一、下一代防火墻準(zhǔn)備好了嗎？

1.中高端用戶需求的變化

出于業(yè)務(wù)系統(tǒng)本身的重要性考慮，中高端用戶對(duì)于系統(tǒng)本身的高性能、高可靠性和功能的專業(yè)性等更為關(guān)心。一方面，用戶不希望安全產(chǎn)品成為其中的性能瓶頸，而企業(yè)本身的大流量數(shù)據(jù)客觀上對(duì)于性能提出了更高的要求，出現(xiàn)萬(wàn)兆甚至數(shù)十萬(wàn)兆的服務(wù)需求。另一方面，業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)中心成為防護(hù)的重點(diǎn)，典型如企業(yè)的辦公自動(dòng)化系統(tǒng)，生產(chǎn)訂單管理系統(tǒng)，供應(yīng)鏈和財(cái)務(wù)體系等部門(mén)的業(yè)務(wù)服務(wù)器等，其系統(tǒng)遭受到攻擊導(dǎo)致的系統(tǒng)癱瘓將對(duì)企業(yè)生產(chǎn)運(yùn)營(yíng)有非常嚴(yán)重的危害。

對(duì)于以上的安全防護(hù)，除了基礎(chǔ)的安全域隔離之外，針對(duì)業(yè)務(wù)系統(tǒng)的安全漏洞產(chǎn)生的攻擊防護(hù)變得尤其重要，此時(shí)FW和IPS入侵防御往往成為企業(yè)安全防護(hù)的主要技術(shù)手段。這也是下一代防火墻（NGFW）的概念中FW和IPS的功能往往被重點(diǎn)提及的原因。應(yīng)該說(shuō)這種FW和IPS特性的集成，在一定程度上可以簡(jiǎn)化企業(yè)的安全部署和實(shí)現(xiàn)一體化的管理，這自然是符合用戶的期望。

2.“FW+IPS”的現(xiàn)實(shí)難題

業(yè)界廠商及第三方的咨詢機(jī)構(gòu)去研究或是試圖去定義新的安全產(chǎn)品形態(tài)，并形成了一些對(duì)于下一代防火墻產(chǎn)品的初步定義，其中就包括在防火墻產(chǎn)品中集成IPS特性的這個(gè)技術(shù)點(diǎn)。這一定義積極的一方面是它在理論規(guī)劃上滿足了用戶的期望，但是在實(shí)現(xiàn)方式和效果上，仍然存在明顯的技術(shù)缺陷需要解決。

◆專業(yè)性不足，漏報(bào)率高

高性能、高可靠以及專業(yè)的功能是用戶對(duì)安全最關(guān)鍵的技術(shù)要求，尤其是針對(duì)諸如IPS這種需要進(jìn)行深度報(bào)文過(guò)濾的系統(tǒng)，其本身的技術(shù)實(shí)現(xiàn)方式并沒(méi)有成型的技術(shù)標(biāo)準(zhǔn)，不同廠商在實(shí)現(xiàn)方式上的差異很可能導(dǎo)致相差懸殊的檢測(cè)效率和性能表現(xiàn)。與獨(dú)立的IPS設(shè)備相比，大多數(shù)廠商宣稱的通過(guò)軟件集成方式將FW和IPS進(jìn)行集成的實(shí)現(xiàn)方式，在專業(yè)性上存在不足。

眾所周知，IPS產(chǎn)品核心的能力體現(xiàn)在多層次化的檢測(cè)引擎、高效的匹配算法、豐富的特征庫(kù)數(shù)目、以及對(duì)未知特征的快速分析和響應(yīng)。專業(yè)的IPS設(shè)備，在層次化引擎處理方面，包含基礎(chǔ)的基于正則表達(dá)式的固定字符串特征匹配、異常協(xié)議的分析檢測(cè)、基于自學(xué)習(xí)流量模型的異常流量檢測(cè)、針對(duì)未知特征的虛擬機(jī)模擬檢測(cè)、以及借助IP信譽(yù)技術(shù)對(duì)訪問(wèn)內(nèi)容的安全威脅預(yù)警等技術(shù)手段。這些技術(shù)手段的實(shí)施，在有效保證檢測(cè)準(zhǔn)確率的同時(shí)，對(duì)處理器資源也有非常嚴(yán)重的消耗，導(dǎo)致設(shè)備的性能無(wú)法輕易達(dá)到萬(wàn)兆以上。而通過(guò)軟件集成到FW中的IPS特性，出于對(duì)性能的考慮，無(wú)論是在威脅檢測(cè)的方式或是有效的特征庫(kù)數(shù)目方面，和專業(yè)的IPS設(shè)備相比差距很大。部分廠商在實(shí)現(xiàn)過(guò)程中，為了獲得相對(duì)較高的吞吐性能，對(duì)于大部分的流量，只是采取簡(jiǎn)單的基于固定字符串的模式匹配，甚至只是開(kāi)啟少部分的攻擊特征庫(kù)，以便大流量快速的通過(guò)，由此可能產(chǎn)生威脅檢測(cè)漏報(bào)。

