抵抗ＤＤｏＳ　防火墻更新?lián)Q代

李大勇

面對(duì)DDoS的強(qiáng)勢(shì)攻擊,歷數(shù)現(xiàn)有的很多先進(jìn)的防火墻產(chǎn)品概念,往往會(huì)不由自主地思考,為了抵抗DDoS簡(jiǎn)單粗暴的進(jìn)攻,哪種模式更具競(jìng)爭(zhēng)力?更先進(jìn)的防火墻模式應(yīng)該是怎樣的?或許防火墻是應(yīng)該再變變了。

與那些精心設(shè)計(jì)的攻擊手段相比,DDoS顯得十分“粗線條”,甚至特別不具有技術(shù)含量。然而,利用大面積的受控制的僵尸主機(jī),現(xiàn)今的攻擊者可以發(fā)起非常大規(guī)模的攻擊,足以造成一些大型網(wǎng)絡(luò)設(shè)施的癱瘓。

DDoS成為無解的難題

2008年度大規(guī)模爆發(fā)的Conficker蠕蟲危害所造成的影響至今仍歷歷在目。盡管該蠕蟲利用的系統(tǒng)漏洞很快就被發(fā)現(xiàn)同時(shí)也有了修補(bǔ)程序,但是在隨后的一個(gè)季度里,Conficker和它的變種程序仍舊控制了超過150個(gè)國(guó)家的上千萬臺(tái)計(jì)算機(jī)。

與傳統(tǒng)的、單純的DDoS攻擊不同,追求利益的黑客社團(tuán)并非為了有趣而糾集如此數(shù)量眾多的計(jì)算機(jī)。他們依賴出售所控制的計(jì)算機(jī)資源給最終發(fā)起攻擊的人來謀取利益,或者對(duì)所控制的計(jì)算機(jī)施行網(wǎng)絡(luò)釣魚等欺詐性操作從而獲得有經(jīng)濟(jì)價(jià)值的情報(bào)。

事實(shí)上,當(dāng)全球的公司和組織仍舊將信息安全防護(hù)的中心指向互聯(lián)網(wǎng)的時(shí)候,其內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)往往卻成為危害互聯(lián)網(wǎng)安全和其它組織安全的“幫兇”。

DDoS作為一種典型的互聯(lián)網(wǎng)攻擊手段,其名字當(dāng)中所包含的“分布式”字樣已經(jīng)明確地表明了其本質(zhì)所在。而其背后的僵尸網(wǎng)絡(luò)體系,更是匯集了互聯(lián)網(wǎng)安全領(lǐng)域的諸多問題。

事實(shí)上,當(dāng)下流行的絕大多數(shù)安全問題,都表現(xiàn)出綜合多種攻擊方式、結(jié)合社交工程手段、有目的分階段地展開動(dòng)作等特征?；ヂ?lián)網(wǎng)時(shí)代的安全問題,正呈現(xiàn)出高度分布化的特征,傳統(tǒng)的安全防護(hù)手段顯得捉襟見肘也就不足為怪了。

與分布式攻擊對(duì)應(yīng)的,用戶的防范措施不能停留在諸如網(wǎng)關(guān)防護(hù)這樣的單點(diǎn)防御層面上,而也應(yīng)該具有相適應(yīng)的體系。各種不同防護(hù)措施的聯(lián)動(dòng)已經(jīng)不能夠完全滿足需要,能夠跨越組織邊界的、徹底面向互聯(lián)網(wǎng)的安全防護(hù)體系,才能夠真正保障用戶的信息安全性。

具有新時(shí)代特征的防火墻

傳統(tǒng)防火墻基于三層和四層的包過濾,很容易造成單點(diǎn)突破問題,安全強(qiáng)度得不到保障。而隨著應(yīng)用層過濾的不斷主流化,以及在UTM理念倡導(dǎo)下的功能整合化、規(guī)則統(tǒng)一化、平臺(tái)靈活化,防火墻產(chǎn)品在防范互聯(lián)網(wǎng)威脅方面已經(jīng)取得了長(zhǎng)足的進(jìn)步。

然而,就目前的情況來看,這些進(jìn)步還遠(yuǎn)沒有達(dá)到令用戶高枕無憂的程度。盡管防火墻類型的產(chǎn)品在性能和功能上乃至防護(hù)范圍上都有了很大的提高,但是在應(yīng)對(duì)高速變化的互聯(lián)網(wǎng)威脅方面,在靈活程度和適應(yīng)能力方面仍舊有所欠缺。

UTM作為一個(gè)廣受認(rèn)可的理念和實(shí)踐框架,已經(jīng)在各個(gè)主流廠商的產(chǎn)品中有所體現(xiàn)。雖然很多專攻UTM產(chǎn)品市場(chǎng)的廠商都盡可能地突出UTM與防火墻的不同,但是不可忽視的一點(diǎn)在于,UTM產(chǎn)品在檢測(cè)模式等基本工作原理上仍舊與防火墻如出一轍。

即便是性能達(dá)到萬兆級(jí)別的多核UTM系統(tǒng),其設(shè)計(jì)模型中也不可避免地充斥著防火墻技術(shù)的痕跡。所以說,UTM產(chǎn)品在很大程度上可以看作是防火墻產(chǎn)品的發(fā)展和擴(kuò)展,是全新一代的防火墻。

