九宮八陣圖之天覆陣——防火墻

作者：網(wǎng)御星云 2011-05-19 14:11:07

防火墻是一種防御邊界安全的網(wǎng)關(guān)設(shè)備，能進(jìn)行智能狀態(tài)檢測(cè)，保護(hù)內(nèi)網(wǎng)不受侵入，同時(shí)免受網(wǎng)絡(luò)黑客、DDos等攻擊，是網(wǎng)絡(luò)防護(hù)的第一道屏障，也是所有安全設(shè)備包括VPN、IPS、AV、IDS、UTM等陣容之主力。

九宮八陣圖之天覆陣——防火墻

天覆陣：天陣十六，外方內(nèi)圓，四為風(fēng)揚(yáng)，其形象天，為陣之主，為兵之先。善用三軍，其形不偏。

天覆陣是一種防御陣型，同時(shí)能降低敵方命中幾率和攻擊速度，通過(guò)增加防御力和抗攻擊力以提升整個(gè)陣型的防御能力。

--------------------------------------------------------------------------------

下一代智能感控防火墻

一、信息2.0時(shí)代防火墻面臨的威脅

在當(dāng)今越來(lái)越龐大的信息產(chǎn)業(yè)中，信息安全遲遲跟不上時(shí)代的步伐，與歷近數(shù)年來(lái)發(fā)展勢(shì)頭突飛猛進(jìn)的云計(jì)算、新型網(wǎng)絡(luò)、海量存儲(chǔ)等新型技術(shù)相比，安全行業(yè)的處境則是相當(dāng)尷尬，而安全產(chǎn)業(yè)在不斷地發(fā)展和投入進(jìn)入信息2.0時(shí)代之后，面對(duì)的卻是越來(lái)越多、越來(lái)越麻煩的安全新問(wèn)題，面對(duì)未來(lái)防火墻的走向，無(wú)論是企業(yè)還是最終用戶，都不可避免的寄希望于一種對(duì)新型防火墻技術(shù)需求的向往。正是由于不斷擴(kuò)容的網(wǎng)絡(luò)設(shè)施、快速發(fā)展的業(yè)務(wù)流程、實(shí)時(shí)變化的部署技術(shù)以及隱蔽危險(xiǎn)的攻擊，正推動(dòng)對(duì)網(wǎng)絡(luò)安全性的新需求，那么用戶所面臨的真實(shí)威脅到底是什么？

1.1、混合應(yīng)用的威脅

不斷增長(zhǎng)的帶寬需求和新應(yīng)用架構(gòu)，正在改變協(xié)議的使用方式和數(shù)據(jù)的傳輸方式。基于應(yīng)用層協(xié)議如P2P/IM/網(wǎng)游/炒股等軟件已經(jīng)充斥著整個(gè)網(wǎng)絡(luò)，安全威脅將焦點(diǎn)集中在誘使用戶安裝可逃避安全設(shè)備及軟件檢測(cè)的有針對(duì)性應(yīng)用執(zhí)行程序上；在這種環(huán)境中，傳統(tǒng)防火墻簡(jiǎn)單通過(guò)五元組強(qiáng)制要求在標(biāo)準(zhǔn)端口上使用合適的協(xié)議和阻止對(duì)未打補(bǔ)丁的服務(wù)器的探測(cè)，不再有足夠的價(jià)值。

1.2、云計(jì)算環(huán)境的威脅

以云計(jì)算為代表的現(xiàn)代信息體系正變得日益龐大和復(fù)雜，對(duì)于這類復(fù)雜多變的體系，使得云時(shí)代的安全防護(hù)重心，從用戶對(duì)防火墻簡(jiǎn)單的對(duì)性能或功能的片面追求，逐步向基于網(wǎng)絡(luò)之云的智慧感知與靈活應(yīng)對(duì)轉(zhuǎn)移。

1.3、惡意網(wǎng)站威脅

在這個(gè)信息爆炸時(shí)代，隨著網(wǎng)頁(yè)數(shù)量的激增，由于一刀切的關(guān)鍵字分類技術(shù)和本地分類數(shù)據(jù)庫(kù)的限制，無(wú)法實(shí)現(xiàn)更高、更準(zhǔn)確的覆蓋率和更廣泛的URL分類控制，間諜軟件站點(diǎn)和那些存在惡意代碼的站點(diǎn)已經(jīng)成為網(wǎng)絡(luò)中不可忽視的威脅之一，當(dāng)今Web2.0時(shí)代急切需要一種有效實(shí)用且積極主動(dòng)的收集分類處理技術(shù)。