◆綜合性能不理想，實(shí)際部署不樂(lè)觀

現(xiàn)階段在防火墻中集成的IPS特性，由于本身的業(yè)務(wù)處理流程的差異，其防火墻和IPS等特性的性能之間相互存在很大的影響，導(dǎo)致設(shè)備的綜合性能不理想。一般情況下，設(shè)備標(biāo)稱的往往是理想情況下單特性開(kāi)啟情況下的最佳性能，而在實(shí)際的部署環(huán)境中，當(dāng)FW/IPS等功能全部開(kāi)啟后，因?yàn)樘幚砹鞒痰恼希渚C合的性能指標(biāo)會(huì)有明顯的下降；尤其是對(duì)于IPS特性，其性能測(cè)試涉及到多個(gè)方面的因素影響，如其測(cè)試使用的攻擊流量協(xié)議類(lèi)型、攻擊流量特征是否被分片、攻擊特征庫(kù)的激活數(shù)目，測(cè)試的背景流量設(shè)置和引入到IPS檢測(cè)引擎的攻擊類(lèi)型等。不同的環(huán)境設(shè)置所產(chǎn)生的結(jié)果會(huì)有很大的差異。

美國(guó)《網(wǎng)絡(luò)世界》于2009年和2011年針對(duì)宣稱支持NGFW的兩個(gè)廠商的產(chǎn)品組織進(jìn)行的兩次測(cè)試顯示：A廠商的防火墻集成IPS特性，在沒(méi)有開(kāi)啟IPS特性時(shí)，其防火墻可以達(dá)到其宣稱指標(biāo)，但是在IPS特性后，即使按照該廠商的推薦開(kāi)啟和攻擊流量相關(guān)的部分特征庫(kù)，在沒(méi)有發(fā)送任何攻擊流量的情況下，設(shè)備的FW性能直線下降超過(guò)60%；發(fā)送超過(guò)10G以上的混雜攻擊流量后，設(shè)備顯示僅僅有不到1G的流量經(jīng)過(guò)了IPS的檢測(cè)處理并產(chǎn)生了一些攻擊日志，其他的大部分流量直接被BYPASS，造成了測(cè)試攻擊報(bào)文的漏報(bào)。對(duì)B廠商N(yùn)GFW產(chǎn)品進(jìn)行測(cè)試，將標(biāo)稱超過(guò)千兆IPS性能的產(chǎn)品部署在40M的實(shí)際Internet環(huán)境中，和另外一臺(tái)同樣環(huán)境下的獨(dú)立IPS設(shè)備進(jìn)行對(duì)比測(cè)試，結(jié)果顯示該廠商的NGFW產(chǎn)品沒(méi)有表現(xiàn)出可以匹敵專業(yè)IPS設(shè)備的攻擊檢測(cè)的適應(yīng)性和準(zhǔn)確率 【As with most IPS-in-a-firewall products, the product doesn't match the flexibility and power of dedicated IPS products】

基于上述的分析，在解決諸如IPS特性的性能和效率的矛盾等問(wèn)題上，目前談?wù)摰腘GFW下一代防火墻仍然任重而道遠(yuǎn)。面對(duì)業(yè)務(wù)系統(tǒng)的安全防護(hù)需求，通過(guò)機(jī)架式防火墻輔助高端的IPS盒式產(chǎn)品，或者是模塊化的FW和IPS的組合，在功能的專業(yè)性和性能的可擴(kuò)展性上，相比較NGFW產(chǎn)品具備明顯的優(yōu)勢(shì)，仍然會(huì)是高端用戶首選方案。

