从2007年Palo Alto Networks发布世界第一款下一代防火墙(NGFW)产品至今已经好几年了,在这期间云计算、大数据、社交网络、BYOD相继出现,下一代防火墙开始面临更多全新的挑战,这些挑战来自网络管控、运维管理、APT攻击与未知威胁防御等方面。
经过这几年的发展,市面上的生产下一代防火墙的厂商越来越多,产品的功能不一。这造成有很大一部分企业用户在选购下一代防火墙时,都会很纠结。不知道谁家的产品比较好,谁家的产品比较适合自己。同时,如何更好的部署、管理下一代防火墙,从而保障企业的安全,也成为企业运维管理者所面临的问题。
近日,51CTO记者采访了业内安全专家、山石网科产品市场总监贾彬先生,与大家分享下一代防火墙的采购、部署、管理的经验。
51CTO记者:您认为下一代防火墙必须具备哪些功能?
贾彬:从Gartner对下一代防火墙的定义来看,除了具备传统防火墙的功能和基础攻击防护功能外,下一代防火墙最大的特点是基于应用的识别和应用的威胁防护。其中,应用识别是指通过特征的方式识别应用,然后对应用进行访问控制。所以,下一代防火墙主要指的不是网络层的控制而是应用层的控制。在应用的威胁防护方面,传统防火墙对攻击防护和威胁防护能力并没有强制要求。而下一代防火墙对威胁防护有明确要求,它更加注重应用层的攻击防护。
此外,下一代防火墙还需要具备可视化管理的功能。现在,安全管理由繁到简,从复杂的管理模式向简单的管理模式转变。如何能让管理员清晰的掌握到网络中的状态、网络流量的状态,业务的状态以及用户的行为状态,决定了管理员如何实施管控策略进行管控。通过可视化的管理,可视化的呈现可以帮助管理员有效的实施管控,实施安全防护。
51CTO记者:在您看来,下一代防火墙有哪些优异的特性?
贾彬:在管控方面,因为下一代防火墙是通过应用特征来进行管控识别,所以在管理下载类应用时它更直接有效。
目前,我们对网络的认知从单纯的逻辑的IP和端口,提升到了应用和用户层面。以前,管理员管理的是192.168.1.1和80端口,而现在管理的是WEB服务器和某个人如何去访问web服务器。同时,很多的应用不能通过传统的网络去管理,比如:像迅雷这类P2P下载的软件,它的端口是不断变化的,用传统的网络控制方式的时候,它很难通过端口的方式来对应用进行辨识,但是基于应用识别的管控能对其进行有效管理。
在威胁防护方面,传统防火墙对应用层的攻击防护能力存在有短板。因为针对应用层的威胁越来越多,特别是基于web的攻击,基于应用层的攻击越来越猖獗,所以具备应用层威胁防护功能的下一代防火墙更加适用于当前的互联网时代,更加适用于当前的应用爆发的时代。#p#
51CTO记者:什么样的下一代防火墙才算是一款优秀的产品?
贾彬:作为一款优秀的下一代防火墙,应该更能够适用于客户需求,并解决用户所面临的问题。除了具备上面提到的应用识别、边界防护以及可视化管理等功能外,下一代防火墙在威胁防护和管控能力方面得到本质的提升,这主要体现在对于APT类新型攻击的防护方面。目前,在IT圈我们经常会看到某个企业被攻击,信息被窃取。它遭受了新兴的、可持续性的APT类攻击。面对这种攻击,单纯做边界防护远远不够。即使有了特征防护以及应用层的攻击防护,由于变种、扫描以及持续对脆弱点进行检测等攻击方式,攻击者仍旧可以攻击攻陷目标。所以,APT的攻击防护对下一代防火墙来说是很大的考验。
下一代防火墙如何能够更好的通过各种检测方式,对新兴的APT类攻击进行防护。特别是能够不仅体现在边界防护上,还包括侵入网络内部的威胁是否能有相应的检测和防护机制,这可以作为判断其是否优秀的一个条件。
51CTO记者:面对纷繁复杂的下一代防火墙市场,用户该如何甄别并采购下一代防火墙?
贾彬:用户应基于企业自身对业务的要求和安全的特点进行下一代防火墙的甄别采购。比如说:不同的企业对安全的要求程度不同,业务的分布和业务的状态也不同。例如:如果企业只做一个办公网络的出口,采购谁家的产品都可以。但是如果企业是要保护自身的核心业务时,下一代防火墙的威胁检测和威胁防护能力方面就需要用户更多的关注。
安装防火墙不单是做网络隔离,更重要的是做网络安全的防护。那么,如果需要保护的是一个企业的业务或者服务器、数据中心等这些关键的区域。为防止业务中断,关键信息不被黑客窃取,在选择下一代防火墙或其他安全防护设备的时候,更看重的是防火墙在威胁防护能力、性能和方式方法上能否有效的去应对它目前面临的威胁,特别是在网络中被攻击的方式,这样才能保护企业的关键业务不被黑客或者不法分子所窃取、破坏。#p#
51CTO记者:根据企业需求采购了下一代防火墙后,该如何部署?有哪些需要注意的地方?