1.4、IPv4地址耗盡威脅

由于我國(guó)IPv4地址資源嚴(yán)重不足，除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊張問(wèn)題，更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT/PAT)技術(shù)來(lái)解決這個(gè)問(wèn)題，通過(guò)NAT技術(shù)接入互聯(lián)網(wǎng)，這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣龋野踩缘确矫嬉搽y以得到保障，這樣使得IPv4網(wǎng)絡(luò)面臨各種威脅，安全性支持不夠、缺少服務(wù)質(zhì)量保證所帶來(lái)的挑戰(zhàn)前所未有。

1.5、高流量導(dǎo)致的性能威脅

伴隨著IT世界進(jìn)入到另外一個(gè)嶄新的平臺(tái)--客戶端/服務(wù)器到按需云服務(wù)的轉(zhuǎn)變--眾多企業(yè)用戶紛紛在思索如何調(diào)整或者升級(jí)他們的系統(tǒng)以滿足互聯(lián)網(wǎng)時(shí)代的處理需求。大量的數(shù)據(jù)負(fù)載也逐漸過(guò)渡到越來(lái)越多的中小型企業(yè)用戶業(yè)務(wù)中來(lái)，使得防火墻的轉(zhuǎn)發(fā)性能和延遲有了更高要求。

1.6、黑客攻擊威脅

普通防火墻大多安裝在一般的操作系統(tǒng)上，如Linux、Unix等系統(tǒng)。在防火墻主機(jī)上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來(lái)自于操作系統(tǒng)本身的原有程序。當(dāng)防火墻主機(jī)上所執(zhí)行的軟件出現(xiàn)安全漏洞時(shí)，防火墻本身也將受到威脅。此時(shí)，任何的防火墻控制機(jī)制都可能失效，因?yàn)楫?dāng)一個(gè)黑客取得了防火墻上的控制權(quán)以后，黑客幾乎可為所欲為地修改防火墻上的訪問(wèn)規(guī)則，進(jìn)而侵入更多的系統(tǒng)。因此防火墻自身應(yīng)有相當(dāng)高的安全保護(hù)。

二、防火墻如何防御新時(shí)代的威脅

2.1、應(yīng)用感控技術(shù)

應(yīng)用感控技術(shù)不同于傳統(tǒng)的基于端口和協(xié)議的狀態(tài)包過(guò)濾技術(shù)，這種技術(shù)能通過(guò)流量識(shí)別網(wǎng)絡(luò)上的應(yīng)用程序，基于應(yīng)用ID進(jìn)行智能識(shí)別與控制，同時(shí)，可以辨別出來(lái)自同一網(wǎng)站的不同應(yīng)用并且可以啟用服務(wù)質(zhì)量選項(xiàng)為這些應(yīng)用優(yōu)先分配帶寬。達(dá)到了六元組的新型智能應(yīng)用過(guò)濾技術(shù)，既可以進(jìn)行應(yīng)用識(shí)別，也可以做到對(duì)應(yīng)用的細(xì)粒度控制。

2.2、云安全防御技術(shù)

云安全防御技術(shù)融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過(guò)網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到服務(wù)器端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。實(shí)現(xiàn)立體全面的防護(hù)。

2.3、WEB主動(dòng)過(guò)濾技術(shù)

這種技術(shù)通常認(rèn)為是在UTM上實(shí)現(xiàn)，但在下一代防火墻中，這種需求也越來(lái)越明顯，實(shí)際上Web過(guò)濾是指上網(wǎng)監(jiān)控功能，具備內(nèi)容過(guò)濾的安全網(wǎng)關(guān)通過(guò)多重過(guò)濾與保護(hù)，對(duì)內(nèi)容和網(wǎng)址進(jìn)行監(jiān)控，對(duì)內(nèi)容不良的網(wǎng)站實(shí)行過(guò)濾，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部人員上網(wǎng)進(jìn)行監(jiān)控URL的屏蔽列表。

2.4、IPv6網(wǎng)絡(luò)的安全技術(shù)

