究����。在我們的研究過(guò)程中發(fā)現(xiàn)���,我們對(duì)于下一代防火墻的理解和定義��,和網(wǎng)康的下一代防火墻解決方案有著很高的契合度�����,所以我們選擇和網(wǎng)康科技共同發(fā)布這本白皮書”�����。
