行业动态
网络安全新寓言之“变形金刚”
发布者:admin 日期:2013-6-9 点击次:1245
80年代长寿动画作品《变形金刚》,在世界各地都曾引起过爆炸性欢迎,对中国的70、80后一代来讲,是一段无法绕过的经典回忆。随着电影《变形金刚4》在好莱坞开机拍摄,无数的“钢丝”们早已按耐不住内心的憧憬和期待,尽管距离上映还有一年时间,但围绕变形金刚的话题已在悄然升温。
其实在当今的网络世界里,也正在掀起一轮 “变形金刚”的热潮,那就是下一代防火墙在网络安全领域带来的技术创新和理念变革。专业人士形象地把下一代防火墙比作网络世界里的“变形金刚”,是因为当今的信息系统所处的环境犹如浩瀚宇宙,充斥着黑暗和未知因素,网络攻击在数量和形式上日新月异,隐蔽性越来越高,信息系统要面对来自各个层面的威胁,而下一代防火墙在提供高性能的前提下,将网络攻击防护、入侵防御、病毒防护、URL过滤、数据防泄漏等多种安全防御手段有机的融为一体,正如一群个性鲜明、各有所专且善于变化的“汽车人”紧密配合,克服千难万险,战胜一个又一个网络威胁。
个体叠加并非取胜之匙
为了应对来自多方面的威胁,人们在早先就提出了“分层安全”的概念,该概念来源于 “纵深防御(Defence In Depth)”的理念,其核心思想是为了顺应网络威胁的新变化,在信息系统前端构建起多层面、多种手段的防御机制。为了构建分层次的网络安全体系,在先前,我们大多采用分布式部署多种安全设备或在网络边界处部署UTM设备的方案。
分布式部署多种安全设备,其实是将防火墙、入侵防御、防毒墙、VPN、上网行为管理、带宽管理等具备不同安全功能的设备分布式串行部署,这种看似全面的安全架构,其实存在着明显的弊端。首先,部署多种安全设备,无疑将大幅增加企业的投入成本,尤其是从组网架构上讲,每一个设备均存在单点故障的风险,若要冗余部署各设备,又将成倍的增加投入;第二,管理多个不同类型的安全产品,势必带来维护成本大幅增加,对于用户来讲同样是极大的负担,这也是很多机构部署了大量安全设备,却始终缺乏管理的主要原因;而严重的是,由于安全产品往往来自于不同厂商,缺乏一套统一的标准,从而造成各安全产品之间无法进行全面的信息交换及联动防御,这不但没有解决安全问题,反而助长了许多安全孤岛和盲区的形成。
UTM产品的出现,让用户眼前一亮,尤其是其集各种安全防御本领于一身的特性,曾受到了广大用户的极力追捧,然而,当UTM的热潮渐渐褪去,我们才逐渐看清概念与现实的差距。UTM产品仅仅是在防火墙基础上简单叠加其它安全功能,在一个防火墙平台上执行一系列诸多层面的安全检查,势必造成设备性能衰减严重,这一点,其实IDC早在2004年定义UTM概念时就已认识到,只是各安全厂商出于商业宣传的目的,将UTM产品包装的无所不能,使用户误认为部署了UTM产品就可以高枕无忧;更重要的是,UTM仅仅是各项功能的简单叠加,从本质上讲并没有进行有机的整合,同样无法改善安全孤岛和盲区的问题。这些便是大多数UTM产品至今仍停留在概念阶段的原因。
其实,无论是分布式部署还是UTM集成化的解决方案,最大的问题在于各设备、功能模块间均相互割裂、缺乏关联,而单纯的从某一种威胁出发,“头痛医头、脚痛医脚”的做法,显然已无法跟上当今威胁的变化。
面对威胁需面面俱到、精于变化
当今的网络世界之所以急切的呼唤“变形金刚”的出现,是因为他们能文能武、能伸能屈,既能单兵作战,又能协同出击,其独有的特质完全符合人们在面对当今网络威胁时的期盼和要求。
强势抵御网络攻击