雖然IPv6在網(wǎng)絡(luò)廠商應(yīng)用較為廣泛，但在安全廠商中，支持IPv6的網(wǎng)絡(luò)安全產(chǎn)品（如防火墻、UTM、IPS等）還是較少，具體功能包括：IPv6環(huán)境下的狀態(tài)包過(guò)濾、靜態(tài)路由、OSPF動(dòng)態(tài)路由、FTP、ALG等基本安全控制，以及IPv6/v4 雙協(xié)議棧功能；設(shè)備在同一信息安全網(wǎng)絡(luò)中同時(shí)支持 IPv4 和IPv6協(xié)議的安全控制日漸得到關(guān)注。

2.5、高性能多核技術(shù)

高性能多核技術(shù)為工程師們打開(kāi)了另一扇門(mén)—它是把更多的CPU壓在一個(gè)芯片當(dāng)中以提高整個(gè)芯片處理交易事務(wù)的能力。以8核為例，在一塊CPU基板上集成8個(gè)處理器核心，通過(guò)并行總線將各處理器核心連接起來(lái)，一般多核芯片都會(huì)集成一些針對(duì)比較耗費(fèi)資源處理的硬件加速引擎。比如XLR內(nèi)置的網(wǎng)絡(luò)加速器可以對(duì)從網(wǎng)絡(luò)接口進(jìn)入XLR的數(shù)據(jù)包進(jìn)行高速預(yù)處理。拿以太網(wǎng)包舉例，XLR的網(wǎng)絡(luò)加速器可以對(duì)以太網(wǎng)包2層、3層、4層的內(nèi)容進(jìn)行辨析，提取特征串，自動(dòng)完成校驗(yàn)和驗(yàn)證，把包DMA（Direct Memory Access）到內(nèi)存，構(gòu)造以太網(wǎng)包描述符（Descriptor），然后可以基于多種策略把以太網(wǎng)描述符快速均衡的分流到指定的vCPU。這樣，既可以提升網(wǎng)絡(luò)層處理性能，也可以加速處理應(yīng)用層檢測(cè)速率，小包性能以及并發(fā)數(shù)顯著提升，并且多核芯片內(nèi)建應(yīng)用加速安全引擎，在硬件層面上就可以支持AES，DES/3DES,SHA-1,SHA-256,MD5算法，最大可提供10Gbps的VPN加密解密運(yùn)算能力。

2.6、防火墻自身的高安全技術(shù)

如果防火墻系統(tǒng)本身被攻擊者突破或迂回，對(duì)內(nèi)部系統(tǒng)來(lái)說(shuō)它就毫無(wú)意義。因此，保障防火墻自身的安全是實(shí)現(xiàn)系統(tǒng)安全的前提。一個(gè)防火墻要抵御黑客的攻擊必須具有嚴(yán)密的體系結(jié)構(gòu)和安全的網(wǎng)絡(luò)結(jié)構(gòu)。不同類型的拒絕服務(wù)攻擊。理想情況下，防火墻應(yīng)該采取直截了當(dāng)?shù)姆绞剑热鐚?shù)據(jù)包打回或干脆關(guān)閉防火墻的方式。#p#

三、防火墻現(xiàn)狀與發(fā)展趨勢(shì)

隨著互聯(lián)網(wǎng)新型網(wǎng)絡(luò)應(yīng)用、攻擊、病毒的出現(xiàn)，以前的老套安全防護(hù)技術(shù)，遲遲未能得到革命性的進(jìn)展。就防火墻來(lái)說(shuō)，雖然也經(jīng)過(guò)了幾代的發(fā)展，從軟件到硬件、從百兆到千兆以及萬(wàn)兆，再?gòu)膯魏说蕉嗪耍涓镜谋粍?dòng)防護(hù)原理卻基本沒(méi)有改變，這也使得其面對(duì)變幻多端的“云”威脅時(shí)，總是捉襟見(jiàn)肘，難以應(yīng)對(duì)。人們不禁要問(wèn)，新時(shí)代的安全出路究竟在哪里？

當(dāng)前防火墻技術(shù)也有一些新的發(fā)展趨勢(shì)。這主要可以從分級(jí)過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)兩方面來(lái)體現(xiàn)。

3.1、防火墻分級(jí)過(guò)濾技術(shù)發(fā)展趨勢(shì)

所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹(shù)包等;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。

