▲從左至右：梭子魚中國(guó)區(qū)總經(jīng)理趙強(qiáng)、梭子魚全球產(chǎn)品營(yíng)銷副總裁Gautam Aggarwal、IT168企業(yè)級(jí)總編洪釗峰

安全威脅的變化與梭子魚應(yīng)對(duì)之策

企業(yè)所面臨的安全風(fēng)險(xiǎn)越來越復(fù)雜，云安全、BYOD趨勢(shì)、APT攻擊等等，針對(duì)這些趨勢(shì)給企業(yè)所帶來的安全風(fēng)險(xiǎn)，梭子魚全球產(chǎn)品營(yíng)銷副總裁Gautam Aggarwal分析時(shí)談到，這些趨勢(shì)是傳統(tǒng)網(wǎng)絡(luò)安全威脅的拐點(diǎn)，過去企業(yè)只是應(yīng)對(duì)單一的網(wǎng)絡(luò)攻擊，而現(xiàn)在新的安全威脅的出現(xiàn)造成了多樣性的APT/混合攻擊，攻擊者不再需要親臨攻擊目標(biāo)所在地就可以創(chuàng)建自動(dòng)化的僵尸來控制目標(biāo)網(wǎng)絡(luò)或服務(wù)器。

▲梭子魚全球產(chǎn)品營(yíng)銷副總裁Gautam Aggarwal

分析網(wǎng)絡(luò)犯罪的過程，可以分為三個(gè)步驟：一是感染用戶和設(shè)備、二是利用被感染的用戶或設(shè)備攻擊應(yīng)用、第三才是破壞數(shù)據(jù)。針對(duì)網(wǎng)絡(luò)犯罪的特點(diǎn)，Gautam介紹了梭子魚的應(yīng)對(duì)之策，他表示，梭子魚的安全產(chǎn)品系列可以從網(wǎng)絡(luò)、數(shù)據(jù)中心、遠(yuǎn)程訪問以及移動(dòng)用戶等幾個(gè)方面來對(duì)抗這些攻擊向量，同時(shí)梭子魚的方案平臺(tái)有能力為各種復(fù)雜環(huán)境提供相同級(jí)別的安全保護(hù)。

“梭子魚一直致力于反病毒和反垃圾郵件技術(shù)的研究，這讓我們有能力對(duì)抗當(dāng)下出現(xiàn)的高級(jí)惡意軟件和復(fù)雜的威脅，并且可為企業(yè)提供合適的保護(hù)架構(gòu)。” Gautam談到。

下一代防火墻如何應(yīng)對(duì)復(fù)雜安全風(fēng)險(xiǎn)

▲梭子魚中國(guó)區(qū)總經(jīng)理趙強(qiáng)

目前，企業(yè)信息化程度在不斷加深，各種業(yè)務(wù)的應(yīng)用也越來越廣泛，信息安全防護(hù)的難度也變得越來越大，傳統(tǒng)的防火墻已無法滿足這樣復(fù)雜多樣的安全防護(hù)需求。梭子魚中國(guó)區(qū)總經(jīng)理趙強(qiáng)談到，傳統(tǒng)防火墻能提供L3/L4的安全防護(hù)，隨著各類的應(yīng)用成為每個(gè)企業(yè)的重要組成部分，對(duì)于L7(應(yīng)用層)的需求也成為防火墻的強(qiáng)制性要求，但下一代防火墻還需要超越應(yīng)用的可視性，它們要實(shí)現(xiàn)用戶可視性(身份識(shí)別)和應(yīng)用可視性的無縫對(duì)接，以便創(chuàng)建合適的安全配置文件/策略、應(yīng)用流量智能管理以及推動(dòng)網(wǎng)絡(luò)優(yōu)化。在此之上，下一代防火墻要先解決已知的安全威脅/簽名和提供惡意軟件保護(hù)的未知 /混合的安全威脅。

在大多數(shù)企業(yè)常見的網(wǎng)絡(luò)環(huán)境中，梭子魚下一代防火墻都被設(shè)計(jì)成自下而上“分布式體系結(jié)構(gòu)”的部署。Gautam在介紹梭子魚下一代防火墻的優(yōu)勢(shì)時(shí)表示，梭子魚下一代防火墻在特性和功能方面已超越了目前市場(chǎng)上的其他下一代防火墻，梭子魚下一代防火墻將應(yīng)用識(shí)別和用戶可視性結(jié)合起來定義安全策略、智能流量管理(對(duì)多ISP鏈路進(jìn)行鏈路均衡)以及流量?jī)?yōu)化(QoS策略，TFO，緩沖，壓縮)。

為豐富梭子魚下一代防火墻的產(chǎn)品結(jié)構(gòu)，已為用戶提供了網(wǎng)絡(luò)訪問控制、動(dòng)態(tài)路由以及遠(yuǎn)程訪問VPN支持(IPSec，SSLVPN)等內(nèi)置功能，同時(shí)還有AV引擎可對(duì)事先的惡意軟件威脅提供完整的保護(hù)。

