网络与应用环境面临的安全挑战IT部门对企业高效运营和快速发展的贡献毋庸置疑,种种益处自不必多言,但是如果网络崩溃、应用瘫痪、机密被窃,损失将令人痛心,甚至无法弥补,IT部门也将承受极大的压力,所以保证网络和应用系统安全、可靠和高效的运行成为IT部门的关键任务。要实现上述目标,首先,让我们来对网络和系统运行面临的安全挑战做出详细的分析。
1.1应用多样化,端口的单一化
在传统的网络安全建设中,为网络设立一个“尽职尽责”的门卫控制应用访问的合法性还是可以做到的。因为,那时端口=应用、IP=用户,只要在交换机、路由器、防火墙做些基于“端口+IP”的访问控制策略,就可以轻松实现用户的访问权限。但是随着网络、应用的不断的发展,为了便于应用的跨平台、灵活部署,现在有成千上万种应用趋向于更少数的端口运行,都是基于HTTP或者HTTPS协议(80、443端口)。比如“开心网”网站上可以运行159种应用程序聊天、游戏、图片分享等;“谷歌”的企业级应用套件甚至可以提供类似于Office、协作办公、视频分享这样的企业应用程序。因此,应用多样化、端口单一化,给我们的网络安全提出了2个新的问题:
(1)能够针对应用协议和动作进行访问控制:对于这些应用和应用中丰富的动作,我们需要精细控制用户的访问权限,比如无法阻断文件传输,防止泄密。
(2)Web成为威胁传播的重点对象:需要针对看似合法的Web层内容中,检测和过滤各种威胁。因为,黑客已经把这些端口当做攻击和威胁传播的目标。
1.2黑客攻击方式和目的的变化
早期的黑客攻击手段大多为非破坏性攻击,一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击(Ping of Death等)网络层方式。其主要目的也只是为了技术炫耀型为主。而当前的黑客攻击目的完全以利益为驱动,技术手段更加倾向于应用化、内容化、混合化。所谓应用化,面对堡垒森严的网络层防护手段,黑客要想悄无声息的入侵IT系统,必须采用更高层次的方式绕过这些防护手段。所以,基于应用的漏洞利用、命令注入、恶意脚本/插件等威胁就成为了黑客争相研究的方向。而漏洞利用也从原来侧重OS底层漏洞转变为基于应用程序的漏洞,比如根据卡巴斯基2011年Q1漏洞排行榜,Adobe Reader、Flash Player的包揽前三甲。所谓内容化,黑客在成功入侵后更加关注的是IT系统中的内容,比如客户账号、通讯方式、银行账户、企业机密、电子订单等。因此,通过木马、后门、键盘记录等方式可以不断获取这些关键内容,并进行非法利用而牟利。所谓混合化,在黑客一次攻击行为中使用了多种技术手段,而非原来单一的病毒蠕虫或者漏洞利用。比如,黑客要想入侵一台Web服务器上传木马的过程:端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、木马上传等。因此,面对上述安全风险的变化,给我们的网络安全提出了新的问题:
(1)能够防护混合型攻击威胁的防护:传统防火墙无法提供DPI深度检测,而IPS、WAF、AV等设备防护功能单一,需要相互搭配使用。因此,面对多种安全威胁的混合型攻击,我们需要一个完整的应用层安全防护方案。
(2)能够保护应用内容:针对黑客对内容的关注,需要基于应用的内容做安全检查,包括扫描所有应用内容,过滤有风险的内容,甚至让用户自定义哪些内容可以进出,哪些内容不能进出。
1.3端到端的万兆处理能力
当前的IT系统已经全面具备了万兆处理能力,万兆网络、万兆存储、万兆计算,甚至100G/40G的网络标准已经诞生。但是只要在IT系统中出现一个性能瓶颈,就会制约整个IT系统的性能发挥。而当前应用层安全处理能力仅仅停留在准千兆级别,往往只有600-800兆左右的线速能力,成为了严重的网络性能瓶颈。因此,面对上述网络性能的不断提升,给我们的安全防护提出了新的问题:
实现万兆级应用层安全处理能力:应用层安全防护强调的是计算的灵活性,传统网络安全设备的强调的是重复计算的高性能。因此,基于传统网络层安全设备ASIC的设计思路需要调整,并重新设计系统架构,才能满足万兆级完整的应用层防护处理能力。
2传统安全设备日趋“无力”
面对上述网络、应用、安全风险等环境的变化,传统安全设备已经显得日趋“无力”,尤其是传统防火墙已经变成了聋子和瞎子。2.1防火墙成为了“摆设”
从1990开始,随着Internet的快速发展,网络安全的问题也逐步为人们所重视,从最初采用简单的访问控制列表,到部署防火墙来保护周界安全。从1993年防火墙被广泛地部署在各种网络中通过基于端口和IP的访问控制,实现安全域的隔离与划分;
通过地址转换,实现内部IP规划的隐藏;
通过抵御DOS等网络层攻击,确保系统稳定运行;
但是面对“第一章”所提到的环境变化,我们可以发现,这些功能已经无法确保我们系统的安全稳定运行。防火墙存在的问题如下:戴着眼罩的保安:如果防火墙依然通过端口设置访问权限,那么针对单一端口下的多种应用和动作,针对端口动态变化的应用来说,防火墙只能雾里看花,无法实现有效地、精细地访问权限控制;
过时的盾牌:如果把网络层攻击比喻成冷兵器时代的“刀枪剑戟”,把应用层混合威胁比喻成热兵器时代的“长枪大炮”,那么防火墙就好比是过时的“盾牌”,面对已经不常出没的冷兵器还是可以防护的,但是面对“长枪大炮”防火墙就自身难保。
因此,当前防火墙的部署已经成为了一种心理安慰,仅仅作为合规性的建设要求,要想真正确保系统安全,必须变革。2.2IPS+AV+WAF补丁式的方案