這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

3.2、防火墻的體系架構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的增加以及云計(jì)算的發(fā)展，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開(kāi)發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。但這也存在很多問(wèn)題，ASIC主要處理網(wǎng)絡(luò)層數(shù)據(jù)，而當(dāng)今應(yīng)用層已經(jīng)占據(jù)半壁江山，雖然起到加速作用，但效果甚微，另一方面，由于ASIC對(duì)新建并發(fā)、最大并發(fā)連接并不起多大作用，防火墻的并發(fā)瓶頸并未得到真正解決，人們更多的傾向于多核MIPS技術(shù)，所以，多核多線程并行處理技術(shù)既能解決高并發(fā)的問(wèn)題，也能處理應(yīng)用層協(xié)議，這一方向得到了多數(shù)安全廠商的認(rèn)可。

四、重新定義的下一代防火墻

傳統(tǒng)防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng) 和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的邊界上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說(shuō)法，使Internet與Intranet之間建立起一個(gè) 安全網(wǎng)關(guān) ，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

下一代防火墻是一個(gè)能辨別新的未知的應(yīng)用類型，通過(guò)實(shí)時(shí)感知和控制網(wǎng)絡(luò)流量中動(dòng)態(tài)更新的威脅信息，進(jìn)行主動(dòng)應(yīng)變的智能化綜合網(wǎng)關(guān)設(shè)備；同時(shí)能與其他設(shè)備聯(lián)動(dòng)組成的綜合防御陣營(yíng)體系。具備一種能動(dòng)態(tài)化和智能化收集匯總技術(shù)，充分利用“云”進(jìn)行動(dòng)態(tài)實(shí)時(shí)的威脅信息集中采樣與共享，它可以持續(xù)收集威脅的更新信息，這種更新的信息包括互聯(lián)網(wǎng)上已知威脅的詳細(xì)信息，連續(xù)攻擊者、僵尸網(wǎng)絡(luò)收獲者、惡意爆發(fā)和黑網(wǎng)等。通過(guò)將這些信息實(shí)時(shí)傳遞到防火墻中，可以在僵尸網(wǎng)絡(luò)等惡意攻擊者有機(jī)會(huì)損害重要資產(chǎn)之前及時(shí)過(guò)濾掉這些攻擊者，從而最終實(shí)現(xiàn)主動(dòng)應(yīng)變的安全堡壘。

未來(lái)的防火墻產(chǎn)品由于在功能性上的擴(kuò)展，以及應(yīng)用日益豐富、流量日益復(fù)雜所提出的更多性能要求，會(huì)呈現(xiàn)出更強(qiáng)的處理性能要求，許多產(chǎn)品都會(huì)在防火墻處打開(kāi)數(shù)據(jù)包進(jìn)行檢測(cè)。且如允許數(shù)據(jù)包通過(guò)，設(shè)備會(huì)將數(shù)據(jù)包重組，并發(fā)送至IPS處，由其在第7層而非第3層進(jìn)行檢測(cè)。下一代防火墻的出現(xiàn)使得現(xiàn)有的此類技術(shù)如：UTM、防火墻、與IPS間的界線更為模糊，同時(shí)，利用下一代防火墻，還可將這些功能都集成到一個(gè)單一的CPU中，使用一個(gè)時(shí)鐘周期及一個(gè)路徑或流量，因此具有低延遲性。同時(shí)，因?yàn)槠淙〈硕鄠€(gè)設(shè)備，還具有低成本高效的優(yōu)點(diǎn)。下一代防火墻不僅具有業(yè)務(wù)應(yīng)用感控功能，還具有用戶身份識(shí)別特性，可提供更多的威脅情報(bào)。隨著防火墻更新周期的自然到來(lái)、帶寬需求的增加和攻擊的新特性，促使更新防火墻越來(lái)越快的出現(xiàn)，大型集團(tuán)、政府、電信、金融、軍隊(duì)等各行各業(yè)將用下一代防火墻替換已有的防火墻。

五、如何選擇下一代防火墻

5.1、軟件體系方面

首先，判斷一款防火墻是否具備前瞻性，是否有能力為用戶進(jìn)行客制化的功能擴(kuò)展，是否保障穩(wěn)定可靠，核心的技術(shù)就是該防火墻在軟件設(shè)計(jì)方面是不是自主創(chuàng)新設(shè)計(jì)，而不是采用通用系統(tǒng)（如Linux、Unix等）進(jìn)行改造。下一代防火墻的軟件體系，其應(yīng)用功能的各個(gè)環(huán)節(jié)都應(yīng)該基于核心的自主創(chuàng)新安全的操作系統(tǒng)平臺(tái)，必須從基礎(chǔ)建設(shè)做起，類似于下一代通用安全系統(tǒng)平臺(tái)VSP（Versatile Security Platform），是一種基于硬件、軟件、管理三種平臺(tái)相融合的專用安全平臺(tái)，集實(shí)時(shí)操作系統(tǒng)、網(wǎng)絡(luò)處理、安全應(yīng)用等技術(shù)于一身，具有高效、智能、安全、健壯、易擴(kuò)展等特點(diǎn)；充分考慮到基礎(chǔ)建設(shè)，采用有效的智能應(yīng)用感控技術(shù)，隨時(shí)應(yīng)對(duì)復(fù)雜應(yīng)用的高安全需求。