贾彬:第一种场景,是一种典型的部署方式,做互联网的出口。此时它的重要作用指的是作为整个企业内部网络对外出口的防护,用来阻止来自于互联网上的各种攻击、扫描、入侵,以及实现访问控制的作用。这种场景,一般是在企业网络的出口位置串行接入下一代防火墙。
第二种场景,在各个安全域之间做隔离。很多企业有自己的分支机构,有不同的楼宇,不同的区域,不同的部门,不同的体系。例如企业的研发区域和财务区域,它们属于企业的核心区域。这个区域里的计算机终端以及服务器,都属于核心的业务,需要进行专门的保护。因此,这些区域与其他的非业务部门或不重要部门的网络区域需要进行隔离,进行访问控制,做安全防护。此时,下一代防火墙的作用就是保护重点区域不会受到网络攻击和影响。部署时也需串行接入,并在区域中间进行访问控制配置。
第三种场景,服务器前端的防护控制。我们常说的网站服务器:ERP服务器、OA服务器等服务器前端需要做防护控制,以及防火墙的安全防护。部署下一代防火墙的主要作用就是保护重要的业务和服务器,阻止攻击,防止信息被窃取。对服务器来说,无论是来自企业内部还是外部的访问都被认为是不安全的访问,都需要做身份认证,需要进行权限控制,需要进行网络防护的攻击检测等。
除此之外,还有很多的场景。其实,只要企业里面需要做安全防护的位置,或者重要的业务区域,安全要求不同的区域之间都要做安全的这种防火墙的部署,安全隔离和防护。
需要注意的地方,主要包含:身份认证和网络私接行为限制。
身份认证:所有的访问控制都要和企业业务结合起来。人员的访问控制需要设置OA,与身份认证做联动,这样在防火墙上控制时,不是经过IP做控制,而是与企业人员的邮箱认证,身份认证,OA认证等认证后的用户名去做控制,即使员工在不同的IP接入网络,也会受到访问规则的限制,这是需要注意的地方。因为很多的用户,虽然知道身份认证的好处但是往往使用IP做终端的接入,或说控制方式。这对管理,对未来是有很大隐患的,未来可能被攻击者通过伪造IP来访问企业网络,从而达到信息窃取的目的。所以身份认证是需要注意的一个点。
网络私接行为限制:对于企业内部的安全性来说,网络私接行为需要进行限制。因为网络私接是导致很多威胁接入的一个非常重要的途径。比如现在流行的,360WiFi,或者京东卖的wifi接入的,插入一个小东西可以当个无线路由器,使每个计算机都成为无线路由器的一个接入点,这样手机,pad,等其他人设备都会扫描这台设备从而接入你的网络,这样,这些无线私接点就会成为威胁入侵的一个非常便利的途径,可以轻易绕开企业内部的安全防护机制,绕过防火墙,直接计算机,直接进入到企业网络中,这种部署,这种企业管理是需要注意的。#p#
51CTO记者:您认为企业该如何管理下一代防火墙?有哪些细节需要留意?可以给企业提供一些建议么?
贾彬:在管理方面,管理员要合理清晰的划分出每个区域的安全,先要定好安全域,关键业务区域与非重要业务区域。进行区域划分后,把不同的访问区域的访问规则和访问要求通过设备上的管理策略或者配置的方式定义起来。
在日常运维中,需要关注的不是设备的运行状态,而是网络的业务的运行状态,以及整体的风险状态。举例来说,假如企业中的一台机器中了病毒,或者被攻击,那这台机器需要第一时间能够呈现给企业管理人员,而且能够让管理员能够清楚直接的定位这台机器,从而通过各种的可视化的方式清楚知道这台机器发生了哪些事情,造成了哪些影响,进而帮助管理员来解决这些问题,这是运维管理中最常见的问题。
还有一种最常见的问题,网络出现故障,网络无法访问或者中断。这时管理员有很多的手段去排查故障,但是,其实在防火墙里有很多的管理工具,可以帮助管理员很好的定位故障点,加快他的运维效率,节约运维成本。虽然是细小的点,也体现出一个企业在管理上,和管理人员的管理成熟度上的一个重要体现。
51CTO记者:您认为下一代防火墙是刚需还是弹需?
贾彬:下一代防火墙已是刚需。虽然现在听起来下一代防火墙好像还没有那么多的客户,但实际上有很多客户已经在尝试使用下一代防火墙。为什么说是刚需呢?我们可以看到,现在无论是互联网上还是企业内网,对网络的访问隔离和访问防护要求,都已经不再仅仅是在网络层面了。例如:企业要限制员工下载流量,这时传统防火墙是无法解决的。因为端口是不断变化的,通过传统防火墙的端口控制方式很难限制流量,只有下一代防火墙的应用识别才能起到限制作用。同样,就威胁防护能力来说,原来只有一些网络端口扫描,但是现在都是有针对性的攻击。特别是诸如互联网公司,移动互联网公司等业务和网络结合紧密的企业,它们的知识产权和数据就是生命线。这些数据是竞争对手所关注,不法分子所想要窃取的内容。此时的攻击威胁防护,仅靠传统防火墙提供的网络层攻击防护和特征攻击防护是不够的。更重要的是对APT的攻击防护,以及其他针对性攻击的防护。这对企业来说是非常重要的,可以说一个设备决定了一个企业的生死存亡。所以,下一代防火墙是刚需。
51CTO记者:在可见的未来内,您认为下一代防火墙将会沿着怎样的朝向发展?
贾彬:作为一个从网络层面升级到应用层面的设备,下一代防火墙已经达到了甚至是体现了它的价值。未来,下一代防火墙将更加关注的是在威胁防护能力上的提升。因为无论是传统防火墙,入侵检测,还是下一代防火墙,大部分的下一代墙还都是基于特征的检测方式。然而现在的新型攻击,特别是未知威胁、变种威胁,都能很轻易的穿越这种特征检测方式。因此,如何很有效防护未知威胁,特别是变种威胁,加强下一代防火墙的威胁检测能力,是未来防火墙持续需要提高的地方。
