一场安全模式的革命??写在网康NGFW 2.0发布之际

    当安全威胁隐入正常应用，传统安全产品开始显得不知所措，于是，针对下一代威胁特别设计的下一代防火墙（Next Generation Firewall，简称NGFW）开始出现在人们的视野中。正当人们迷失在众多NGFW产品中时，网康科技却已经开始发布其下一代防火墙的新版本——网康NGFW 2.0，让人们对NGFW这个产品类型有了更加清醒的认知。

      NGFW作为下一代安全产品，其核心在于应用的识别与控制、深度集成的安全引擎、主动防御技术和数据防泄露技术。Gartner定义的NGFW必须具备几个关键特性：第一，作为传统防火墙的替代品，必须具备传统防火墙的全部安全功能；第二，必须具备很强的应用识别能力，可以对应用进行可视化展现；第三，必须具备不同安全模块之间的联动能力，这是区分下一代防火墙与传统安全设备的一个关键标准；第四，在提供全面的安全防护和深度的可视化洞察能力的同时，不能以牺牲性能为代价。

下一代威胁，要靠下一代安全产品来解决

    下一代防火墙产品不止是又一款安全产品那么简单，它带来的是一场安全理念与安全管理模式的深刻变革。传统安全产品，不管是防火墙还是防病毒，都有着共同的工作模式，即基于代码特征：首先，用户层面发现异常，将问题提交给安全厂商告；然后，安全厂商根据报告去捕获恶意代码的样本，并对样本进行特征分析；而后，安全厂商会努力找到可以惟一识别该恶意代码的特征，并将该特征放入对应的特征库里，使得购买该厂商产品的用户具备对这类威胁的防范能力。

    但问题在于，现在安全厂商能够获得的恶意代码报告越来越少了。原因在于，过去的恶意威胁是散布式的。一旦有新的威胁出现，就会在极短的时间内蔓延开来，甚至瞬间感染成千上万台电脑，而且声势巨大，会大张旗鼓地在系统中进行破坏，唯恐人们不知道它的存在。对于这类安全威胁，安全厂商很容易获得报告，采集样本并分析出特征。
然而，下一代安全威胁不再是散布式的，也不在意吸引多少人的眼球，而是专门为某个组织机构量身定制的。黑客会通过各种手段收集该组织机构的相关信息，会想办法了解攻击对象所使用的交换机、路由器、数据服务器、Web服务器具体是什么型号，安装了哪些操作系统，存在哪些漏洞，然后再根据这些信息进行有针对性的攻击。而且，为了获取更多有价值的信息，这类攻击会更善于隐藏自己，甚至还带有自我销毁功能。对于这类安全威胁，安全厂商很难获得报告或样本，更难分析出普遍适用的特征，自然也就挡不住它们进攻的脚步。

    所以，要想解决下一代安全威胁，仅靠传统安全产品是远远不够的。仅靠代码这个特征，我们是看不到下一代安全威胁全貌的，只有把整个网络流量综合监控起来，把应用、用户、各种流量特征一一展现出来，并针对异常行为进行分析，例如流量大幅增长、莫名其妙的访问行为等，才可能从中发现网络攻击。
    这是因为现在的攻击不再是一次性行为，而是一系列行为，从开始的渗透、驻留，到破坏、撤退，每一个环节都存在大量和外界交互行为，这些行为都是有迹可循的。更何况，很多攻击行为都会存在很长时间，可能是几天、几月甚至几年，在如此长的时间里，只要能够对异常行为进行辨识，是完全有机会发现它们的蛛丝马迹的，然后再据此主动调整安全策略，进而主动防御下一代安全威胁。

      下一代安全模式必须是基于行为特征的：要对网络行为有着全面的掌控，能够对高风险以及异常流量进行深入追踪，进而掌握网络攻击的特征，让用户可以主动调整安全策略，封堵漏洞，消灭风险。 ——网康科技 严雷

