在傾聽(tīng)客戶講述這件事情的時(shí)間,我?guī)缀蹙鸵?dāng)場(chǎng)作出回答了���。但這一次��,我終于做到了僅僅只是在認(rèn)真傾聽(tīng)����。除此之外�,所面臨的實(shí)際問(wèn)題依然是如果這位員工所說(shuō)的內(nèi)容是正確的該怎么辦?由于對(duì)該問(wèn)題沒(méi)有足夠了解,我決定開(kāi)始對(duì)下一代防火墻(NGFW)進(jìn)行深入的了解�。為此,我甚至專(zhuān)門(mén)撰寫(xiě)了一篇文章來(lái)對(duì)從中學(xué)到的東西進(jìn)行介紹���。
在撰寫(xiě)這篇文章之前�,有一個(gè)問(wèn)題出現(xiàn)在了我的面前:下一代防火墻都屬于結(jié)構(gòu)非常復(fù)雜的多功能設(shè)備�����,這導(dǎo)致進(jìn)行測(cè)試的難度變得非常大。人們不能僅僅將設(shè)備安裝起來(lái)����,就呆在那里旁觀事情的發(fā)生。除此之外���,我也恰巧認(rèn)識(shí)一位可以提供幫助的專(zhuān)業(yè)人士��。
我需要一些幫助
他就是軟件與數(shù)字設(shè)備研究與測(cè)試公司NSS實(shí)驗(yàn)室的創(chuàng)始人兼首席執(zhí)行官里克·莫伊��。幾年前�,我將NSS實(shí)驗(yàn)室加入到自己的關(guān)注列表中���。而選擇這么做的理由就是NSS實(shí)驗(yàn)室屬于完全自主的中立機(jī)構(gòu)�����。里克在這方面的態(tài)度非常堅(jiān)決:
最重要的就是�����,這意味著NSS實(shí)驗(yàn)室的使命就是向信息技術(shù)公司提供他們花費(fèi)數(shù)百萬(wàn)美元購(gòu)買(mǎi)產(chǎn)品基于測(cè)試結(jié)果的無(wú)偏見(jiàn)評(píng)價(jià)�����。我們的職責(zé)不是簡(jiǎn)單地“證明”這些產(chǎn)品可以做什么��,而是找出它們不能完成什么工作�,或者其中的極限在哪里——這經(jīng)常會(huì)導(dǎo)致供應(yīng)商非常惱火。
基本上����,我們的職責(zé)是為所服務(wù)的客戶——信息技術(shù)公司提供支持。不象其它分析師和測(cè)試實(shí)驗(yàn)室�����,我們?cè)谶M(jìn)行研究或制作公共測(cè)試報(bào)告的時(shí)間不接受贊助或資助��。
讀者如果希望了解有關(guān)NSS實(shí)驗(yàn)室更多信息的話����,可以看看YouTube上的這段視頻����。
基于現(xiàn)實(shí)環(huán)境的全面測(cè)試
在看完這段視頻后,大家可能就會(huì)發(fā)現(xiàn)讓我著迷于NSS實(shí)驗(yàn)室的某些原因�����。里克和他的團(tuán)隊(duì)采用了獨(dú)特的方式來(lái)對(duì)設(shè)備以及軟件進(jìn)行測(cè)試。一有可能���,他們就會(huì)針對(duì)現(xiàn)實(shí)環(huán)境進(jìn)行取樣����。對(duì)此�,里克是這么解釋的:
在基于現(xiàn)實(shí)環(huán)境的全面測(cè)試中,最關(guān)鍵的部分就是采用目前網(wǎng)絡(luò)犯罪分子正在使用的實(shí)時(shí)攻擊技術(shù)��。而NSS實(shí)驗(yàn)室分布在全球的威脅情報(bào)網(wǎng)絡(luò)正在對(duì)40個(gè)不同國(guó)家里的威脅態(tài)勢(shì)保持著持續(xù)監(jiān)視�。
現(xiàn)實(shí)環(huán)境中發(fā)生的問(wèn)題可以直接反饋到我們的現(xiàn)場(chǎng)測(cè)試工具上。這樣的話����,我們就可以讓產(chǎn)品同時(shí)運(yùn)行在各種配置上,并針對(duì)連接到互聯(lián)網(wǎng)上出現(xiàn)的實(shí)時(shí)威脅攻擊進(jìn)行測(cè)試�����。這種模式讓我們可以實(shí)現(xiàn)防范來(lái)自任何特定時(shí)刻中現(xiàn)實(shí)威脅的目標(biāo)����,并針對(duì)用戶保護(hù)情況作出最準(zhǔn)確的評(píng)估���。
