下一代防火墙-灵魂是主动防御.docVIP

下一代防火墙:灵魂是主动防御影片《007大破天幕危机》可以说是一场网络攻防大战的经典演绎，通过入侵具有极高权限的M夫人的电脑，黑客向英国军情六处的控制中枢展开渗透攻击，在获得控制系统的管理权限之后做出破坏指令，军情六处随之在爆炸中灰飞烟灭。在这场信息安全的较量中，传统防火墙一败涂地。网康科技高级市场经理严雷认为，影片透露出一个趋势：传统的基于代码特征的防火墙已经过时，基于行为特征的下一代防火墙时代已经到来。 特征码策略已过时 传统防火墙设备的防护思路是基于恶意代码特征库的更新。当新的木马、病毒或漏洞出现时，各种恶意代码报告涌现，安全厂商通过捕捉样本，分析病毒、木马和漏洞的特征，找到能唯一识别这些木马、病毒的特征，进而更新其特征库，以识别出企业网络中的安全威胁。在泛在攻击时代，安全厂商及时捕捉攻击特征并快速做出反应。但在针对性攻击逐渐占主流的今天，传统防火墙就无能为力了。正如严雷所言：“攻击策略只针对特定的一两个对象起效，并不具有普遍性，因此恶意代码报告就不存在了。” 应对针对性攻击的另一个难题在于样本难以捕捉和分析。这是因为恶意程序往往具有自我销毁功能，在执行完攻击和破坏任务之后立刻“自杀”。严雷介绍称：“火焰病毒共有20多种变种，目前大约只有6种被捕捉到。即使捕捉到了恶意病毒，对它的分析也需要耗费大量时间并且非常艰难。” 变被动为主动 针对性攻击方兴未艾，传统防火墙黔驴技穷，安全厂商该如何转换安全防护思路？在严雷看来，主动防御是下一代防火墙的灵魂。怎样实现主动防御？网康科技给出的思路是：改分析恶意代码特征为分析用户的行为，将整个流量和日志全部展现出来并进行关联分析，判断用户行为的安全性。 针对性攻击比较复杂，黑客往往会使用一系列的攻击手段。在此过程中，恶意软件需要与远程控制中心进行多次通信。因此严雷认为黑客的攻击行为并非无迹可寻：“通常企业都有一定的行为模式，一旦出现很大的异常行为，就意味着安全风险的存在。比如企业内部的QQ、apk文件下载等应用的流量在短期内突然增加，企业网络突然出现与国外网络通信的异常链接等。下一代防火墙通过联合监控和行为对比，对不同应用的异常流量进行追踪，就能发现攻击的特征。” 下一代防火墙之所以能够实现联合监控和追踪的功能，主要得益于它的深度整合引擎。“基于深度整合引擎，在考察基于网易邮箱下载附件的动作时，我们不仅能搜索到流量监控的日志，还能搜索到网址过滤、防病毒等多种类型的日志。”严雷表示，“深度整合是指将网络监控的所有数据整合在一起，互相之间能相互索引。企业可根据源、目的、行为、动作等指标进行联合考察，让企业IT人员更清晰、全面地了解当前的网络状况。这样做的好处是，企业不仅可以发现黑客的攻击行为，还能进一步确定黑客都干了什么，还有哪些其他攻击行为。 建立多重防线 在主动防御理念的指导下，网康科技在去年10月发布的下一代防火墙基础上进行升级，在今年4月16日发布了新版产品下一代防火墙2.0（网康NGFW2.0），在安全技术、防护措施和贴近客户价值等方面进行了大幅改进。 云安全技术的应用被网康科技看作是最重要的改进之一。由于木马变种速度加快，频繁更新本地特征库带来的性能下降让让企业头疼，并且特征库的更新速度远远无法跟上木马变种的速度。为此，网康NGFW2.0采用了云查杀技术。严雷认为，这样做的好处是查杀的速度更快，准确率大幅提升。“通过与其他安全厂商合作，网康在云端的病毒和木马库的总特征数达到5000万，并且更新频率大大提高。同时，云端检测不会出现性能瓶颈，随着样本库的增长，企业只需调整云中心的硬件配置即可。” 对僵尸网络的分析是网康下一代防火墙主动防御思想的集中体现。严雷透露，网康NGFW2.0引入僵尸主机定位功能，通过对主机的网络行为进行分析，与其常见行为进行对比，可确定哪些主机已被控制。严雷表示：“通过网康NGFW2.0的早期诊断，完全有机会在僵尸网络发作之前将其铲除。”尽管还处在初级阶段，但网康科技对通过主机行为分析寻找僵尸网络的思路充满信心。 数据泄露是为客户建立的最后一道防线。为此，网康NGFW2.0引入了数据防泄漏功能，并且能够针对具体应用进行检测。严雷表示：“数据泄露的渠道有很多，许多网络应用都可以进行数据传输，并且有自己独特的数据传输机制，难以从协议层检测出来。网康NGFW2.0能检测多达300种进行数据传输的应用，并支持64种文件类型的检查，同时还支持正则表达式形式的自定义规则设定。” 除了加强下一代安全技术之外，网康科技还针对客户需求，引入负载均衡和应用引流等极具实用价值的新功能。“这些实用的新功能可帮助用户更好地应对下一代安全威胁。”严雷表示，“在网康NGFW2.0推出之际，我们同时推出了NGFW普及