近日,IDC發(fā)布《中國下一代防火墻發(fā)展趨勢研究》白皮書�,這是自2009年下一代防火墻概念被提出以來,IDC首度就目前國內(nèi)下一代防火墻的市場格局�、用戶訴求進行分析,并重新對其技術定義和未來走向做出深入研究���。
道高一尺魔高一丈 防火墻應與時俱進
IDC認為���,社交網(wǎng)絡、移動互聯(lián)網(wǎng)��、大數(shù)據(jù)和云計算構建的第三平臺加速了互聯(lián)網(wǎng)的變革�����,新的技術浪潮改變了現(xiàn)代企業(yè)的競爭法則�,同時也帶來了全新的網(wǎng)絡生態(tài)環(huán)境。當今的新威脅正由小范圍單點攻擊向著有組織��、智能化的集團沖鋒演進�。
近日�����,網(wǎng)康科技安全實驗室通過部署于Internet上的蜜罐系統(tǒng)成功捕獲了一次完整的數(shù)據(jù)庫服務器入侵過程,其攻擊速度之快���、手段之豐富�����、過程之隱蔽令所有技術人員吃驚��。
“從最初的掃描探查����、到口令破解���、再到系統(tǒng)提權���,黑客完全控制服務器并開始進行惡意操作只用了短短的32分鐘,整個入侵過程是由多個攻擊源相互配合并按照一定流程共同完成的�����,至少使用了5種攻擊手段,攻擊者使用FTP����、HTTP等多種方法向目標植入了百余個惡意程序,并存儲在了C盤多個系統(tǒng)文件目錄下��,攻擊者非常注意隱藏自己的攻擊行為”�����,據(jù)網(wǎng)康科技安全實驗室負責人張永臣介紹�,目標一旦受控,黑客往往通過在目標主機上安裝有償推廣的軟件或在搜索引擎中搜索某些特定的關鍵詞(用于提升該關鍵詞的權重)以獲取經(jīng)濟利益��,同時目標自身也自動的加入到了攻擊者的行列����,開始向網(wǎng)絡上的其他主機滲透。
安全專家指出�,上述案例其實只是當前威脅的一個縮影,當今幾乎所有的網(wǎng)絡攻擊均具有極高的智能程度并以組織化的形式運作����。更為嚴重的是,黑客設計一次成功的網(wǎng)絡攻擊����,首先會考慮繞過現(xiàn)有的防護手段并隱蔽自己的攻擊行為�����。面對日趨復雜化、智能化的新型威脅�,目前相當多的用戶仍在借助傳統(tǒng)的“老三樣”(防火墻、入侵防御�����、防毒墻)進行防護���,表面上為網(wǎng)絡構筑了銅墻鐵壁�,實則成為虛弱的“最后一道防線”�。IDC同時指出,企業(yè)廣泛采用的傳統(tǒng)防火墻由于其固有缺陷����,已經(jīng)無力應對類似于上述案例中的攻擊,將現(xiàn)有的邊界安全設備升級至下一代防火墻已是大勢所趨���。
下一代防火墻必須具備的五大要素
眾所周之�����,扼守網(wǎng)絡咽喉的防火墻設備���,主要通過隔離�、限制等手段對網(wǎng)絡流量中的越權訪問以及惡意連接進行識別和阻斷���,防火墻產(chǎn)品的歷次演進均是圍繞著這兩大核心目標而展開的��。如今����,距離下一代防火墻概念首度提出已時隔5年��,IDC在白皮書中提出��,當今的下一代防火墻必須具備5大核心要素以有力對抗新型威脅����。
1) 針對應用、用戶���、終端及內(nèi)容的高精度管控
訪問控制始終是防火墻類產(chǎn)品的核心功能�����,面對應用爆炸式發(fā)展�、用戶接入手段多樣化、信息泄密問題突出等多重挑戰(zhàn)�,當今的下一代防火墻應持續(xù)增強其訪問控制的精細度。
白皮書特別強調(diào)�,應用控制絕非傳統(tǒng)意義的阻斷應用,出于精細化控制的需求�,下一代防火墻應該能夠控制各類平臺化應用的子功能��,如QQ的文件傳輸?shù)�����,同時還要能夠基于用戶和終端進行控制��,而非傳統(tǒng)的IP地址���,并且能夠對某些特定文件的內(nèi)容進行深入過濾����,以削減信息泄密的風險���。