據(jù)我所知,沒(méi)有其它測(cè)試機(jī)構(gòu)可以做到這一點(diǎn)����。為了確保沒(méi)有記錯(cuò),我特地詢問(wèn)里克以便確定:
是的���,我們確實(shí)屬于獨(dú)一無(wú)二的選擇��。首先�,其它測(cè)試機(jī)構(gòu)(實(shí)驗(yàn)室和企業(yè)技術(shù)團(tuán)隊(duì))沒(méi)有建立起這么高級(jí)別的可見(jiàn)性或訪問(wèn)技術(shù)來(lái)應(yīng)對(duì)全球性威脅���。他們通常采用的是功能和方式有限的免費(fèi)或現(xiàn)成產(chǎn)品。
而我們所使用的現(xiàn)場(chǎng)測(cè)試工具則屬于完全自主設(shè)計(jì)和內(nèi)部開(kāi)發(fā)的����。建立并運(yùn)行這種類(lèi)型的基礎(chǔ)設(shè)施就意味著大量復(fù)雜工作以及高昂成本。對(duì)于供應(yīng)商贊助的測(cè)試實(shí)驗(yàn)室來(lái)說(shuō)���,技術(shù)和財(cái)務(wù)方面的限制都會(huì)讓這種高效自動(dòng)化的處理流程無(wú)法得以實(shí)現(xiàn)�����。
大家現(xiàn)在明白了�,為什么在涉及到防火墻問(wèn)題的時(shí)間,我會(huì)毫不猶豫地直接聯(lián)系里克的原因么����。
下一代防火墻面對(duì)的測(cè)試環(huán)境
對(duì)下一代防火墻進(jìn)行實(shí)際測(cè)試確實(shí)超出了我個(gè)人的能力范圍,但對(duì)于NSS實(shí)驗(yàn)室來(lái)說(shuō)��,答案顯然就是否定的——這里就是下一代防火墻測(cè)試方法的書(shū)面文檔����。對(duì)于正在認(rèn)真考慮購(gòu)買(mǎi)下一代防火墻的讀者來(lái)說(shuō),我個(gè)人強(qiáng)烈建議仔細(xì)閱讀一下這些資料��。
從文件的一個(gè)章節(jié)中����,我發(fā)現(xiàn)NSS實(shí)驗(yàn)室建立的測(cè)試網(wǎng)絡(luò)非常有趣。
在測(cè)試中��,NSS實(shí)驗(yàn)室采用了思科Catalyst 6500系列交換機(jī)(光纖和銅纜千兆接口)來(lái)建立一張配置多個(gè)千兆接口的網(wǎng)絡(luò)���。
網(wǎng)絡(luò)流量發(fā)送和接受設(shè)備——采用的是BreakingPoint和思博倫Smartbits之類(lèi)的傳輸端口——實(shí)現(xiàn)“內(nèi)部”和“外部”網(wǎng)絡(luò)之間的連接��。
攻擊者可以連接到外部網(wǎng)絡(luò)上���,而與此同時(shí)易受攻擊的主機(jī)和面向互聯(lián)網(wǎng)的服務(wù)器 (如Web���、FTP等等)則會(huì)連接到包括非軍事化區(qū)域(DMZ)的內(nèi)部網(wǎng)絡(luò)。這讓我們可以根據(jù)產(chǎn)品的部署和使用情況針對(duì)多種方案進(jìn)行全面的性能測(cè)試�����。
看起來(lái)��,NSS實(shí)驗(yàn)室似乎做好了進(jìn)行完全測(cè)試的準(zhǔn)備���。但是�,我希望對(duì)下一代防火墻相關(guān)情況進(jìn)行更為深入的了解��。而下面列出的內(nèi)容�����,就是我所找到的����。
卡斯勒:剛才�����,你介紹了現(xiàn)實(shí)威脅以及網(wǎng)絡(luò)方面的情況。因此�����,現(xiàn)在的問(wèn)題就是:在對(duì)下一代防火墻進(jìn)行測(cè)試的時(shí)間�,你究竟會(huì)怎么做?