值得注意的是,目前有為數(shù)不少的主流廠商都在跟進(jìn)X-UTM的概念,其中就包括了在UTM產(chǎn)品領(lǐng)域處于領(lǐng)先地位的Foreinet公司。具有充分靈活的架構(gòu)以保證能根據(jù)不同需要集成安全功能是X-UTM架構(gòu)的最重要特征,而這也延續(xù)了UTM架構(gòu)的核心理念。與最初的UTM產(chǎn)品相比,X-UTM產(chǎn)品除了具備充足的運(yùn)算性能以實(shí)現(xiàn)真正的UTM之外,X-UTM產(chǎn)品還嚴(yán)格要求所集成的功能在管理層面上取得統(tǒng)一,并能夠緊密配合。一個(gè)真正的X-UTM產(chǎn)品平臺(tái),可以靈活地插接安全功能,并能實(shí)時(shí)根據(jù)當(dāng)前的應(yīng)用情景調(diào)配各個(gè)部分的性能配給,還可以智能地保證產(chǎn)品隨時(shí)都達(dá)到最大的綜合功效。

與X-UTM相類似的還有被稱為XTM的產(chǎn)品模式,這是由WatchGuard公司所推出的一種致力于提高安全設(shè)備擴(kuò)展能力的架構(gòu),其X就取自英文的擴(kuò)展一詞。在實(shí)際功能方面,XTM產(chǎn)品在傳統(tǒng)的防護(hù)功能基礎(chǔ)上大力擴(kuò)展針對(duì)Web安全威脅的保護(hù)功能以及對(duì)于應(yīng)用層內(nèi)容的過濾。

而由于要對(duì)更多的功能進(jìn)行管理,要對(duì)更多的未知威脅進(jìn)行預(yù)警,可管理性也是XTM產(chǎn)品的重要指標(biāo)?？梢哉f,面對(duì)每年都會(huì)有所變化的主流安全問題,可擴(kuò)展的安全架構(gòu)可以讓硬件級(jí)安全設(shè)備也具有近似于軟件安全產(chǎn)品的“升級(jí)”能力,具有相當(dāng)?shù)膶?shí)用性。

作為另一個(gè)X字頭的產(chǎn)品系列,天融信最新推出的X-Firewall則將著眼點(diǎn)放在了按需定制方面。本土廠商對(duì)于用戶需求的深入了解,往往能形成強(qiáng)有力的產(chǎn)品優(yōu)勢(shì)。

X-Firewall在設(shè)計(jì)上更加強(qiáng)調(diào)一體化和模塊化,以達(dá)成對(duì)安全策略的統(tǒng)一管理和調(diào)度。為了真正實(shí)現(xiàn)安全按需定制的目標(biāo),天融信自主研發(fā)的TOS安全操作系統(tǒng)成為該系統(tǒng)架構(gòu)上的最大亮點(diǎn)之一。該操作系統(tǒng)不但實(shí)現(xiàn)了多種安全功能的融合,在統(tǒng)一策略管理方面也達(dá)到了相當(dāng)?shù)乃疁?zhǔn),打破了很多掌握在國(guó)外廠商手中的技術(shù)壁壘。

“云火墻”的生命力

時(shí)下正值云安全當(dāng)?shù)?業(yè)界普遍看好云計(jì)算技術(shù)在信息安全領(lǐng)域的推動(dòng)力,而基于云技術(shù)的防火墻產(chǎn)品,有極大的可能會(huì)成為安全設(shè)備領(lǐng)域的真命天子。

事實(shí)上,時(shí)下流行的各種形式的安全產(chǎn)品,往往也都是對(duì)防火墻產(chǎn)品的發(fā)揚(yáng)光大,與其說是防火墻的替代者,莫不如說是防火墻的傳承者。這些理念、架構(gòu)和產(chǎn)品,雖然在宣傳上各有側(cè)重,但是其核心都包含了一些相同的特質(zhì)。

集成防護(hù)、按需防護(hù)、主動(dòng)防護(hù)都是大家共同的追求,而可擴(kuò)展性、可變更性、可管理性則也是無可爭(zhēng)議的發(fā)展方向?！霸苹饓Α痹诩婢哌@些優(yōu)點(diǎn)的同時(shí),在智能化和動(dòng)態(tài)化方面可以提供本質(zhì)上的提升,畢竟一個(gè)龐大云體系的威力要遠(yuǎn)遠(yuǎn)超過一些小規(guī)模的防護(hù)設(shè)備組合。

作為全球最大的安全威脅檢測(cè)網(wǎng)絡(luò)SensorBase的所有者,思科公司是“云火墻”技術(shù)最早的支持者和推動(dòng)者。思科的“云火墻”體系除了能夠基于其對(duì)全球網(wǎng)絡(luò)安全威脅變化的了解來阻斷來自互聯(lián)網(wǎng)的攻擊之外,也能夠智能地利用這些情報(bào)識(shí)別內(nèi)部網(wǎng)絡(luò)中感染了僵尸木馬的計(jì)算機(jī),從而避免安全問題的蔓延。

對(duì)于云安全模式的充分應(yīng)用,讓“云火墻”有更大的可能性在僵尸網(wǎng)絡(luò)危害到信息資產(chǎn)之前過濾掉其開展的攻擊,同時(shí)為內(nèi)部網(wǎng)絡(luò)的各種防護(hù)機(jī)制提供更多的時(shí)間來識(shí)別和清除相關(guān)的惡意軟件感染。

可以預(yù)見,基于云端信息所獲得的動(dòng)態(tài)響應(yīng)能力,將使得基于云體系的防火墻產(chǎn)品獲得真正抗衡互聯(lián)網(wǎng)上各種分布式襲擊的能力。