5.2、硬件架構(gòu)方面

當(dāng)今的網(wǎng)絡(luò)可以理解為一個(gè)大型的局域網(wǎng)以及無(wú)數(shù)個(gè)小型的局域網(wǎng)，所以，適合用戶的是不同硬件架構(gòu)，不同性能的多系列防火墻產(chǎn)品，所以，選擇防火墻時(shí)對(duì)硬件架構(gòu)的評(píng)估也是首當(dāng)其沖的，無(wú)論是IXP、X86、ASIC還是多核等硬件架構(gòu)，適合用戶自身的網(wǎng)絡(luò)安全需求才是最好的安全產(chǎn)品；首先需要明確的是廠商各系列防火墻所對(duì)應(yīng)的硬件架構(gòu)著作權(quán)，比如ASIC防火墻，就需要查清是否具備ASIC并行操作平臺(tái)（或系統(tǒng)）著作權(quán)，當(dāng)然，對(duì)于高端用戶，硬件架構(gòu)面臨著高性能、多業(yè)務(wù)的應(yīng)用，業(yè)界很多廠商開(kāi)始宣傳多核防火墻，有的甚至拿X86多核來(lái)混淆用戶，但什么才是真正的多核架構(gòu)，如何判斷多核防火墻更需要明確。當(dāng)前，業(yè)界多核廠商主要有RMI和Cavium，其推出的基于MIPS架構(gòu)的嵌入式多核處理器，與X86、X86多核以及ASIC相比，多核處理器每個(gè)核可以模擬出8、16或32個(gè)虛擬的處理器單元，并可在配置界面上針對(duì)每個(gè)CPU運(yùn)行的狀態(tài)、利用率進(jìn)行監(jiān)控，另外，比較明顯的區(qū)別在于防火墻最大并發(fā)連接和新建連接數(shù)的指標(biāo)值不同，真正多核最大并發(fā)連接數(shù)在400萬(wàn)以上、每秒新建連接在10萬(wàn)以上。

#p#

5.3、方案部署方面

對(duì)于使用僵尸網(wǎng)絡(luò)傳播方式的威脅，傳統(tǒng)防火墻的部署模式基本上是看不到的。隨著面向服務(wù)的架構(gòu)和Web2.0使用的增加，更多的通信通過(guò)更少的端口(如HTTP和HTTPS)和使用更少的協(xié)議傳輸，這意味著基于端口/協(xié)議的政策已經(jīng)變得不太合適和不太有效。用戶在選擇下一代防火墻的部署方案時(shí)，需要認(rèn)清防火墻是否在不同信任級(jí)別的網(wǎng)絡(luò)之間實(shí)時(shí)執(zhí)行網(wǎng)絡(luò)安全政策的聯(lián)機(jī)控制，是否支持新信息饋送和新技術(shù)集成的升級(jí)路徑來(lái)應(yīng)對(duì)未來(lái)的威脅，收集外來(lái)信息來(lái)做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫(kù)方案。

5.4、用戶體驗(yàn)方面

下一代防火墻在用戶體驗(yàn)方面首先就是要看其軟件的簡(jiǎn)潔性，如果不易配置與管理，且界面看起來(lái)比較老派，那么該產(chǎn)品也就有可能是過(guò)時(shí)產(chǎn)品。如果需要利用命令行進(jìn)行繁雜的后臺(tái)工作，則肯定是利用過(guò)時(shí)代碼編寫(xiě)的產(chǎn)品，因?yàn)楝F(xiàn)在已經(jīng)沒(méi)人會(huì)再利用那種界面來(lái)編制代碼。