二、網(wǎng)絡(luò)與安全的融合

在早期的企業(yè)IT信息化的過(guò)程中，網(wǎng)絡(luò)與安全缺乏統(tǒng)一的規(guī)劃設(shè)計(jì)，在建設(shè)基礎(chǔ)網(wǎng)絡(luò)的同時(shí)并沒(méi)有充分考慮到安全的建設(shè)，以至于在發(fā)現(xiàn)安全風(fēng)險(xiǎn)的同時(shí)只能進(jìn)行補(bǔ)丁式的安全防護(hù)升級(jí)，而隨著新一代互聯(lián)網(wǎng)（NGIP）的發(fā)展，成熟的安全服務(wù)如FW或IPS等開(kāi)始融合到云聯(lián)網(wǎng)、基礎(chǔ)承載網(wǎng)以及物聯(lián)網(wǎng)，這種融合也是客戶需求的直接體現(xiàn):

◆高性能的網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的融合，為用戶部署安全增值業(yè)務(wù)應(yīng)用提供了條件

早期的安全產(chǎn)品，因?yàn)槠浔旧戆僬谆蛘叨嗲д椎男阅?，在大型?shù)據(jù)中心的部署過(guò)程中，只能是將少部分的流量重定向到旁路部署的安全設(shè)備進(jìn)行處理，安全并沒(méi)有成為整個(gè)流量的基本屬性。而現(xiàn)階段，隨著10G，20G甚至100G的安全硬件平臺(tái)的出現(xiàn)，高性能的基礎(chǔ)網(wǎng)絡(luò)已經(jīng)可以融合疊加同樣高性能的安全業(yè)務(wù)，以至于在同一個(gè)基礎(chǔ)架構(gòu)的物理節(jié)點(diǎn)上，就可以對(duì)外提供數(shù)十G甚至上百G的網(wǎng)絡(luò)轉(zhuǎn)發(fā)和安全增強(qiáng)查服務(wù)，這種基礎(chǔ)架構(gòu)的融合讓安全的云網(wǎng)絡(luò)部署成為可能。

◆網(wǎng)絡(luò)安全的融合，有助于建設(shè)綠色數(shù)據(jù)中心

在云計(jì)算環(huán)境下，大量、獨(dú)立的安全設(shè)備對(duì)于數(shù)據(jù)中心的空間占用、系統(tǒng)布線工程以及電源系統(tǒng)有著更多的要求，而高性能的安全硬件模塊和基礎(chǔ)網(wǎng)絡(luò)的融合，既可以有效規(guī)避上述幾方面的要求，減少噪音降低能耗，又能在系統(tǒng)故障時(shí)通過(guò)簡(jiǎn)單的熱插拔備份等方式保證系統(tǒng)的可持續(xù)性運(yùn)行，符合當(dāng)前建設(shè)綠色數(shù)據(jù)中心的需求。

◆企業(yè)對(duì)于簡(jiǎn)易化維護(hù)管理的需求，要求網(wǎng)絡(luò)和安全進(jìn)行管理層面的融合

管理員除了對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行例行的日常維護(hù)外，還要根據(jù)業(yè)務(wù)的變更及時(shí)調(diào)整與之相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的配置，如變更網(wǎng)絡(luò)設(shè)備的接入端口、VLAN或ACL配置、監(jiān)控設(shè)備狀態(tài)、調(diào)整安全策略、設(shè)定安全事件告警條件等。為了避免在不同管理系統(tǒng)之間來(lái)回切換造成的配置錯(cuò)誤風(fēng)險(xiǎn)等，用戶需要面向業(yè)務(wù)的、統(tǒng)一的網(wǎng)絡(luò)安全管理平臺(tái)來(lái)提升管理員的工作效率。

