解读“下一代防火墙”威胁防御技术

日期: 2013-08-11 来源:TechTarget中国

近一时期来,与信息安全有关的新闻充斥在人们的生活中,“棱镜”引发的波澜尚未平息,心脏起搏器的城池又告失守,最近几天,全球7000多名顶级黑客云集拉斯维加斯“黑帽”大会,两名美国黑客宣布已成功入侵汽车的电脑系统,也许在不久的将来,汽车在行驶中突然加速、方向盘失控、刹车失灵等一幕幕惊险画面,将不再仅仅出现于电影银幕上……

著名社会心理学家马斯洛将人的需求分为五个层次,分别是的生理需求、安全需求、社交需求、尊重需求以及自我实现需求。在当今,社交网络、电子商务、BYOD等新技术已由虚拟世界走入了千家万户的百姓生活,满足着人们工作、生活中各个层次的需要,然而随着一个个信息系统被黑客攻陷,人类的需求也许正回归于对安全感的极度渴望。

人们的需求正回归于对安全感的极度渴望

信息时代,网络作为海量数据的载体,其边界安全问题正受到IT管理者前所未有的关注,安全业界不断推出新技术、定义新概念,当下最具热度的“下一代防火墙(NGFW)”,无疑让所有管理者寄予厚望,而所谓的“下一代”,到底是通过什么样的技术来构建更加安全的网络边界呢?让我们通过这篇文章来共同梳理一下。

安全更上一“层”

防火墙设备由网络层、传输层向应用层演进的理念,已被业界提出多年。由基于IP地址、协议、端口的检测升级至基于用户、应用的检测,犹如警察在追查罪犯时,从体貌特征、衣着打扮到个体DNA鉴别的进化。因此,基于应用层的安全设备可以对流经的数据进行更深入的检查和过滤,也正是由于这样的技术变革,才使得基于用户的应用使能、针对应用的资源分配以及应用内容的过滤成为现实。

下一代防火墙则是一款完全在应用层上构建安全的设备,是一款能够真正能够抵御应用层威胁的安全产品,这是“下一代”与“上一代”之间最显著的差别。也许这样的描述会遭到无数的挑战,有人也许会质疑,难道业界早先定义的UTM、IPS等产品,就完全不能抵御应用层威胁吗?

事实看似并非如此,让我们从技术原理上来分析一下。事实上,无论 “上一代”还是“下一代”,一个完整的应用层威胁防御过程,首先是对流量的识别,然后才是基于流量所属的应用类型进行有针对性的威胁检测,最后再按照策略配置将检测到的威胁进行告警或阻断的处理。

流量识别是应用层威胁防御的第一步

为什么首先要对流量进行识别呢?应用层威胁的一个最显著特点是其本身具有特定的协议属性,正如一个Windows上的病毒在Linux系统上根本无法运行,一个针对HTTP协议漏洞的入侵行为,并不能对SMTP协议构成威胁。因此,为避免对流量的盲目检测或漏检,应首先对流量所属的应用类型进行识别,而这一点往往被大家所忽视。

之所以说传统设备并不能全面的应对应用层威胁,是由于它们在流量识别的环节仅简单的基于协议和端口。在配置传统设备时,若流量使用非标端口,管理人员则必须对这样的流量进行手动的应用类型关联,否则流量就极有可能由于未被准确识别而漏检,换言之,攻击行为可以通过使用非标端口,轻松绕过传统设备的检查。而下一代防火墙在流量识别环节,则完全基于应用的协议特征,可完全抛开协议和端口,即便流量使用跳变端口或复用知名端口,下一代防火墙同样能够智能的识别出流量所属的应用类型,进而执行针对相应协议的威胁特征检测。由此可见,“上一代”与“下一代”在流量识别的实现方式上有着巨大的差异,这一点直接影响着应用层威胁的防御能力。

提升威胁检测能力

按照上面的分析,抵御应用层威胁要求设备既能识别应用,又能识别威胁。下一代防火墙解决了应用识别的问题,又是如何来提升威胁识别能力的呢?

对于应用层威胁的识别,业界普遍使用特征码检测的技术,即将威胁特征码收录至设备本地的特征库中,并将流经设备的流量内容与威胁特征码进行比对,假若特征匹配,则设备将判定该流量中存在威胁。不难看出,基于这样的原理,若想提升检测效果,应同时满足两个条件,其一是设备特征库要尽可能收录更全面的威胁特征码,第二则是要保证设备及时的更新特征库以响应最新的威胁。

在当今,应用层威胁已成为黑客攻击的主流方式,其数量与日俱增,传播周期越来越短,这样的特性给传统设备提出了极大的挑战。首先,设备受限于存储空间的大小,往往已无法容纳海量的特征库;其次,随着特征码数量的激增,特征匹配的性能开销及延时都随之增大,使安全设备成为网络性能的瓶颈;最后,设备的特征库很难保证实时更新,这给新出现的威胁留下了足够的攻击时间。

下一代防火墙则正在利用一些新的技术来改善和解决上述问题。例如,利用云计算技术的强大优势,将“云查杀”技术用于下一代防火墙的病毒防护,当有流量流经设备时,设备计算出数据流的摘要值,并将其送至云端检测,云端将流量的摘要值与病毒感染文件的摘要值进行比对后,再将检测结果反馈给本地设备。云查杀与传统的本地查杀技术相比具有极强的技术优越性,首先,云端拥有最丰富的资源,所有已发现的威胁特征都会在最短的时间内被云端收录;第二,依靠云端进行威胁特征匹配,降低了设备的性能开销,可大幅提升设备检测效率;最后,所有流量的摘要值均直接送至云端进行检测,可规避设备本地特征库更新时延带来的风险,对于最新发现的威胁同样能够做到第一时间响应。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 整合NGFW和威胁分析后,防火墙这是要上天?

    早期的下一代防火墙(NGFW)构建于不同的时代,早在8到10年前,企业仍然主要依靠围绕网络构建外围来阻止恶意软件。Frost & Sullivan高级行业分析师Chris Rodriguez表示,但这已经不再是全方位的战略……

  • 改变网络安全现状:何不求诸下一代防火墙?

    下一代防火墙提供了很多新功能,但是如何将下一代防火墙添加到安全产品组件里面,这是个值得考虑的问题……

  • 选择下一代防火墙 助力网络安全资源优化

    下一代防火墙可以在网络安全资源的优化方面起着关键作用。哪种防火墙最值得青睐?企业应当选择具有哪些特性的下一代防火墙来武装IT安全团队,由此开始资源优化过程?

  • 下一代防火墙标准的全新诠释

    2014年9月,独立安全研究和评测机构NSS实验室,对业界几乎所有主流的下一代防火墙产品进行了统一的测评。Cisco的ASA下一代防火墙的三个型号,均以99.2%的成绩获得了最高安全效率评分。