莫伊:在針對(duì)下一代防火墻的第一次全面測(cè)試中,我們會(huì)將重點(diǎn)集中在基本功能���、性能以及應(yīng)對(duì)受控攻擊的有效性等領(lǐng)域中�����。這些攻擊將來(lái)自互聯(lián)網(wǎng)��、類(lèi)似Metasploit和ExploitHub的開(kāi)源工具以及其它行業(yè)合作伙伴���。
我們將利用1500多種獨(dú)立方式來(lái)攻擊通用漏洞披露(CVE)系統(tǒng);考慮到所模擬的是非常關(guān)鍵的企業(yè)環(huán)境,因此還將使用到通用安全漏洞評(píng)估系統(tǒng)(CVSS-7+)�����。這里面將包含有遠(yuǎn)程服務(wù)器攻擊����,以及大量針對(duì)瀏覽器����、插件和辦公應(yīng)用軟件的客戶端攻擊���。
在針對(duì)隱藏在下一代防火墻后面的目標(biāo)機(jī)器進(jìn)行攻擊后����,我們將對(duì)目標(biāo)機(jī)器返回的命令外殼程序進(jìn)行監(jiān)測(cè)�。如果做到了這一點(diǎn),就意味著攻擊者獲得了終端的完全控制權(quán)��。而這就說(shuō)明攻擊獲得了成功�����,下一代防火墻沒(méi)有起到有效的保護(hù)作用�����。
即便在沒(méi)有連接到互聯(lián)網(wǎng)的情況下�����,我們就已經(jīng)發(fā)現(xiàn)了幾個(gè)客戶必須認(rèn)識(shí)到的問(wèn)題和限制�。下一階段的測(cè)試將在第二季度開(kāi)始,我們將利用來(lái)自互聯(lián)網(wǎng)上的威脅對(duì)下一代防火墻進(jìn)行測(cè)試����。
卡斯勒:在文檔中,你提到了測(cè)試的具體標(biāo)準(zhǔn)�,里面包括了:安全有效性、抗規(guī)避性����、性能、穩(wěn)定性以及總體擁有成本�����。你能否對(duì)所有類(lèi)別進(jìn)行一下簡(jiǎn)要說(shuō)明?我特別感興趣的就是“抗規(guī)避性”��。它究竟是什么意思?
莫伊:除了現(xiàn)場(chǎng)測(cè)試架構(gòu)以外����,我們還建立了一張包含有漏洞系統(tǒng)和攻擊系統(tǒng)的大型內(nèi)部網(wǎng)絡(luò),以便進(jìn)行安全有效性方面的測(cè)試���。只有通過(guò)對(duì)現(xiàn)實(shí)攻擊所產(chǎn)生的后果進(jìn)行深入了解�,我們才能夠發(fā)現(xiàn)哪些產(chǎn)品可以真正阻止它們。
規(guī)避技術(shù)指的是攻擊者對(duì)采用的入侵形式進(jìn)行偽裝以達(dá)到繞過(guò)傳統(tǒng)安全工具針對(duì)原始攻擊所進(jìn)行檢測(cè)的模式�。在測(cè)試中,我們會(huì)對(duì)攻擊進(jìn)行調(diào)整����,就如同真正的惡意黑客所以做的那樣,看看哪些產(chǎn)品會(huì)發(fā)現(xiàn)原始以及變形后的攻擊�����。
在性能測(cè)試中�,我們會(huì)利用BreakingPoint系統(tǒng)來(lái)提供最高80 Gbps的現(xiàn)實(shí)網(wǎng)絡(luò)流量。當(dāng)然����,數(shù)據(jù)吞吐量?jī)H僅屬于測(cè)試中很小的一部分內(nèi)容。對(duì)于數(shù)據(jù)中心和外圍設(shè)備來(lái)說(shuō)���,潛伏期的影響���、每秒連接數(shù)以及可以達(dá)到的最大并發(fā)連接數(shù)等項(xiàng)目才屬于關(guān)鍵參數(shù)。
穩(wěn)定性測(cè)試是我們測(cè)試中最困難的項(xiàng)目之一����。我們將會(huì)運(yùn)行電池相關(guān)方面的協(xié)議以進(jìn)行長(zhǎng)達(dá)數(shù)天之久的模糊以及突變測(cè)試�。在我們針對(duì)下一代防火墻進(jìn)行的測(cè)試中����,有一半產(chǎn)品在這一步中剛開(kāi)始就以某種方式崩潰�����。
最后����,終于到了總體擁有成本分析階段。現(xiàn)在�����,我們將針對(duì)很多涉及因素進(jìn)行全面分析�����。由于價(jià)值并不僅僅局限在成本之中����,所以我們也將針對(duì):
每兆位/秒的安全性會(huì)有多高。
產(chǎn)品規(guī)模是否會(huì)給工作人員帶來(lái)壓力。
管理控制臺(tái)和模式是否需要額外的運(yùn)營(yíng)商來(lái)對(duì)提示信息進(jìn)行監(jiān)測(cè)和處理���。
卡斯勒:在測(cè)試完幾種模式的下一代防火墻后��,你覺(jué)得測(cè)試結(jié)果中的哪些產(chǎn)品以及什么功能屬于比較令人向往的?