三、未來(lái)的安全管理產(chǎn)品如何適應(yīng)云計(jì)算的要求？

在安全的發(fā)展過(guò)程中，安全管理一直有著非常重要的作用。一方面，它通過(guò)對(duì)多個(gè)設(shè)備的統(tǒng)一的策略配置和設(shè)備管理，在安全產(chǎn)品規(guī)模部署的情況下，實(shí)現(xiàn)簡(jiǎn)易化的部署方式，節(jié)省維護(hù)成本。另一方面，安全管理平臺(tái)又是整個(gè)安全解決方案的窗口，通過(guò)對(duì)安全設(shè)備產(chǎn)生的各種安全日志的收集分析，生成清晰全面的多種TOP N的攻擊報(bào)表，便于管理員及時(shí)了解整網(wǎng)的安全狀況，增強(qiáng)了整網(wǎng)安全的可視性；

盡管現(xiàn)階段的安全管理平臺(tái)已經(jīng)可以較好的滿足上述的職責(zé)要求，但是應(yīng)對(duì)未來(lái)的云計(jì)算環(huán)境，安全管理平臺(tái)將會(huì)面臨一些新的需求：

◆如何更好的整合安全事件和日志的差異性，適應(yīng)多廠商、多類(lèi)型設(shè)備混合組網(wǎng)的需求？

◆如何適應(yīng)虛擬化環(huán)境下的安全策略管理和部署？

◆如何及時(shí)感知虛擬化環(huán)境下的業(yè)務(wù)遷移，實(shí)現(xiàn)安全策略的及時(shí)調(diào)整和動(dòng)態(tài)遷移等等。

為了有效解決這些潛在的問(wèn)題，未來(lái)的云安全管理平臺(tái)將著重在以下幾個(gè)方面實(shí)現(xiàn)升級(jí)：

1.集成與開(kāi)放

在企業(yè)的網(wǎng)絡(luò)安全建設(shè)過(guò)程中，為了建設(shè)相對(duì)全面的防御體系，勢(shì)必涉及到多種不同類(lèi)型的安全設(shè)備的部署，典型如防火墻產(chǎn)品、IPS入侵防御產(chǎn)品或者是流量分析系統(tǒng)等。如果管理員利用其產(chǎn)品配套的管理軟件如FW manager，IPS manager或者是Traffic manager進(jìn)行日常的維護(hù)監(jiān)控，勢(shì)必造成管理效率的低下；同時(shí)，大型的網(wǎng)絡(luò)安全環(huán)境下，因?yàn)榘踩ㄔO(shè)的補(bǔ)丁式疊加和產(chǎn)品選擇標(biāo)準(zhǔn)上的差異，在同一個(gè)網(wǎng)絡(luò)安全環(huán)境下，很可能存在多個(gè)安全廠商的多類(lèi)型產(chǎn)品同時(shí)存在：如為了可靠性考慮選擇2個(gè)防火墻廠商的產(chǎn)品做異構(gòu)安全防護(hù)、或者選擇不同的廠商分別提供諸如IPS和流量防護(hù)等產(chǎn)品；此時(shí)，如何解決不同廠商配置方法上的差異，如何實(shí)現(xiàn)多類(lèi)型安全設(shè)備的統(tǒng)一日志管理和事件關(guān)聯(lián)分析，是需要考慮的關(guān)鍵需求。

為了滿足用戶的上述需求安全管理平臺(tái)的增強(qiáng)要從以下兩個(gè)方面進(jìn)行增強(qiáng)：一方面需要增強(qiáng)自身的組網(wǎng)及服務(wù)提供能力，集成對(duì)本廠商多類(lèi)型安全設(shè)備的統(tǒng)一配置管理和事件分析功能，并且可以通過(guò)定制化的手段，實(shí)現(xiàn)對(duì)其他主流廠商的安全日志的支持；另一方面，針對(duì)多廠商設(shè)備混合組網(wǎng)的實(shí)際情況，各設(shè)備廠商的安全管理軟件，需要從配置管理和事件分析兩個(gè)角度提供標(biāo)準(zhǔn)的API接口。通過(guò)這種API接口，廠商自身的安全管理平臺(tái)以Agent代理方式，完成上層第三方安全管理平臺(tái)對(duì)本地設(shè)備的配置下發(fā)及安全事件的格式轉(zhuǎn)換，為企業(yè)的統(tǒng)一安全管理平臺(tái)的建設(shè)創(chuàng)造條件。