5.5、云防御技術(shù)方面

隨著人們對(duì)云計(jì)算的質(zhì)疑聲越來(lái)越少、越來(lái)越弱，云計(jì)算作為IT發(fā)展的下一個(gè)關(guān)鍵方向已經(jīng)基本得到了確認(rèn)。云計(jì)算如此高效，正讓整個(gè)IT行業(yè)發(fā)生變革，然而安全性問(wèn)題始終困擾著云計(jì)算。云計(jì)算服務(wù)自身的安全隱患隨著應(yīng)用的不斷深入逐漸暴露出來(lái)。作為下一代防火墻，必須具備技術(shù)前瞻性，從“云”開(kāi)始出現(xiàn)的第一天起就要考慮其安全性，給“云”提供必要的安全措施也是很重要的，提供安全隔離。

5.6、網(wǎng)絡(luò)防攻擊方面

下一代防火墻在網(wǎng)絡(luò)攻擊方面首先需要很容易處理以下的威脅，如DDoS攻擊、DNS攻擊、病毒、間諜軟件、漏洞/入侵、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、木馬等攻擊；其次能精確地應(yīng)用識(shí)別(無(wú)論是端口，協(xié)議，ssl還是其他的逃避策略，在應(yīng)用層訪問(wèn)/功能之上的細(xì)粒度的識(shí)別和策略控制，實(shí)時(shí)的保護(hù)來(lái)對(duì)抗嵌入在跨應(yīng)用的威脅。

六、網(wǎng)御下一代防火墻安全解決方案

網(wǎng)御下一代防火墻分為KingGuard萬(wàn)兆系列、Super V高端系列、Power V中高端系列和Smart V低端系列，共計(jì)80余款，可為各種規(guī)模的企業(yè)和政府機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)提供相適應(yīng)的產(chǎn)品。網(wǎng)御防火墻已在稅務(wù)、公安、政府、軍隊(duì)、能源、交通、電信、金融、制造等各行業(yè)中部署50000臺(tái)以上。KingGuard、Super V系列采用高性能的RSIC多核架構(gòu)，并結(jié)合國(guó)內(nèi)首創(chuàng)的WindRunner矩陣式并行處理技術(shù)，將多顆CPU排成矩陣，在對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行IPv4/IPv6雙協(xié)議棧的策略匹配、抗攻擊、內(nèi)容過(guò)濾、加解密、QOS、日志等多項(xiàng)業(yè)務(wù)處理時(shí)，采用并行計(jì)算和流水線兩個(gè)維度進(jìn)行并行處理，確保了高安全的前提下的高性能處理。Power V系列采用基于應(yīng)用識(shí)別的綠色上網(wǎng)控制模塊，并在Power V-4000及3000系列集成了專用ASIC加速硬件芯片，使得小包高達(dá)10Gbps；Power V是已部署3萬(wàn)多臺(tái)套的高可用多威脅統(tǒng)一管理的下一代防火墻系列。Smart V系列是集成防火墻、VPN、交換機(jī)、主動(dòng)防御等功能于一身，可采用機(jī)架型和桌面型兩種設(shè)備部署方案，適合各類大集團(tuán)的分支機(jī)構(gòu)、區(qū)縣級(jí)政府機(jī)關(guān)、小型企業(yè)及SOHO用戶。

在應(yīng)用感控與云安全技術(shù)方面，網(wǎng)御下一代防火墻結(jié)合VSP、USE、MRP等核心安全技術(shù)，通過(guò)智能感控技術(shù)收集攻擊檢測(cè)源和掛馬網(wǎng)站URL等特征，，與已部署的防病毒網(wǎng)關(guān)、IPS、UTM、Guard等設(shè)備聯(lián)合抓取病毒源、攻擊檢測(cè)源和掛馬網(wǎng)站URL等特征，匯集至云防御服務(wù)器定時(shí)收納合并，云防御服務(wù)器動(dòng)態(tài)更新病毒庫(kù)、攻擊特征庫(kù)、掛馬庫(kù)等并同步到所有網(wǎng)御安全網(wǎng)關(guān)設(shè)備中，使其他設(shè)備也具有防病毒、IPS、防掛馬等功能，同時(shí)使其具備更高的處理性能，共同形成整體可信架構(gòu)云防御體系。網(wǎng)御公司提前部署可信架構(gòu)“云防御”體系，主動(dòng)防御未知威脅，網(wǎng)御下一代防火墻在不斷變化的威脅環(huán)境、不斷變化的業(yè)務(wù)IT流程、不斷更新的云威脅下，為用戶提供真正有價(jià)值的信息安全整體防護(hù)方案，使信息安全3.0時(shí)代提前到來(lái)。

【編輯推薦】