NGFW只是NGFW，不是别的
      在下一代威胁的逼迫下，NGFW这个产品类型火了。于是乎，NGFW如雨后春笋般出现在人们的视野中，而且每个NGFW都不一样，有的像防火墙，有的像WAF，有的像UTM，有的甚至类似上网行为管理产品。
NGFW到底是什么？
     NGFW不是更快的防火墙。如果只是更快，称之为“下一个版本的防火墙”即可。事实上，NGFW在部署、使用、管理乃至整个安全模式上都与传统防火墙截然不同。
     NGFW不是WAF。WAF保护的是企业内部的Web服务器，而NGFW防护的则是网络中的外在应用，两者在防护对象、部署位置、采用的技术等方面都有显著的差异。
     NGFW也不是UTM产品。UTM只是多个安全功能的简单串接，是基于特征分析的安全产品，多个安全功能同时打开必然会使得设备的整体性能大幅下降。而NGFW则是重新设计的具有统一的安全引擎和数据引擎的全新安全产品，各个功能深度集成，会对数据进行深层整合，是基于行为分析的，而且绝对不会以牺牲性能为代价来换取安全。
     NGFW更不是上网行为管理产品。上网行为管理的核心价值在于对网络行为进行管控，而NGFW的核心价值则是对外部应用进行安全监测。判断一款产品是否是NGFW，主要看它采用了什么技术，能够解决什么问题。如果这款产品采用了应用识别、可视化、数据挖掘、云安全、行为分析等技术，能够解决僵尸网络、钓鱼网站、APT攻击、数据泄露等问题，那么它就是NGFW。

NGFW 2.0，更进一步
     2012年10月，网康科技正式发布了网康NGFW。这是一款真正的NGFW，完全具备Gartner所定义的NGFW的关键特征，让用户真正了解了NGFW这个产品类型。
     2013年4月，网康科技再次发布了网康NGFW 2.0，引入云安全、行为分析、数据防泄漏、链路负载均衡四大新功能，通过更先进的安全技术、更聚焦的防护措施、更贴近用户的产品价值，加强了对下一代威胁的防护。NGFW 2.0的功能特点如图1所示。
1.更先进的安全技术
    在NGFW 2.0中，网康科技首次将“云查杀”技术引入产品。由于安全扫描发生在云端，只有流量转发的消耗，而没有检测方面的消耗，所以可以做到既不影响扫描精确度，又不降低扫描速度。据悉，网康在云端的病毒和木马库的总特征数已经达到5000万，对木马的查杀率达到90%以上。
    此外，NGFW 2.0还专门针对“僵尸网络”进行了研发。借助NGFW 2.0的僵尸主机定位功能，用户可以对主机的网络行为进行分析，并与已知僵尸主机的常见行为进行比对，确定哪些主机已经被僵尸网络控制。测试证明，通过早期诊断，完全有机会在僵尸网络发作之前将其铲除，这也是下一代防火墙“主动防御”理念的体现。
2.更聚焦的防护措施
     由于安全威胁大都盯着数据，所以作为下一代安全产品，NGFW必须有针对数据泄露的防范措施。在NGFW 2.0中，网康科技针对300种能够进行数据传输的应用进行了检测，并支持64种文件类型的检查，还支持通过正则表达式的形式来进行关键字规则限定，并且预定义了许多数据类型。
3.更贴近客户的产品价值
     在进一步加强对下一代安全威胁的防护能力基础上，网康还针对客户的实际需求提供了一些极具实用价值的新功能。比如，很多用户都具有多链路出口的场景，所以NGFW 2.0引入了链路负载均衡功能，这对于提升客户的网络吞吐有着很好的帮助。
     而且，NGFW 2.0还将独有技术“应用引流”引入到下一代防火墙平台上，让用户可以根据应用类型来决定选择哪条链路。这样，用户就可以将核心业务分布到优质高价链路上，将无关业务分布到劣质低价链路上，从而更好地发挥出IT投资的价值。
     特别的是，网康科技一直把定价的对象选择为安全服务自身，让用户可以用很低的价格购买到下一代防火墙产品，之后再根据使用情况和财务预算自由决定是否继续购买后续服务。服务内容包括软件版本升级、杀毒库升级、应用特征库升级、网址分类库升级、入侵防护升级、设备硬件质保等。

    随着NGFW 2.0的上市，网康科技还推出了“NGFW普及风暴”计划，为指定地区的企业用户提供免费试用，以便把下一代防火墙的安全理念和价值带给更多用户。

标签： web服务器 安全 标准 代码 防火墙 服务器 计划 漏洞 企业 网络 网站 问题 选择 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。