除了產(chǎn)品的功能，下一代防火墻在應(yīng)對(duì)復(fù)雜安全風(fēng)險(xiǎn)時(shí)必須考慮的關(guān)鍵點(diǎn)是對(duì)防火墻的持續(xù)管理。在許多情況下，發(fā)生安全事故僅僅是由于防火墻的錯(cuò)誤配置。防火墻的錯(cuò)誤安全配置每年都會(huì)被列入OWASP十大安全威脅之中。

“云”里依然需要防火墻

“信息正在快速的轉(zhuǎn)移到云中，但是即便是云，也需要保護(hù)，所以不要認(rèn)為防火墻會(huì)成為可有可無的項(xiàng)目，盡管防火墻的形成要素可能會(huì)從硬件轉(zhuǎn)變?yōu)樘摂M形式。”Gautam談到。

出于對(duì)“用戶、設(shè)備和應(yīng)用識(shí)別”的迫切需要;傳統(tǒng)防火墻不再能滿足網(wǎng)絡(luò)需求，它們將被下一代防火墻所取代，但是用戶要意識(shí)到有很多廠商并不喜歡下一代防火墻，他們認(rèn)為下一代防火墻只是在傳統(tǒng)防火墻上添加了一些額外的特性而已。Gautam認(rèn)為目前來看，IT消費(fèi)化、BYOD、社交媒體以及惡意軟件威脅已經(jīng)成了每個(gè)企業(yè)都要面臨的新挑戰(zhàn)，這種趨勢(shì)會(huì)推動(dòng)防火墻的發(fā)展，即便有部分廠商并不認(rèn)為合適的防火墻就能贏得戰(zhàn)斗。

針對(duì)目前企業(yè)在選型下一代防火墻時(shí)，Gautam也給出了一些關(guān)鍵的考慮因素供企業(yè)用戶參考，具體包括：

• 分布式架構(gòu)——部署需考慮的遠(yuǎn)程站點(diǎn)數(shù)量。

• L3/L4網(wǎng)絡(luò)安全——IDS/IPS，用戶驗(yàn)證，網(wǎng)絡(luò)訪問控制

• 惡意軟件保護(hù)——AV引擎，Web過濾

• 端到端代理——把云基礎(chǔ)的Web安全和NG裝置整合起來

• L7應(yīng)用檢測(cè)——應(yīng)用，子應(yīng)用，地理位置，嵌入式內(nèi)容(匿名)

• 智能流量管理——鏈接均衡/支持多ISP鏈接,包括3G/UMTS接入

• 網(wǎng)絡(luò)優(yōu)化——流量控制，TCP流量?jī)?yōu)化，壓縮和緩存

• 集中式管理——分布式地址，多用戶，多管理員角色，粒度報(bào)告和實(shí)時(shí)監(jiān)控

Gautam表示，無論是中國(guó)還是世界各地，下一代防火墻的發(fā)展方向都將是如何提升其執(zhí)行效率，如何將其與最新的云安全和應(yīng)用服務(wù)相結(jié)合，如何對(duì)L7 DDoS攻擊做出響應(yīng)，如何提供惡意軟件保護(hù)抵御混合式攻擊，以及能繼續(xù)有效的執(zhí)行所有L3/L4網(wǎng)絡(luò)安全功能同時(shí)擴(kuò)大網(wǎng)絡(luò)的需求及其復(fù)雜度。

梭子魚在中國(guó)市場(chǎng)的策略

Gautam談到，從技術(shù)的角度來講，中國(guó)的市場(chǎng)沒有特殊性，所有的技術(shù)無論是攻擊還是防護(hù)都是通用的，從很多針對(duì)位于中國(guó)的系統(tǒng)攻擊是通過國(guó)外受感染的設(shè)備所發(fā)起這一點(diǎn)就可以看出。中國(guó)的安全市場(chǎng)和國(guó)外的不同主要是由于國(guó)情、語言、應(yīng)用習(xí)慣等等因素造成的，更多的同內(nèi)容相關(guān)。在梭子魚的產(chǎn)品線上主要體現(xiàn)在Web安全網(wǎng)關(guān)這樣的產(chǎn)品上。因?yàn)橐^濾的網(wǎng)站不同，因此造成應(yīng)用上需要做出適當(dāng)?shù)恼{(diào)整，這種調(diào)整主要是需要新添加一些需要過濾的網(wǎng)址，針對(duì)這些本土網(wǎng)絡(luò)做一些適應(yīng)性調(diào)測(cè)。對(duì)此，梭子魚已經(jīng)聘請(qǐng)了新的本地的研發(fā)員工，開始建立特定的中國(guó)版本的過濾地址庫，相信會(huì)在今年下半年完成初步的版本。對(duì)于更多的產(chǎn)品，我們?cè)谥袊?guó)會(huì)延續(xù)已經(jīng)成熟的銷售形式。

zhangcun