伴随互联网应用的日益深入,利用各种网络攻击进行非法牟利已经形成一条不容忽视的黑色产业链,而由此引发的企业信息安全危机以及带来的经济损失在逐年升级。那么随着互联网基础设施不断提升,用户网络规模不断扩大的今天,企业该装备上怎样的“安全之盾”才能有效地提升网络的防护能力呢?对此笔者采访到来自全球安全与存储解决方案提供商梭子鱼网络的产品经理王同雷,一起就此话题展开了探讨。
企业该装备上怎样的“安全之盾”才能有效地提升网络的防护能力?
威胁升级 下一代防火墙成企业首选
今天,在经济发展越来越依赖网络的同时,网络攻击所带来的损害也越来越大。据统计,2013年全球范围内由于网络攻击造成的经济损失达到了4450亿美元,其中中国的损失就达到了600亿美元。然而在不法黑客的眼中,攻击目标并没有大小、行业之分,除了政府机关、企业单位,甚至平民百姓的保险公司、医院、学校等等都在其觊觎之中,攻击范围也逐年扩大。
随着网络攻击手法的不断翻新、变化,传统防火墙、UTM设备在应对网络新威胁面前,性能越发捉襟见肘,无法满足企业用户的安全需求。而抛开传统的IP、端口防护,基于应用层进行重构安全的下一代防火墙,逐步成为企业网络安全防护的新选择。
对此王同雷表示,梭子鱼推出的下一代防火墙产品除了具有一般下一代防火墙的共有特性外,更新增了高级威胁防护,可进一步拓展和强化了下一代防火墙对于零日漏洞、高级恶意软件及黑客攻击的防护,完全满足企业用户的下一代安全防护升级部署。
其中,高级威胁防护可通过沙盒技术模拟真实环境观察恶意软件的行为,并且使用一个不断更新的加密数据库对文件进行检测。用户可以设定对特定文件进行检查并且对检查行为用户有两种选择,一是允许用户下载文件,下载后文件将会转发到高级威胁防护进行扫描,如果发现有恶意程序,梭子鱼下一代防火墙将会自动将该用户机器加入黑名单中,阻止恶意程序的传播;二是所有文件在下载前都将进过梭子鱼下一代防火墙的扫描,只有扫描通过的文件才会转发给用户。
此外,梭子鱼下一代防火墙还提供强大的集中管理设备,集状态监控,配置推送,日志审计,固件更新等功能一体,方便管理员对多台设备同时进行操作。
强大性能 梭子鱼三层架构保障
那么对于日益扩大的网络规模,梭子鱼下一代防火墙能否胜任不断提升的性能指标呢?据王同雷介绍,目前梭子鱼下一代防火墙最高端的F1000型号,防火墙吞吐量高达40Gbps,应用层吞吐量也达到了10Gbps。其系列产品可提供了从桌面级到数据中心级的产品型号,通过不断优化和提升内部架构,设备的性能也得到了极大的提升。
尽管梭子鱼下一代防火墙硬件架构是基于X86,但是软件架构创新性地提出了三层架构,包括网络层、服务器层和服务层,剥离了传统架构上各个模块之间的干扰导致性能降低,能够极大优化应用层的吞吐量。
深度应用控制 确保网络安全
在应对应用层威胁时,梭子鱼下一代防火墙的识别能力(范围)和精确度也是令人刮目相看的。王同雷表示,通过结合深层包检测及流量行为分析功能,梭子鱼下一代防火墙目前已可识别超过1400种以上的应用程序及其子程序。同时,通过无缝集成用户已有的认证方式,梭子鱼下一代防火墙可对不同用户配置不同的策略,而且可以基于应用程序做链路负载和QoS,来确保企业重要应用程序的稳定流畅运行。
不仅如此,梭子鱼下一代防火墙的应用程序内容分析技术可以让用户实时观察到应用程序的具体行为,方便管理员进行策略的制定。此外,梭子鱼下一代防火墙还提供了独立的报表程序,可以从设备上读取数据生成用户需要的报表,降低报表功能对设备性能的影响。可以说以上种种特性,都让梭子鱼下一代防火墙在应用层面上,给予企业网络以强有力的安全保障。
独立管控程序 易用为先
然而对于不少企业而言,繁复的配置规则、防护策略,以及设备维护等等,都是一直困扰企业网络快速实现安全防护的重要难题,那么梭子鱼下一代防火墙在这些方面上则具备怎样的特性呢?
王同雷表示,目前大多数的防火墙管理界面都是BS架构,让用户上手方便快捷,但是限于浏览器的性能和协议自身的局限性等问题,往往会导致界面加载缓慢,控件失灵,或者在防火墙负荷高的时候完全无法访问。而梭子鱼下一代防火墙则提供了独立的专有管理应用程序,通过该程序可以快速对设备进行管理哪怕设备处于高负荷状态,并且在应用程序中可以实现流量的实时监控,日志的实时查看等功能。
同时,对于拥有多台防火墙的用户,梭子鱼的集中控管设备允许用户一次策略部署,同时推送到多台防火墙上,可以有效简化设备的管理,并且也可收集多台防火墙的日志进行集中展示,节省了人力。
云端联动 整合下一代安全技术
为了加强梭子鱼下一代防火墙的防护能力,目前其已经具备了云端联动能力,支持亚马逊的AWS,微软的Azure以及VMware的vCloud Air。部署梭子鱼下一代防火墙后,企业用户可基于云的内容过滤和报告把密集的计算任务放到更多资源和更高吞吐量的云端进行处理。
而且梭子鱼下一代防火墙中部分功能用户也可以选择放到云端执行,例如网络过滤(web filter)功能。用户可以在设备上配置使用我们的云服务Flex,降低web filter功能对设备性能的影响。甚至还有高级威胁功能中的文件扫描,对CPU有很大的消耗,也可以选择放置到梭子鱼的云端来完成处理。
那么,企业用户在选购下一代防火墙时,又该注意哪些方面呢?王同雷认为,应从威胁防护能力、应用识别能力和集中管理能力三点出发。因为首先,在网络攻击恶意软件日益泛滥的今天,威胁防护的重要性在下一代防火墙技术中的重要性日渐凸显。如何能够监测出更为高级复杂的恶意软件,直接影响到企业信息安全的保护程度。其次,作为下一代防火墙技术的重要组成部分之一,应用识别的种类和数量以及与用户识别的紧密配合决定了应用识别的质量。同时应用识别应具有一定的可扩展性,可以与其他防火墙传统功能进行联动。最后,对于多台防火墙能够实现统一管理、实时监控、报表展示、固件推送、许可证管理等功能,也是衡量下一代防火墙的重要指标。通过集中管理设备,可以极大的降低了人力成本,也方便快速地部署新设备。
