與那些優(yōu)雅而精密的攻擊手段相比，DDoS顯得十分“粗線(xiàn)條”，甚至非常的不具有技術(shù)含量。然而，利用控制大面積的僵尸主機(jī)，現(xiàn)今的攻擊者可以發(fā)起非常大規(guī)模的攻擊，足以造成一些大規(guī)模網(wǎng)絡(luò)設(shè)施的癱瘓。

DDoS成與無(wú)解的難題

2008年度大規(guī)模爆發(fā)的Conficker蠕蟲(chóng)所造成的影響至今仍歷歷在目，盡管該蠕蟲(chóng)利用的系統(tǒng)漏洞很快就被發(fā)現(xiàn)同時(shí)也發(fā)布了修補(bǔ)程序，但是在隨后的一個(gè)季度里，Conficker和它的變種程序仍舊控制了超過(guò)150個(gè)國(guó)家的上千萬(wàn)臺(tái)計(jì)算機(jī)。

與傳統(tǒng)的、單純的DDoS攻擊不同，追求利益的黑客社團(tuán)并非為了有趣而糾集如此數(shù)量眾多的計(jì)算機(jī)。他們依賴(lài)出售所控制的計(jì)算機(jī)資源給最終發(fā)起攻擊的人來(lái)謀取利益，或者對(duì)所控制的計(jì)算機(jī)施行網(wǎng)絡(luò)釣魚(yú)等欺詐性操作從而獲得有經(jīng)濟(jì)價(jià)值的情報(bào)。

事實(shí)上，當(dāng)全球的公司和組織仍舊將信息安全防護(hù)的中心指向互聯(lián)網(wǎng)的時(shí)候，其內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)往往卻成為危害互聯(lián)網(wǎng)安全和其它組織安全的“幫兇”。

DDoS作為一種典型的互聯(lián)網(wǎng)攻擊手段，其名字當(dāng)中所包含的“分布式”字樣已經(jīng)明確地表明了自己的本質(zhì)所在。而其背后的僵尸網(wǎng)絡(luò)體系，更是匯集了互聯(lián)網(wǎng)安全領(lǐng)域的諸多問(wèn)題。

事實(shí)上，當(dāng)下流行的絕大多數(shù)安全問(wèn)題，都表現(xiàn)出綜合多種攻擊方式、結(jié)合社交工程手段、有目的分階段地展開(kāi)動(dòng)作等特征?；ヂ?lián)網(wǎng)時(shí)代的安全問(wèn)題，正在呈現(xiàn)出高度分布化的特征，傳統(tǒng)的安全防護(hù)手段顯得捉襟見(jiàn)肘也就不足為怪了。

與分布式攻擊對(duì)應(yīng)的，用戶(hù)的防范措施不能停留在諸如網(wǎng)關(guān)防護(hù)這樣的單點(diǎn)防御層面上，而也應(yīng)該具有相適應(yīng)的體系。各種不同防護(hù)措施的聯(lián)動(dòng)已經(jīng)不能夠完全滿(mǎn)足需要，能夠跨越組織邊界的、徹底面向互聯(lián)網(wǎng)的安全防護(hù)體系，才能夠真正保障用戶(hù)的信息安全性。

具有新時(shí)代特征的防火墻

傳統(tǒng)防火墻基于三層和四層的包過(guò)濾，很容易造成單點(diǎn)突破問(wèn)題，安全強(qiáng)度得不到保障。而隨著應(yīng)用層過(guò)濾的不斷主流化，以及在UTM理念倡導(dǎo)下的功能整合化、規(guī)則統(tǒng)一化、平臺(tái)靈活化，防火墻產(chǎn)品在防范互聯(lián)網(wǎng)威脅方面已經(jīng)取得了長(zhǎng)足的進(jìn)步。

然而，就目前的情況來(lái)看，這些進(jìn)步還遠(yuǎn)沒(méi)有達(dá)到令用戶(hù)高枕無(wú)憂(yōu)的程度。盡管防火墻類(lèi)型的產(chǎn)品在性能和功能上乃至防護(hù)范圍上都有了很大的提高，但是在應(yīng)對(duì)高速變化、高速增長(zhǎng)的互聯(lián)網(wǎng)威脅方面，在靈活程度和適應(yīng)能力方面仍舊有所欠缺。