基本的防火墙功能,可高性能抵御各种泛洪攻击,阻断扫描、探查攻击,识别并禁止各种基于IP数据包的攻击,在网络层为用户构筑起一道铜墙铁壁。
及时拦截恶意入侵
入侵防御(IPS)功能,在对各种应用层协议的深入识别基础上,能够对2500种漏洞攻击及近500种恶意软件进行防范,为用户在网络边界堵住漏洞。
彻底粉碎网络病毒
集成了基于流扫描、云查杀技术的病毒防护(AV)功能,与传统查杀技术相比,病毒样本收录数提升6~7倍,扫描性能提升5~10倍,云端病毒库第一时间响应新威胁,保证病毒还未开始大面积传播就已被彻底粉碎。
智能防范网络钓鱼
网址过滤(URL Filter)功能,且拥有全球最大中文网页分类库,基于网页内容对超过3000万条URL进行智能分类,对于网络钓鱼、恶意代码、欺诈类的网址能够精确定位,使网络用户上网不再“上当受骗”。
严格控制数据泄漏
数据防泄漏(DLP)功能,支持针对300余种应用协议进行数据泄露保护,可对控制66类文件传输行为以及11类文件内容进行过滤,保证隐私信息、商业机密不外泄。
无缝融合才是战无不胜的“变形金刚”
然而,《变形金刚》的故事告诉我们,仅依靠一己的无穷变化,绝不足以抵御所有威胁,正如“汽车人”团队一样,每名成员均具备各自所长,但如果没有“擎天柱”的率领和调配,在一次次抵御威胁的战斗中仍将难逃一败涂地的命运。
各展所长、通力配合
下一代防火墙与传统技术的本质差异,在于各功能间的无缝融合以及基于各功能模块检测情况的统一分析。高性能单路径异构并行引擎,将各种防御机制有机的融合,在进行威胁识别时,只需对数据流量进行一次检测,即可并行匹配各种威胁特征,各检测手段可以协同配合并顺畅联动,也强大的可视化界面,用户可对关联了人、应用、威胁的所有信息一目了然。
正是因为这些特性的存在,帮助用户在识别威胁时从过去单纯的特征检测提升到了行为检测的高度,也真正将被动防御变为主动防御。
其实在当今的网络世界里,也正在掀起一轮 “变形金刚”的热潮,那就是下一代防火墙在网络安全领域带来的技术创新和理念变革。专业人士形象地把下一代防火墙比作网络世界里的“变形金刚”,是因为当今的信息系统所处的环境犹如浩瀚宇宙,充斥着黑暗和未知因素,网络攻击在数量和形式上日新月异,隐蔽性越来越高,信息系统要面对来自各个层面的威胁,而下一代防火墙在提供高性能的前提下,将网络攻击防护、入侵防御、病毒防护、URL过滤、数据防泄漏等多种安全防御手段有机的融为一体,正如一群个性鲜明、各有所专且善于变化的“汽车人”紧密配合,克服千难万险,战胜一个又一个网络威胁。
个体叠加并非取胜之匙
为了应对来自多方面的威胁,人们在早先就提出了“分层安全”的概念,该概念来源于 “纵深防御(Defence In Depth)”的理念,其核心思想是为了顺应网络威胁的新变化,在信息系统前端构建起多层面、多种手段的防御机制。为了构建分层次的网络安全体系,在先前,我们大多采用分布式部署多种安全设备或在网络边界处部署UTM设备的方案。
分布式部署多种安全设备,其实是将防火墙、入侵防御、防毒墙、VPN、上网行为管理、带宽管理等具备不同安全功能的设备分布式串行部署,这种看似全面的安全架构,其实存在着明显的弊端。首先,部署多种安全设备,无疑将大幅增加企业的投入成本,尤其是从组网架构上讲,每一个设备均存在单点故障的风险,若要冗余部署各设备,又将成倍的增加投入;第二,管理多个不同类型的安全产品,势必带来维护成本大幅增加,对于用户来讲同样是极大的负担,这也是很多机构部署了大量安全设备,却始终缺乏管理的主要原因;而严重的是,由于安全产品往往来自于不同厂商,缺乏一套统一的标准,从而造成各安全产品之间无法进行全面的信息交换及联动防御,这不但没有解决安全问题,反而助长了许多安全孤岛和盲区的形成。