應用識別技術無疑成為滿足上述需求的本質���,下一代防火墻在未來仍將持續(xù)提升對應用���、用戶、終端和內(nèi)容的識別能力�,并對加密流量、隧道封裝的數(shù)據(jù)進行識別�,隨著應用識別技術在廣泛度和精細度等方面的提升,企業(yè)將逐步由目前的黑名單訪問控制過渡至安全級別更高的白名單模式�。
2) 一體化引擎多安全模塊智能數(shù)據(jù)聯(lián)動
上述攻擊案例已充分證明,當今網(wǎng)絡威脅均為采用多種手段的復合式攻擊����,無論是事中的防御還是事后的溯源,都要求下一代防火墻能夠將多種安全檢測技術融合�����。為此�����,白皮書中首度提出了下一代防火墻應采用“一體化引擎”架構,使其能夠全方位的防護安全威脅并實現(xiàn)智能的數(shù)據(jù)聯(lián)動�����。
產(chǎn)品專家認為����,采用一體化引擎的優(yōu)越性諸多,除了提升自身的防御能力外�,還體現(xiàn)在其他兩個方面。首先���,一體化引擎實現(xiàn)了數(shù)據(jù)的單路徑匹配��,數(shù)據(jù)包僅需一次解碼即可匹配所有威脅特征���,有助于設備性能的大幅提升��,讓所有安全功能模塊能夠真正的開啟并發(fā)揮作用�����。
第二����,對于隱蔽性極強的新型威脅����,單維的分析散落多處的信息對于盡早感知威脅已毫無幫助�����。多安全模塊的融合��,使得各個安全模塊在對數(shù)據(jù)檢測過程中產(chǎn)生的信息能夠充分關聯(lián)�����,徹底改變傳統(tǒng)安全設備信息割裂的詬病�,用戶無需進行人工挖掘和分析即可全面掌握威脅全貌。
3) 外部的安全智能
防火墻本地的運算性能和檢測能力始終是有限的�,下一代防火墻應該具備聯(lián)動外部安全智能系統(tǒng)的能力。盡管這項要求早在2009年的定義中便有提及����,但在當時的技術背景下,除了與用戶認證系統(tǒng)聯(lián)動之外�����,并未明確描述與其他系統(tǒng)的聯(lián)動。
隨著云計算��、大數(shù)據(jù)技術的不斷成熟���,將云端的海量資源及大數(shù)據(jù)的高度智能用于判別日趨復雜的威脅�����,已成為業(yè)界公認的技術發(fā)展方向�����。近年來市場上也已經(jīng)涌現(xiàn)出了不少以云沙箱檢測����、病毒云查殺�、威脅情報分析等為核心的新技術產(chǎn)品。
鑒于這樣的技術環(huán)境��,白皮書明確指出���,下一代防火墻應當具有與外部云計算聯(lián)動的能力,并且能夠利用大數(shù)據(jù)分析技術應對威脅特征庫中并未收錄的未知威脅�����。
4) 可視化智能管理
防火墻設備的洞察力往往是廠商和用戶長期忽視的一項能力,然而在更復雜的威脅面前�����,用戶需要更加及時的掌握網(wǎng)絡現(xiàn)狀�����、風險��、威脅�、事件以及防御效果等用于支撐安全決策,下一代防火墻的可視化技術尤為重要�。
“智能”一詞對于下一代防火墻而言同樣是一項新的要求,專家認為��,下一代防火墻要實現(xiàn)的可視化智能管理��,絕非傳統(tǒng)意義上的日志呈現(xiàn)和TOP 10排名����,真正的“智能”應該是在多維統(tǒng)計的基礎上加以深入的分析,并將結果呈現(xiàn)出來���,以幫助用戶更加快速的了解網(wǎng)絡風險并及時部署防御措施�。
白皮書同時指出,安全產(chǎn)品的有效性取決于操作安全產(chǎn)品的人員����,在信息安全專業(yè)人才緊缺以及安全設備用戶范圍日趨廣泛的大環(huán)境下,下一代防火墻應當簡化配置難度�、降低技術門檻并持續(xù)提升產(chǎn)品易用性。