如圖1所示，交換機(jī)路由器等網(wǎng)絡(luò)設(shè)備的安全日志、FW/IPS等安全設(shè)備的安全日志、以及類(lèi)似關(guān)鍵服務(wù)器的安全日志，本身在各自的管理平臺(tái)上可以得到展現(xiàn)。同時(shí)，廠商管理平臺(tái)實(shí)時(shí)事件分析Agent模塊，對(duì)這些安全日志進(jìn)行預(yù)定的格式轉(zhuǎn)換，重新發(fā)送到上層的統(tǒng)一安全事件管理平臺(tái)，以實(shí)現(xiàn)整網(wǎng)安全事件的統(tǒng)一分析。

圖1統(tǒng)一的安全管理平臺(tái)組網(wǎng)示意圖

2.虛擬化的資源管理

和傳統(tǒng)的網(wǎng)絡(luò)環(huán)境不同，虛擬化環(huán)境下的安全管理平臺(tái)，其面向?qū)ο蟛辉偈菃我坏膹S商物理設(shè)備。因?yàn)樘摂M化實(shí)例的廣泛使用，整個(gè)云中的安全設(shè)備已經(jīng)虛化成了一個(gè)包含多個(gè)虛擬單元的資源池。此時(shí)的安全管理軟件平臺(tái)，無(wú)論是在設(shè)備配置管理還是安全日志分析等方面，都需要基于單個(gè)虛擬化設(shè)備資源來(lái)進(jìn)行。同時(shí)，對(duì)于這些虛擬化單元，還需要更進(jìn)一步，將傳統(tǒng)的單一用戶管理升級(jí)到多用戶可以同時(shí)管理的模式中來(lái)，在完成初始化的用戶虛擬化資源分配和綁定后，后續(xù)的任何操作，都應(yīng)該可以基于不同租戶的不同管理員進(jìn)行；每個(gè)管理員都可以隨時(shí)對(duì)本企業(yè)的安全資源進(jìn)行策略配置調(diào)整，管理維護(hù)企業(yè)本身的安全事件分析報(bào)告。

3.安全策略的自動(dòng)遷移調(diào)整

虛擬化環(huán)境下的虛擬機(jī)自動(dòng)遷移，是云計(jì)算環(huán)境的重要特征之一。為跟隨這種虛擬機(jī)的遷移，業(yè)務(wù)系統(tǒng)本身的資源配置以及該虛擬機(jī)的接入端口屬性都在積極響應(yīng)并提供適配的手段。而要想實(shí)現(xiàn)安全策略的跟隨遷移，要求安全管理平臺(tái)提供重要的技術(shù)支撐，主要的技術(shù)要求將包括：

◆及時(shí)建立起網(wǎng)絡(luò)中的每個(gè)虛擬機(jī)和安全策略組的對(duì)應(yīng)關(guān)系，實(shí)現(xiàn)全局的虛擬機(jī)安全策略統(tǒng)一規(guī)劃和管理；

◆及時(shí)感知虛擬機(jī)的遷移動(dòng)作，并獲取虛擬機(jī)遷移后的網(wǎng)絡(luò)位置信息，以此來(lái)觸發(fā)安全策略的遷移；

◆根據(jù)遷移后的虛擬機(jī)信息，探測(cè)計(jì)算出遷移后的虛擬機(jī)所對(duì)應(yīng)的安全設(shè)備，為下一步的安全策略調(diào)整做準(zhǔn)備；

◆基于上述信息自動(dòng)調(diào)整安全策略，將該虛擬機(jī)對(duì)應(yīng)的安全策略組重新下發(fā)到新的安全設(shè)備上，完成整個(gè)安全策略的遷移。在這個(gè)過(guò)程中，安全管理平臺(tái)可以有效整合各方面資源，實(shí)現(xiàn)安全策略的動(dòng)態(tài)遷移。

在新一代互聯(lián)網(wǎng)的變革中，“云安全”的概念日益被用戶所接受。安全產(chǎn)品自身的發(fā)展、安全與網(wǎng)絡(luò)的融合以及虛擬化等對(duì)安全防護(hù)帶來(lái)了新的促進(jìn)和挑戰(zhàn)。云安全不僅要解決常規(guī)的安全防護(hù)，更要對(duì)云帶來(lái)的虛擬化能高效的適應(yīng)，要能實(shí)現(xiàn)安全的智能管理。