莫伊:我們向所有防火墻供應(yīng)商都發(fā)出了提交產(chǎn)品進(jìn)行免費(fèi)測(cè)試的邀請(qǐng)��。最終的結(jié)果是收到了來(lái)自梭子魚(yú)���、Check Point、飛塔����、瞻博、帕洛阿爾托網(wǎng)絡(luò)��、音墻網(wǎng)絡(luò)和磐石網(wǎng)絡(luò)等公司的參評(píng)設(shè)備�����。
該測(cè)試的研究報(bào)告����、測(cè)試結(jié)果、RFP工具以及分析服務(wù)都提供了訂閱選項(xiàng)����。感興趣的讀者也可以訪問(wèn)我們的網(wǎng)站來(lái)獲取更多信息�����。
卡斯勒:里克�����,我知道你對(duì)于第一代防火墻有著非常深入的了解——你覺(jué)得下一代防火墻的進(jìn)步很大么?公司是否應(yīng)該開(kāi)始考慮更換現(xiàn)有的系統(tǒng)了?
莫伊:下一代其實(shí)屬于營(yíng)銷(xiāo)方面的術(shù)語(yǔ),它并不一定意味著對(duì)于所有公司和應(yīng)用案例的實(shí)際效果都會(huì)“更好”��。公司需要做的是認(rèn)真考慮自身實(shí)際需求��,而是否屬于下一代防火墻并不屬于很重要的問(wèn)題����。
舉例來(lái)說(shuō),很多下一代防火墻產(chǎn)品中都包含了性能和潛伏期方面的功能�,這導(dǎo)致會(huì)無(wú)法針對(duì)特定應(yīng)用程序和數(shù)據(jù)的需求進(jìn)行有效處理。而這里面就可能會(huì)包含有市場(chǎng)交易數(shù)據(jù)或者實(shí)時(shí)的低延遲應(yīng)用�。
更有趣的是,很多產(chǎn)品還表現(xiàn)出第一代產(chǎn)品就有的典型質(zhì)量問(wèn)題:穩(wěn)定性���、性能和管理等方面的困難�。由于從很多方面來(lái)看,下一代防火墻都屬于全新的產(chǎn)品�。所以,用戶不能抱有將防火墻加進(jìn)入侵防御系統(tǒng)就開(kāi)始幻想以后可以萬(wàn)事無(wú)憂了的態(tài)度���。實(shí)際上��,添加應(yīng)用程序標(biāo)識(shí)以及控制方面的工作反而會(huì)變得更加具挑戰(zhàn)性���。供應(yīng)商將不得不對(duì)這些產(chǎn)品的體系結(jié)構(gòu)進(jìn)行重新考慮。
最后的思考
提醒一下��,千萬(wàn)別忘了感謝某位客戶公司的員工�。要不是他的話——以及我的自負(fù)——就不能讓我可以向客戶提供更好的建議了。現(xiàn)在�,基于NSS實(shí)驗(yàn)室的測(cè)試,她就可以針對(duì)下一代防火墻是否適合自身業(yè)務(wù)情況作出決定了���。
