随着互联网的发展,网络安全威胁也在不断发生变化。传统基于网络层的安全威胁已经转变为以应用层攻击行为为主的安全威胁。据权威IT研究机构Gartner统计表明高达3/4的网络威胁是基于应用层而非网络层的,在这一发展趋势下,基于网络层的传统防火墙显得日益先天不足和力不从心。
在传统应用下,防火墙基于传统的端口/协议类安全策略来进行防范,但随着私人或移动设备的企业网络接入等变化,使得更多的通讯量仅通过少数端口和协议进行,例如, 80或443的流量在传统防火墙看起来都是一样的,传统防火墙是无法防御其中基于应用的威胁。IPS虽然能够根据已知的攻击特征阻止一些攻击,能是由于无法识别应用,因而不能对具体应用进行防护,也无法阻止特定应用的滥用。因此“下一代防火墙”通过面向业务应用和用户身份识别,为用户提供多链路及带宽流量智能控制、集中化管理维护相结合安全策略。
Gartner将网络防火墙定义为在线安全控制措施,即:可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性,以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。
针对下一代防火墙的相关问题,我们采访了梭子鱼中国区总经理何平,何平向记者表示,业界关于下一代防火墙的定义仍然没一个统一的意见,即便是最具权威的Gartner给出的定义也无法统一意见,但这并不影响梭子鱼对下一代防火墙理解。相反对于下一代防火墙梭子鱼有自己更为明确的定义:即是集成了虚拟化软件和硬件架构的智能网络平台,可对各种流量实施深层探测并阻止各类攻击。
当记者问及梭子鱼是否打算联合友商推动下一代防火墙的标准定义时,何平表示,某一标准的存在主要出于解决交流障碍的考虑,即通用性强,因此标准是参与者妥协产生的标准,而事实上,谁是市场的NO.1,谁就是标准,因此梭子鱼更希望能用产品来说话。
基于云安全的NG Firewall
云计算的关键之处在于通讯。如果通讯中断,云也就不复存在了。NG Firewall能做到的是在云计算的基础上保证链路的持续稳定性。如果用户链路不稳定,那么就会存在相当大的风险。Webservice是云计算的一种服务。梭子鱼把这个服务和NG Firewall结合在一起,亦即在客户进行决策的时候,很多计算可以在云端进行。NG Firewall利用云计算的计算能力,将那些无法在本地计算的数据发布到云端,并将其结果反馈回来,这大大降低了对本地计算能力的占用率。另一方面,为客户端提供安全性的防护。这也减少了本地设备的资源使用率。
何平认为,从用户角度看,云安全可分为显性与隐性两种,当企业CRM系统登陆界面时,用户数据库部署在云端即为显性云安全,而隐性云安全有如梭子鱼NG firewall下一代防火墙一样,将应用计算也一并移动到云端,当防火墙遭遇一个访问时,发送一个指令到云端,而非只是将数据保存在云端。
何平指出,梭子鱼的下一代防火墙是一个安全、低成本、可集中性管理的私有安全云的防护,是一种对于网关的防护,而在当今整个网点全网络的安全趋势下,传统防火墙包括UTM已经做不到安全防护了,而下一代防火墙的提出,基于云计算的模式下可以更好的做好整体安全防护。
