面對DDoS的強勢***,歷數現有的很多先進的防火牆產品概念,往往會不由自主地思考,爲了抵抗DDoS簡單粗暴的進攻,哪種模式更具競爭力?更先進的防火牆模式應該是怎樣的?或許防火牆是應該再變變了。
與那些精心設計的***手段相比,DDoS顯得十分“粗線條”,甚至特別不具有技術含量。然而,利用大面積的受控制的殭屍主機,現今的***者可以發起非常大規模的***,足以造成一些大型網絡設施的癱瘓。
DDoS成爲無解的難題
2008年度大規模爆發的Conficker蠕蟲危害所造成的影響至今仍歷歷在目。儘管該蠕蟲利用的系統漏洞很快就被發現同時也有了修補程序,但是在隨後的一個季度裏,Conficker和它的變種程序仍舊控制了超過150個國家的上千萬臺計算機。
與傳統的、單純的DDoS***不同,追求利益的***社團並非爲了有趣而糾集如此數量衆多的計算機。他們依賴出售所控制的計算機資源給最終發起***的人來謀取利益,或者對所控制的計算機施行網絡釣魚等欺詐性操作從而獲得有經濟價值的情報。
事實上,當全球的公司和組織仍舊將信息安全防護的中心指向互聯網的時候,其內部網絡中的計算機往往卻成爲危害互聯網安全和其它組織安全的“幫兇”。
DDoS作爲一種典型的互聯網***手段,其名字當中所包含的“分佈式”字樣已經明確地表明瞭其本質所在。而其背後的殭屍網絡體系,更是彙集了互聯網安全領域的諸多問題。
事實上,當下流行的絕大多數安全問題,都表現出綜合多種***方式、結合社交工程手段、有目的分階段地展開動作等特徵。互聯網時代的安全問題,正呈現出高度分佈化的特徵,傳統的安全防護手段顯得捉襟見肘也就不足爲怪了。
與分佈式***對應的,用戶的防範措施不能停留在諸如網關防護這樣的單點防禦層面上,而也應該具有相適應的體系。各種不同防護措施的聯動已經不能夠完全滿足需要,能夠跨越組織邊界的、徹底面向互聯網的安全防護體系,才能夠真正保障用戶的信息安全性。
具有新時代特徵的防火牆
傳統防火牆基於三層和四層的包過濾,很容易造成單點突破問題,安全強度得不到保障。而隨着應用層過濾的不斷主流化,以及在UTM理念倡導下的功能整合化、規則統一化、平臺靈活化,防火牆產品在防範互聯網威脅方面已經取得了長足的進步。
然而,就目前的情況來看,這些進步還遠沒有達到令用戶高枕無憂的程度。儘管防火牆類型的產品在性能和功能上乃至防護範圍上都有了很大的提高,但是在應對高速變化的互聯網威脅方面,在靈活程度和適應能力方面仍舊有所欠缺。
UTM作爲一個廣受認可的理念和實踐框架,已經在各個主流廠商的產品中有所體現。雖然很多專攻UTM產品市場的廠商都儘可能地突出UTM與防火牆的不同,但是不可忽視的一點在於,UTM產品在檢測模式等基本工作原理上仍舊與防火牆如出一轍。
即便是性能達到萬兆級別的多核UTM系統,其設計模型中也不可避免地充斥着防火牆技術的痕跡。所以說,UTM產品在很大程度上可以看作是防火牆產品的發展和擴展,是全新一代的防火牆。
值得注意的是,目前有爲數不少的主流廠商都在跟進X-UTM的概念,其中就包括了在UTM產品領域處於領先地位的Foreinet公司。具有充分靈活的架構以保證能根據不同需要集成安全功能是X-UTM架構的最重要特徵,而這也延續了UTM架構的核心理念。與最初的UTM產品相比,X-UTM產品除了具備充足的運算性能以實現真正的UTM之外,X-UTM產品還嚴格要求所集成的功能在管理層面上取得統一,並能夠緊密配合。一個真正的X-UTM產品平臺,可以靈活地插接安全功能,並能實時根據當前的應用情景調配各個部分的性能配給,還可以智能地保證產品隨時都達到最大的綜合功效。
與X-UTM相類似的還有被稱爲XTM的產品模式,這是由WatchGuard公司所推出的一種致力於提高安全設備擴展能力的架構,其X就取自英文的擴展一詞。在實際功能方面,XTM產品在傳統的防護功能基礎上大力擴展針對Web安全威脅的保護功能以及對於應用層內容的過濾。
而由於要對更多的功能進行管理,要對更多的未知威脅進行預警,可管理性也是XTM產品的重要指標。可以說,面對每年都會有所變化的主流安全問題,可擴展的安全架構可以讓硬件級安全設備也具有近似於軟件安全產品的“升級”能力,具有相當的實用性。
作爲另一個X字頭的產品系列,天融信最新推出的X-Firewall則將着眼點放在了按需定製方面。本土廠商對於用戶需求的深入瞭解,往往能形成強有力的產品優勢。
X-Firewall在設計上更加強調一體化和模塊化,以達成對安全策略的統一管理和調度。爲了真正實現安全按需定製的目標,天融信自主研發的TOS安全操作系統成爲該系統架構上的最大亮點之一。該操作系統不但實現了多種安全功能的融合,在統一策略管理方面也達到了相當的水準,打破了很多掌握在國外廠商手中的技術壁壘。
“雲火牆”的生命力
時下正值雲安全當道,業界普遍看好雲計算技術在信息安全領域的推動力,而基於雲技術的防火牆產品,有極大的可能會成爲安全設備領域的真命天子。
事實上,時下流行的各種形式的安全產品,往往也都是對防火牆產品的發揚光大,與其說是防火牆的替代者,莫不如說是防火牆的傳承者。這些理念、架構和產品,雖然在宣傳上各有側重,但是其核心都包含了一些相同的特質。
集成防護、按需防護、主動防護都是大家共同的追求,而可擴展性、可變更性、可管理性則也是無可爭議的發展方向。“雲火牆”在兼具這些優點的同時,在智能化和動態化方面可以提供本質上的提升,畢竟一個龐大雲體系的威力要遠遠超過一些小規模的防護設備組合。
作爲全球最大的安全威脅檢測網絡SensorBase的所有者,思科公司是“雲火牆”技術最早的支持者和推動者。思科的“雲火牆”體系除了能夠基於其對全球網絡安全威脅變化的瞭解來阻斷來自互聯網的***之外,也能夠智能地利用這些情報識別內部網絡中感染了殭屍***的計算機,從而避免安全問題的蔓延。
對於雲安全模式的充分應用,讓“雲火牆”有更大的可能性在殭屍網絡危害到信息資產之前過濾掉其開展的***,同時爲內部網絡的各種防護機制提供更多的時間來識別和清除相關的惡意軟件感染。
可以預見,基於雲端信息所獲得的動態響應能力,將使得基於雲體系的防火牆產品獲得真正抗衡互聯網上各種分佈式襲擊的能力。