5) 高性能處理架構
性能是歷代防火墻產(chǎn)品永恒的話題�����,IDC研究數(shù)據(jù)表明����,當前國內(nèi)傳統(tǒng)防火墻的市場份額在整體安全硬件中仍占比最高。究其根因�,并非用戶對下一代防火墻特有的功能缺乏需求,而是由于很多大型網(wǎng)絡���、數(shù)據(jù)中心出口出于性能的考慮無法開啟所謂的“下一代”安全功能�。由此可見�����,性能的高低決定了下一代防火墻能夠部署的場景和位置����,以及能否為更多的網(wǎng)絡和系統(tǒng)提供保護。
白皮書特別強調(diào)����,今后的網(wǎng)絡安全是應用層安全,所有的流量都要進行應用層的深入分析�,因此下一代防火墻已將深度包檢測(DPI,用于應用識別及其它應用層安全功能)作為其架構中的基礎部件����,設備開機即處于啟動狀態(tài),并且鼓勵用戶打開全部安全功能�。對于下一代防火墻用戶而言,真正有價值的參數(shù)是其應用層性能以及開啟全部安全功能后的性能����。
因此,IDC認為下一代防火墻要滿足大型數(shù)據(jù)中心���、運營商網(wǎng)絡環(huán)境的性能要求��,必須持續(xù)提高應用層性能及多威脅安全檢測性能���。
強強聯(lián)合 首度發(fā)布下一代防火墻白皮書
IDC分析師認為�����,由于下一代防火墻有力并極大的提升了用戶應對新威脅的能力���,無疑已經(jīng)成為順應趨勢并且廣受用戶認可的產(chǎn)品,同時也注意到當前無論是國內(nèi)還是國外����,幾乎所有的傳統(tǒng)防火墻和UTM廠商均紛紛將其產(chǎn)品向下一代防火墻轉型。
縱觀整個信息安全行業(yè)����,在最近10年發(fā)生了天翻地覆的變化,從最早的國外廠商大行其道���,到當今國內(nèi)產(chǎn)品漸成主流�����,從早先的“玩概念”��,到如今的“重體驗”��,都充分說明信息安全已經(jīng)從專業(yè)領域走向了全民關注����,這要求安全產(chǎn)品更加貼近用戶并更加清晰的呈現(xiàn)價值�����。IDC認為�,網(wǎng)康科技作為國內(nèi)新興安全技術廠商的優(yōu)秀代表,在這場傳統(tǒng)安全顛覆性大變革中正在發(fā)揮積極的作用�����。
據(jù)悉��,網(wǎng)康科技于2012年10月發(fā)布了國內(nèi)首款真正的下一代防火墻產(chǎn)品�����,迅速得到了來自市場和用戶的積極反饋����,如今產(chǎn)品上市已兩年時間,其在同類產(chǎn)品中的多項指標始終保持領先���。今年7月���,網(wǎng)康科技榮獲Frost&Sullivan頒發(fā)的“2014 中國區(qū)下一代防火墻市場增長領導獎”��,向業(yè)界證明了其產(chǎn)品在市場上的增長潛力和競爭力�。本次與IDC聯(lián)合發(fā)布業(yè)界首個針對下一代防火墻展開深入研究的白皮書����,再一次體現(xiàn)了其在下一代防火墻領域的領導地位。
IDC中國助理副總裁要剛先生表明“IDC作為一家國際性的市場研究咨詢公司����,在市場上可以幫助大家定義一些新型的技術,當前的防火墻技術在市場的發(fā)展沒有一個整體的標準����,我相信網(wǎng)康公司很了解,所以IDC第一個站出來對這個技術進行一些我們的分析與研究�。在我們的研究過程中發(fā)現(xiàn),我們對于下一代防火墻的理解和定義�,和網(wǎng)康的下一代防火墻解決方案有著很高的契合度,所以我們選擇和網(wǎng)康科技共同發(fā)布這本白皮書”���。