UTM作為一個(gè)廣受認(rèn)可的理念和實(shí)踐框架，已經(jīng)在各個(gè)主流廠(chǎng)商的產(chǎn)品中有所體現(xiàn)。雖然很多專(zhuān)攻UTM產(chǎn)品市場(chǎng)的廠(chǎng)商都盡可能地突出UTM與防火墻的不同，但是不可忽視的一點(diǎn)在于，UTM產(chǎn)品在檢測(cè)模式等基本工作原理上仍舊與防火墻如出一轍。

即便是性能達(dá)到萬(wàn)兆級(jí)別的多核UTM系統(tǒng)，其設(shè)計(jì)模型中也不可避免地充斥著防火墻技術(shù)的痕跡。所以說(shuō)，UTM產(chǎn)品在很大程度上可以看作防火墻產(chǎn)品的發(fā)展和擴(kuò)展，是全新一代的防火墻。

值得注意的是，目前有為數(shù)不少的主流廠(chǎng)商都在跟進(jìn)X-UTM的概念，其中就包括了在UTM產(chǎn)品領(lǐng)域處于領(lǐng)先地位的Foreinet公司。具有充分靈活的架構(gòu)以保證能根據(jù)不同需要集成安全功能是X-UTM架構(gòu)的最重要特征，而這也延續(xù)了UTM架構(gòu)的核心理念。而與最初的UTM產(chǎn)品相比，X-UTM產(chǎn)品在實(shí)現(xiàn)上更加徹底和高效。除了具備充足的運(yùn)算性能以實(shí)現(xiàn)真正的UTM之外，X-UTM產(chǎn)品嚴(yán)格要求所集成的功能在管理層面上取得統(tǒng)一，并能夠緊密配合。一個(gè)真正的X-UTM產(chǎn)品平臺(tái)，可以靈活的插接安全功能，并實(shí)時(shí)根據(jù)當(dāng)前的應(yīng)用情景調(diào)配各個(gè)部分的性能配給，智能地保證產(chǎn)品隨時(shí)都達(dá)到最大的綜合功效。

與X-UTM相類(lèi)似的還有被稱(chēng)為XTM的產(chǎn)品模式，這是由WatchGuard公司所推出的一種致力于提高安全設(shè)備擴(kuò)展能力的架構(gòu)，其X就取自英文的擴(kuò)展一詞。在實(shí)際功能方面，XTM產(chǎn)品在傳統(tǒng)的防護(hù)功能基礎(chǔ)上大力擴(kuò)展針對(duì)Web安全威脅的保護(hù)功能以及對(duì)于應(yīng)用層內(nèi)容的過(guò)濾。

而由于要對(duì)更多的功能進(jìn)行管理，要對(duì)更多的未知威脅進(jìn)行預(yù)警，可管理性也是XTM產(chǎn)品的重要指標(biāo)?？梢哉f(shuō)，面對(duì)每年都會(huì)有所變化的主流安全問(wèn)題，可擴(kuò)展的安全架構(gòu)可以讓硬件級(jí)安全設(shè)備也具有近似于軟件安全產(chǎn)品的“升級(jí)”能力，具有相當(dāng)?shù)膶?shí)用性。

套用軟件行業(yè)近年來(lái)流行的一個(gè)詞匯來(lái)說(shuō)，“隨需應(yīng)變”正成為業(yè)務(wù)應(yīng)用新的關(guān)注點(diǎn)。而作為另一個(gè)X字頭的產(chǎn)品系列，天融信最新推出的X-Firewall則將主要著眼點(diǎn)放在了按需定制方面。本土廠(chǎng)商對(duì)于用戶(hù)需求的深入了解，往往能形成強(qiáng)有力的產(chǎn)品優(yōu)勢(shì)。

X-Firewall在設(shè)計(jì)上更加強(qiáng)調(diào)一體化和模塊化，以達(dá)成對(duì)安全策略的統(tǒng)一管理和調(diào)度。為了真正實(shí)現(xiàn)安全按需定制的目標(biāo)，天融信自主研發(fā)的TOS安全操作系統(tǒng)成為該系統(tǒng)架構(gòu)上的最大亮點(diǎn)之一。該操作系統(tǒng)不但實(shí)現(xiàn)了多種安全功能的融合，在統(tǒng)一策略管理方面也達(dá)到了相當(dāng)?shù)乃疁?zhǔn)，打破了很多掌握在國(guó)外廠(chǎng)商手中的技術(shù)壁壘。

