從被動轉向主動防御下一代防火墻趨向智能化

本刊記者 | 黃海峰

從被動轉向主動防御下一代防火墻趨向智能化

本刊記者 | 黃海峰

下一代智能防火墻是一個劃時代的產品，它將改變用戶對網絡安全管理的認識，將以往被動的、機械式的防御改變為智能的風險預警和管控。

今天，高級威脅和0day攻擊正變得肆無忌憚，因為他們能高度規避檢測，傳統的基于特征的防護漸漸力不從心，安全防護思路和架構的轉變已是大勢所趨，從基于已知威脅的防御轉變為基于未知風險的預防，這一轉變需要更加智能的安全思路才能實現。

國際權威分析機構Gartner 認為，今天的安全技術正在經歷著一個根本的變革(paradigm shift)，從被動的以威脅為核心的技術向主動的以風險為核心的方向轉變 。安全管理也從一個花錢耗力的成本中心變成一個安全意識的教育中心。

傳統基于威脅的安全模式失效

在IT應用迅速變革的今天，一分鐘之內可以發生多少事情?在QQ空間上有14萬圖片被下載，在新浪微博上有9.54萬次微博被發出，在淘寶網上有8300次交易在進行，在朋友網上有6000對朋友相識。

然而，令人擔憂的是，隨之而來的危機無處不在。今年5月，雅虎2200萬用戶的信息被竊取，4月，有一個惡意病毒讓一家石油公司的記錄全部消除，在花旗銀行已經發生過36萬帳戶被竊取。

今天的種種攻擊事件，越來越多地與隱蔽的、持續的高級威脅(APT)相關，它們對攻擊目標造成損失是令人難以承受的。山石網科市場副總裁張凌齡表示，隨著這一類攻擊的擴散，傳統的基于威脅的安全模式不再有效。

在傳統的基于威脅的安全模式下，安全系統是先確定需要防范的威脅類型再有針對性地去防范：對病毒和木馬文件傳輸，有防病毒解決方案；對基于網絡的應用層攻擊，有IDS/IPS解決方案方案；針對新的攻擊類型，則通過向檢測規則數據庫中添加IPS規則。

“然而，面對由APT威脅和0day攻擊帶來的未知風險，你根本無從先行判斷攻擊是什么，就更別談對其進行防御?！睆埩椠g表示，這樣一來，從流量中查找行為特征來判斷攻擊發生與否的新技術漸行漸近，安全模式也開始從被動的、基于威脅的模式(僅關注威脅，處理已知威脅)轉向主動的、基于風險的模式(將資產、威脅及漏洞都納入考慮范圍，能處理未知威脅)。

未知威脅檢測需求逐漸升溫

在這種以風險管控為核心的安全模式中，實時監控和早期檢測變得非常的重要，安全界需要更加智能的新技術，能夠在網絡正常運行時也能實時檢測到變化，從這些變化中發現潛在威脅并在威脅真正發生之前阻止它。

“這就需要一種技術，能夠在正常的網絡活動中發現‘變化’，找到攻擊或者入侵的早期征兆，從而實現我們中國人所謂的‘防范于未然’?！?山石網科產品副總裁王鐘表示。

這樣的觀點得到業界認可。Gartner研究總監張毅指出。傳統基于威脅的防范技術正在向基于風險的防范技術轉變，智能安全將成為未來網絡安全領域的新主題：互聯網是企業運營甚至國家運轉的重要平臺之一，企業的網絡安全環境面臨嚴重考驗，層出不窮的各種威脅給網絡使用者帶來困擾，企業無法承受因安全問題帶來的巨大損失。

“如何提前預知安全威脅存在，如何在損失發生之前控制安全威脅，是企業用戶重點關注的問題，預計未來將有十分廣闊的市場。”張毅表示。

防火墻產品通常是企業保證網絡安全的措施之一，通過核心的過濾技術，對已知的危險進行防范。但依據上述分析，隨著企業對網絡安全要求的提高，提前防范風險已經成為一種趨勢，也就是要求下一代防火墻在危險真正發生前就要有所預警，具備“智能”功能。

眾所周知，防火墻產品從上世紀九十年代至今，歷經系統架構和軟件形態的多次革新，從最早的基于包過濾的防火墻到狀態監測防火墻，到今天下一代防火墻(NGFW)的崛起。

那么，下一代防火墻該如何具備“智能”功能？

打造下一代“智能”防火墻

在王鐘看來，下一代智能防火墻就是在準確、深度辨識用戶身份、服務器和應用的基礎上，對其進行長期監控；分別以全網健康指數對網絡健康狀態打分；以行為信譽指數對用戶及服務器狀態打分，然后對“高?！比藛T或者“高?！狈掌鲗嵭邢鄳念A警或者有效的控制。

以對用戶行為信譽度打分為例，比如說發現某一用戶有大量非法下載，使用網絡掃描工具，并且多次重試服務器密碼等行為，這些關聯的事件會影響該用戶在網絡中的信譽分數。他的這些行為會引起管理員的警覺。

王鐘認為，下一代智能防火墻是基于風險的安全解決方案，優于增強型下一代防火墻，通過持續監控、收集和分析流量及可用性數據，主動查找可能影響網絡運行的異常行為和潛在的網絡問題。基于信譽的訪問控制將健康狀態和風險級別與訪問級別關聯起來，通過感知到的風險動態調整訪問級別，可以降低企業網絡和服務的運營風險。

“我們以前瞻性的思維把握住了這個新主題?！睆埩椠g表示，山石網科結合國內企業級用戶的安全需求，把智能安全與下一代防火墻完美結合，成功在今年6月份發布了下一代智能防火墻T5060，將“智能”與“防火墻”相結合。

據王鐘介紹，下一代智能防火墻的技術愿景要真正實現需分為三個階段完成：第一階段以實現全網的健康狀態的檢測和監控為核心；第二階段，實現對用戶、服務器及服務的行為信譽監控，并且通過關聯分析對僵尸網絡、異常行為及APT攻擊做預警和報告；第三階段，將在監控和報告的基礎上，實現動態的策略調整和控制。

“新推出的首款T5060令下一代智能防火墻第一階段目標實現。第二階段目標預計將于明年實現?！?王鐘指出。