根据gartner的调查,目前75%以上的安全攻击都是针对应用的,而不是系统底层和网络。从去年开始,我们几乎每个月都在听到某知名网站、某跨国公司的用户数据被泄露,正说明了这个现象。过去的安全事件主要集中在对网络和系统底层的攻击,而现在攻击明显的向上迁移,包括入侵应用、窃取敏感数据,修改商业数据等等。未来这个趋势还将加剧。 所以,对于应用层网络产品来说,保护的重点发生了变化。过去我们主要保护系统和网络,现在则要重点保护应用、数据和用户。
现在能够应对应用层安全风险的产品也有很多,例如waf,那么下一代防火墙在应用层安全方面和ips、waf之类的产品有什么不同呢,我觉得最大的区别在于ips和waf都只能防护部分的应用层风险,而下一代防火墙关注的是完整的应用层安全,它不仅仅能够帮助用户应对类似sql注入、跨站脚本攻击这样的web应用层攻击,而且对面向操作系统和应用系统的漏洞利用、应用层ddos攻击的防护同样有效,也许有朋友会问那为什么那些有ips和waf产品的厂商不做下一代防火墙,其实仔细了解一下目前推出下一代防火墙产品的厂商,大家就会发现包括深信服在内的这些厂商基本都没有ips和waf产品的历史包袱,试想如果一个厂商它的ips和waf产品构成了公司较大的销售额组成,现在让他们推能够同时替代这两个产品的新方案,等于是自己革自己的命,难度是很大的,这也是为什么现在下一代防火墙市场比较少传统安全厂商的关键原因 。
我们并不是否定传统安全,在目前的安全形势下,传统安全仍然是需要的,但我们认为用户并不需要用高昂的成本来额外建设传统安全,这是下一代防火墙应该涵盖的内容,我们需要帮助客户低成本的构建2-7层的完整安全能力,降低网络上多台设备造成的单点故障风险,消除网络瓶颈,提高运维效率。
或许有人会质疑这不就是utm吗,从技术架构上来说,下一代防火墙和utm有本质的区别,utm是属于多种安全功能模块的叠加,所以数据流需要经过多个模块逐一处理,一旦开启应用层功能,性能会急剧下降,这也是为什么号称万兆的utm开启多功能后性能迅速下降到千兆以下水平的关键原因,而下一代防火墙采用的是全新的处理引擎,在数据处理上做到一次拆包多次匹配的单次解析架构,能够大幅提升应用层处理能力,达到万兆水平的应用层处理性能。
下一代防火墙和utm还有一个很大区别是它实现了多种安全特性之间的联动,举个简单的例子,黑客在尝试攻击和入侵的时候会通过扫描和尝试注入点的方式来判断可能的入侵点,由于0day漏洞的存在,我们很难保证所有的入侵尝试都会被准确识别出来,一旦有未能识别的攻击方法,黑客就能顺利完成入侵,当有了智能模块联动技术以后,下一代防火墙的应用层分析模块能够在黑客进行常规尝试的时候就能够发现入侵意图,并通知防火墙模块对来自这个用户的后续尝试进行封堵,这样就能有效避免0day漏洞的利用。
当然,世界上没有绝对的安全,黑客除了正面入侵以外,还可以采用社工手段利用其他方法开下一代防火墙的安全防护,在这种情况下,我们就需要实现双向的内容监测,防止黑客在完成入侵后将组织的机密信息打包带走,或者是篡改网站造成不良影响,因此深信服的下一代防火墙还特别提供了针对敏感信息的过滤,能够防止黑客窃取大量数据,并且在网站被恶意篡改后利用事先缓存的正常页面替换被篡改的页面,并且迅速告警,从而给管理员恢复网站赢得必要的时间,减少网站被篡改带来的不良后果。