“云”火墻的生命力

在歷數(shù)現(xiàn)有的很多先進(jìn)的防火墻產(chǎn)品概念之后，往往會(huì)不由自主地思考哪種模式更具競(jìng)爭(zhēng)力，以及更先進(jìn)的防火墻模式是怎樣的。時(shí)下正值云安全當(dāng)?shù)?，業(yè)界普遍看好云計(jì)算技術(shù)在信息安全領(lǐng)域的推動(dòng)力，而基于云技術(shù)的防火墻產(chǎn)品，有極大的可能會(huì)成為安全設(shè)備領(lǐng)域的真命天子。

事實(shí)上，時(shí)下流行的各種形式的安全產(chǎn)品，往往也都是對(duì)防火墻產(chǎn)品的發(fā)揚(yáng)光大，與其說(shuō)是防火墻的替代者，莫不如說(shuō)是防火墻的傳承者。這些理念、架構(gòu)和產(chǎn)品，雖然在宣傳上各有側(cè)重，但是其核心都包含了一些相同的特質(zhì)。

集成防護(hù)、按需防護(hù)、主動(dòng)防護(hù)都是大家共同的追求，而可擴(kuò)展性、更變更性、可管理性則也是無(wú)可爭(zhēng)議的發(fā)展方向?！霸啤被饓υ诩婢哌@些優(yōu)點(diǎn)的同時(shí)，在智能化和動(dòng)態(tài)化方面可以提供本質(zhì)上的提升，畢竟一個(gè)龐大云體系的威力要遠(yuǎn)遠(yuǎn)超過(guò)一些小規(guī)模的防護(hù)設(shè)備組合。

作為全球最大的安全威脅檢測(cè)網(wǎng)絡(luò)SensorBase的所有者，思科公司是云火墻技術(shù)最早的支持者和推動(dòng)者。思科的云火墻體系除了能夠基于其對(duì)全球網(wǎng)絡(luò)安全威脅變化的了解來(lái)阻斷來(lái)自互聯(lián)網(wǎng)的攻擊之外，也能夠智能地利用這些情報(bào)識(shí)別內(nèi)部網(wǎng)絡(luò)中感染了僵尸木馬的計(jì)算機(jī)，從而避免安全問(wèn)題的蔓延。

對(duì)于云安全模式的充分應(yīng)用，讓云火墻有更大的可能性在僵尸網(wǎng)絡(luò)危害到信息資產(chǎn)之前過(guò)濾掉其開(kāi)展的攻擊，同時(shí)為內(nèi)部網(wǎng)絡(luò)的各種防護(hù)機(jī)制有更多的時(shí)間識(shí)別和清除相關(guān)的惡意軟件感染。

可以預(yù)見(jiàn)，基于云端信息所獲得的動(dòng)態(tài)響應(yīng)能力，將使得基于云體系的防火墻產(chǎn)品，獲得真正抗衡互聯(lián)網(wǎng)上各種分布式襲擊的能力。

鏈接：

DDoS大事件

DDoS全名是Distribution Denial of Service （分布式拒絕服務(wù)攻擊），最直觀(guān)地，很多不同的DoS攻擊源同時(shí)攻擊某個(gè)網(wǎng)絡(luò)設(shè)施就構(gòu)成了DDoS攻擊。

DDoS 最早可追述到1996年初，2002年開(kāi)始在中國(guó)頻繁出現(xiàn)，到2003年時(shí)已經(jīng)頗具規(guī)模。

大名鼎鼎的Conficker蠕蟲(chóng)最早于2008年11月20日被發(fā)現(xiàn)，截止至2009年初累計(jì)感染的計(jì)算機(jī)數(shù)量已達(dá)驚人的1500萬(wàn)臺(tái)。

2009年，美國(guó)東部時(shí)間10月8日晚23時(shí)左右，Twitter網(wǎng)站宕機(jī)，許多用戶(hù)至次日上午11時(shí)仍然不能正常登入Twitter。這是Twitter繼8月后再次因DDoS攻擊而發(fā)生大范圍宕機(jī)，包括Facebook在內(nèi)的其它著名社交網(wǎng)站也受到這波DDoS攻擊的影響。

【編輯推薦】

1. 應(yīng)用防火墻的下一代
2. 如何自己打造高性能寬帶路由防火墻
3. 硬件防火墻的技術(shù)演變及發(fā)展趨勢(shì)