面对防火墙成为“摆设”的现实,出现了不少补充型的加固方案,其中最典型的方式就是FW+IPS+AV+WAF这种“串糖葫芦式”的建设。在一段时间内,这种方式成为了用户的不错选择。但是,随着业务的开展,其问题日益凸显:投资成本高:首先,同样性能的应用层安全设备要比网络层安全设备高数倍,再部署多台,整个方面的前期硬件投资就会增加4倍甚至10倍。其次,持续的运维成本也是不小的开销,能源消耗、配套建设(电源、空调)、人力成本等等也会急剧增加。
防护效果不理想:这种方案在性能、检测精度、可靠性等方面均存在较多问题。首先,此方案的性能取决于其中性能最低的设备能力,其他安全设备即使有再高的性能也发挥不出来;其次,局域网延时一般在600us,多增加一台设备就意味着延时有提升了200us,尤其是传统AV设备基于文件级别的检测方式延时极大,一份邮件的检测往往需要数秒钟甚至数分钟的时间;然后,面对混合型的攻击入侵,这种方案就无法提供高精度的检测,甚至出现漏报、误报;最后,可靠性差,假如每台设备的故障率为1%,那么串接了4台设备后,故障率就提升了4倍,增加了故障点,降低了系统可靠性。
因此,这种补丁式的建设方案,缺乏站在整体角度审视用户安全需求。因此,不但投资成本高,而且防护效果不理想,与网络匹配性差,只能作为一种过渡方案。2.3简单堆砌的UTM
UTM的出现曾经很好的解决了“补丁式”安全方案高成本的问题,但是依然无法有效的与网络环境相匹配,无法提供完整的防护功能。这主要是由于UTM的理念和架构设计所造成的,其主要问题体现在:功能缺失:虽然UTM集成了部分IPS、AV的功能,但由于大部分的UTM都是从FW演进而来,因此其访问控制依然采用基于端口和IP的方式,缺乏针对应用的识别、管控、流量分析、流量优化。所以,部分UTM可以称为“带着半个眼罩”的保安。
应用层性能瓶颈:首先,UTM只是简单整合了应用层防护功能,IPS、AV、Web过滤都还是独立的检测分析引擎,没有进行统一的整合,一个数据包需要经过多次拆包解包,多次分析匹配才完成处理。同时,由于应用层安全防护强调的是计算的灵活性与并行处理能力(特征比对等),而传统网络层安全设备强调的是单一功能的、重复计算的高性能(基于端口的状态检测)。因此,从防火墙演进而来的UTM往往存在着应用层性能处理瓶颈,这也是为什么我们看到一台2G防火墙性能的UTM,在所有功能都开启后只有400—700兆应用层处理能力,性能急剧下降的原因。
因此,UTM的方案只能满足部分规模较小、应用简单网络环境的安全防护要求,但是面对应用复杂、网络性能较高的高端部署场景来说(数据中心、广域骨干网、大型互联网出口等),UTM依然无力。
3下一代防火墙的诞生与价值
3.1Gantner定义下一代防火墙
针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场咨询分析机构Gartner在2009年发布了一份名为《Defining the Next-GenerationFirewall》的文章,给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。在Gartner 看来,NGFW 应该是一个线速(wire-speed)网络安全处理平台, 在功能上至少应当具备以下几个属性:
1.支持联机“bump-in-the-wire”配置,不中断网络运行。
2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:
(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。
(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。
(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。
Gartner认为,随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加和随着成功的攻击,促使更新防火墙,大企业将用NGFW替换已有的防火墙。不断变化的威胁环境,以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。
Gartner预计到2014年底,用户采购防火墙的比例将增加到占安装量的35%,60%新购买的防火墙将是NGFW。
3.2下一代防火墙特点与用户价值
通过将中国用户的安全需求与Garnter定义的“NGFW”功能特性相结合,推出了下一代应用防火墙NGAF产品。NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。
NGAF 不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。其具体特点如下:
更精细的应用层安全控制:
- 贴近国内应用、持续更新的应用识别规则库
- 识别内外网超过724种应用、1253种动作(截止2011年8月10日)
- 支持包括AD域、Radius等8种用户身份识别方式
- 面向用户与应用策略配置,减少错误配置的风险
更全面的内容级安全防护:
- 基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲
- 强化的WEB应用安全,支持多种注入防范、XSS攻击、权限控制等
- 完整的终端安全保护,支持插件/脚本过滤、漏洞/病毒防护等
更高性能的应用层处理能力:
- 单次解析架构实现报文一次拆解和匹配
- 多核并行处理技术提升应用层分析速度
- 全新技术架构实现应用层万兆处理能力
更完整的安全防护方案
- 可替代传统防火墙/VPN、IPS所有功能,实现内核级联动
