内容安全 
大数据安全 
网络安全 
更多产品 
《网络运维与管理》下一代防火墙颠覆传统安全理念
发表日期:2013-01-09 20:23:00
传统安全设备把企业网流量简单地分为两种——合法和非法,而防御手段也很简单——利用访问控制列表放行合法流量、阻塞非法流量。而随着网络应用的日益发展,应用的数量、类型和特性都发生了巨大的变化。应用不再只有简单的合法和非法之分,很多对企业非常重要的合法应用同样存在风险,可能会携带病毒和木马。因此,简单的允许或阻止无法解决企业网的安全问题,安全设备必须要把关注的重点转移到如何安全地使用应用上。
让我们回到企业自身的角度来思考一下,企业网中都有哪些类型的应用:
1.公司业务强烈依赖的应用,如OA系统、报销系统
2.部分员工需要依赖的应用,如销售部门需要使用QQ、MSN等即时通讯应用
3.与工作无关但受员工喜爱的应用,如在线音乐、社交网站等
以上应用中有很多是部署在企业外部网络中的,而这些应用都有可能携带威胁。这些应用会传输文件、占用带宽、携带木马、为其他应用打开隧道,部分应用还有逃逸识别的特性。应用的误用可能会造成企业办公效率的降低、数据的泄露和业务的中断。因此,企业需要权衡特定应用对公司业务的价值和风险,一方面要发挥这些应用为公司业务带来的便利,另一方面也要避免应用中可能携带的威胁对公司的影响。
为了实现企业对应用安全的要求,下一代的网络安全设备应该具有以下几种控制手段:
1.阻塞、允许
2.多种条件的限制
3.安全扫描
4.威胁的主动防御
5.流量整形
阻塞和允许是传统安全设备的基本策略,而基于应用的黑白名单可以让IT管理者将企业需要的应用有条件地放开,将与企业无关的高风险应用进行彻底阻塞(如P2P、炒股、网络视频)。
新的安全架构需要基于各种条件对应用的使用做限制,如基于用户、用户群组、vlan、终端类型、时间段以及应用的细化功能等条件。企业可以严格地限制某些用户在某些时段可以使用某个应用的某些功能,通过限制应用使用的形式来较大程度地减少风险。
对应用做安全扫描可以从另一个角度来减少威胁,通过对应用进行入侵扫描、病毒扫描和URL过滤来发现应用中所携带的风险。
由于威胁不断变化、善于隐藏,部分威胁可能会逃脱安全扫描,这时就需要有不基于特征识别技术的主动防御功能来发现未知的威胁。主动防御技术通过对用户的应用行为分析、安全基线对比分析、集成关联分析来发现潜在的僵尸主机和攻击行为,保障企业网的应用安全。
基于应用的流量整形通过流量保障和流量控制技术来防止无关应用对企业关键应用的干扰,提升带宽的价值。
当然,很多企业已经意识到,随着威胁的日益变化,传统的安全理念已无法满足企业网络安全防护的需求,于是开始采购防火墙、IPS、防毒墙、流控设备。这些设备可以满足企业某些方面的安全需求,但却有很多缺陷。首先,采购这些设备需要很多成本,增加了IT部门的TOC(总拥有成本),不利于IT部门的KPI绩效。同时,串行地部署这些设备增加了单点故障的几率,网络延迟也将会大幅增加。并且,这些设备各自为政,缺少全局视野,不仅管理和维护起来麻烦,还无法通过关联分析发现未知的威胁,最终的效果只能是事倍功半。UTM产品是以上几种产品的模块化集成,提供了一种低成本的解决方案。但由于UTM产品的架构所限,各模块仍然是串行工作,每多开启一个模块就会严重影响设备性能,极大地增加了网络延迟。同时,割裂的安全模块无法看到威胁的全貌,不能提供集成关联分析等主动防御功能,且配置起来非常复杂。
网康下一代防火墙通过单路径异构并行处理技术,完美地解决了UTM各模块割裂的情况,实现了一体化的安全架构和一体化的策略配置管理,彻底颠覆了传统安全理念。通过深入洞察网络流量中的用户、应用和内容,实现对应用的阻塞、允许、条件限制、安全扫描、主动防御和流量整形,帮助企业安全地开展业务并简化企业的网络安全架构。