UTM产品的出现,让用户眼前一亮,尤其是其集各种安全防御本领于一身的特性,曾受到了广大用户的极力追捧,然而,当UTM的热潮渐渐褪去,我们才逐渐看清概念与现实的差距。UTM产品仅仅是在防火墙基础上简单叠加其它安全功能,在一个防火墙平台上执行一系列诸多层面的安全检查,势必造成设备性能衰减严重,这一点,其实IDC早在2004年定义UTM概念时就已认识到,只是各安全厂商出于商业宣传的目的,将UTM产品包装的无所不能,使用户误认为部署了UTM产品就可以高枕无忧;更重要的是,UTM仅仅是各项功能的简单叠加,从本质上讲并没有进行有机的整合,同样无法改善安全孤岛和盲区的问题。这些便是大多数UTM产品至今仍停留在概念阶段的原因。
其实,无论是分布式部署还是UTM集成化的解决方案,最大的问题在于各设备、功能模块间均相互割裂、缺乏关联,而单纯的从某一种威胁出发,“头痛医头、脚痛医脚”的做法,显然已无法跟上当今威胁的变化。
面对威胁需面面俱到、精于变化
当今的网络世界之所以急切的呼唤“变形金刚”的出现,是因为他们能文能武、能伸能屈,既能单兵作战,又能协同出击,其独有的特质完全符合人们在面对当今网络威胁时的期盼和要求。
强势抵御网络攻击
基本的防火墙功能,可高性能抵御各种泛洪攻击,阻断扫描、探查攻击,识别并禁止各种基于IP数据包的攻击,在网络层为用户构筑起一道铜墙铁壁。
及时拦截恶意入侵
入侵防御(IPS)功能,在对各种应用层协议的深入识别基础上,能够对2500种漏洞攻击及近500种恶意软件进行防范,为用户在网络边界堵住漏洞。
彻底粉碎网络病毒
集成了基于流扫描、云查杀技术的病毒防护(AV)功能,与传统查杀技术相比,病毒样本收录数提升6~7倍,扫描性能提升5~10倍,云端病毒库第一时间响应新威胁,保证病毒还未开始大面积传播就已被彻底粉碎。
智能防范网络钓鱼
网址过滤(URL Filter)功能,且拥有全球最大中文网页分类库,基于网页内容对超过3000万条URL进行智能分类,对于网络钓鱼、恶意代码、欺诈类的网址能够精确定位,使网络用户上网不再“上当受骗”。
严格控制数据泄漏
数据防泄漏(DLP)功能,支持针对300余种应用协议进行数据泄露保护,可对控制66类文件传输行为以及11类文件内容进行过滤,保证隐私信息、商业机密不外泄。
无缝融合才是战无不胜的“变形金刚”
然而,《变形金刚》的故事告诉我们,仅依靠一己的无穷变化,绝不足以抵御所有威胁,正如“汽车人”团队一样,每名成员均具备各自所长,但如果没有“擎天柱”的率领和调配,在一次次抵御威胁的战斗中仍将难逃一败涂地的命运。
各展所长、通力配合
下一代防火墙与传统技术的本质差异,在于各功能间的无缝融合以及基于各功能模块检测情况的统一分析。高性能单路径异构并行引擎,将各种防御机制有机的融合,在进行威胁识别时,只需对数据流量进行一次检测,即可并行匹配各种威胁特征,各检测手段可以协同配合并顺畅联动,也强大的可视化界面,用户可对关联了人、应用、威胁的所有信息一目了然。
正是因为这些特性的存在,帮助用户在识别威胁时从过去单纯的特征检测提升到了行为检测的高度,也真正将被动防御变为主动防御。
京ICP备09010596号-1;版权所有:北京万任科技有限责任公司; 全国客服专线:010-84715358;
传真:010-84715358;地址:北京市海淀区北三环西路32号恒润国际大厦17层;(IE8以上)
