安全产品与安全管理平台的变化

　　导语：如果说IT的表现是若干个0，那么安全就是0前面的1，因此没有一个IT管理者不重视安全建设。既便如此，意气风发的新一代互联网，仍然不可避免时不时被安全问题绊个趔趄。安全产品自身应该在哪些方面进行变革和完善，才能适应新的要求?我们将分两期来探讨。

　　一、 下一代防火墙准备好了吗?

　　1. 中高端用户需求的变化

　　出于业务系统本身的重要性考虑，中高端用户对于系统本身的高性能、高可靠性和功能的专业性等更为关心。一方面，用户不希望安全产品成为其中的性能瓶颈，而企业本身的大流量数据客观上对于性能提出了更高的要求，出现万兆甚至数十万兆的服务需求。另一方面，业务系统或者数据中心成为防护的重点，典型如企业的办公自动化系统，生产订单管理系统，供应链和财务体系等部门的业务服务器等，其系统遭受到攻击导致的系统瘫痪将对企业生产运营有非常严重的危害。

　　对于以上的安全防护，除了基础的安全域隔离之外，针对业务系统的安全漏洞产生的攻击防护变得尤其重要，此时FW和IPS入侵防御往往成为企业安全防护的主要技术手段。这也是下一代防火墙(NGFW)的概念中FW和IPS的功能往往被重点提及的原因。应该说这种FW和IPS特性的集成，在一定程度上可以简化企业的安全部署和实现一体化的管理，这自然是符合用户的期望。

　　2. “FW+IPS”的现实难题

　　业界厂商及第三方的咨询机构去研究或是试图去定义新的安全产品形态，并形成了一些对于下一代防火墙产品的初步定义，其中就包括在防火墙产品中集成IPS特性的这个技术点。这一定义积极的一方面是它在理论规划上满足了用户的期望，但是在实现方式和效果上，仍然存在明显的技术缺陷需要解决。

　　l 专业性不足，漏报率高

　　高性能、高可靠以及专业的功能是用户对安全最关键的技术要求，尤其是针对诸如IPS这种需要进行深度报文过滤的系统，其本身的技术实现方式并没有成型的技术标准，不同厂商在实现方式上的差异很可能导致相差悬殊的检测效率和性能表现。与独立的IPS设备相比，大多数厂商宣称的通过软件集成方式将FW和IPS进行集成的实现方式，在专业性上存在不足。

　　众所周知，IPS产品核心的能力体现在多层次化的检测引擎、高效的匹配算法、丰富的特征库数目、以及对未知特征的快速分析和响应。专业的IPS设备，在层次化引擎处理方面，包含基础的基于正则表达式的固定字符串特征匹配、异常协议的分析检测、基于自学习流量模型的异常流量检测、针对未知特征的虚拟机模拟检测、以及借助IP信誉技术对访问内容的安全威胁预警等技术手段。这些技术手段的实施，在有效保证检测准确率的同时，对处理器资源也有非常严重的消耗，导致设备的性能无法轻易达到万兆以上。而通过软件集成到FW中的IPS特性，出于对性能的考虑，无论是在威胁检测的方式或是有效的特征库数目方面，和专业的IPS设备相比差距很大。部分厂商在实现过程中，为了获得相对较高的吞吐性能，对于大部分的流量，只是采取简单的基于固定字符串的模式匹配，甚至只是开启少部分的攻击特征库，以便大流量快速的通过，由此可能产生威胁检测漏报。

　　l 综合性能不理想，实际部署不乐观

　　现阶段在防火墙中集成的IPS特性，由于本身的业务处理流程的差异，其防火墙和IPS等特性的性能之间相互存在很大的影响，导致设备的综合性能不理想。一般情况下，设备标称的往往是理想情况下单特性开启情况下的最佳性能，而在实际的部署环境中，当FW/IPS等功能全部开启后，因为处理流程的整合，其综合的性能指标会有明显的下降;尤其是对于IPS特性，其性能测试涉及到多个方面的因素影响，如其测试使用的攻击流量协议类型、攻击流量特征是否被分片、攻击特征库的激活数目，测试的背景流量设置和引入到IPS检测引擎的攻击类型等。不同的环境设置所产生的结果会有很大的差异。

　　美国《网络世界》于2009年和2011年针对宣称支持NGFW的两个厂商的产品组织进行的两次测试显示：A厂商的防火墙集成IPS特性，在没有开启IPS特性时，其防火墙可以达到其宣称指标，但是在IPS特性后，即使按照该厂商的推荐开启和攻击流量相关的部分特征库，在没有发送任何攻击流量的情况下，设备的FW性能直线下降超过60%;发送超过10G以上的混杂攻击流量后，设备显示仅仅有不到1G的流量经过了IPS的检测处理并产生了一些攻击日志，其他的大部分流量直接被BYPASS，造成了测试攻击报文的漏报。对B厂商NGFW产品进行测试，将标称超过千兆IPS性能的产品部署在40M的实际Internet环境中，和另外一台同样环境下的独立IPS设备进行对比测试，结果显示该厂商的NGFW产品没有表现出可以匹敌专业IPS设备的攻击检测的适应性和准确率 【As with most IPS-in-a-firewall products, the product doesn't match the flexibility and power of dedicated IPS products】

　　基于上述的分析，在解决诸如IPS特性的性能和效率的矛盾等问题上，目前谈论的NGFW下一代防火墙仍然任重而道远。面对业务系统的安全防护需求，通过机架式防火墙辅助高端的IPS盒式产品，或者是模块化的FW和IPS的组合，在功能的专业性和性能的可扩展性上，相比较NGFW产品具备明显的优势，仍然会是高端用户首选方案。

　　二、 网络与安全的融合

　　在早期的企业IT信息化的过程中，网络与安全缺乏统一的规划设计，在建设基础网络的同时并没有充分考虑到安全的建设，以至于在发现安全风险的同时只能进行补丁式的安全防护升级，而随着新一代互联网(NGIP)的发展，成熟的安全服务如FW或IPS等开始融合到云联网、基础承载网以及物联网，这种融合也是客户需求的直接体现:

　　l 高性能的网络安全基础架构的融合，为用户部署安全增值业务应用提供了条件

　　早期的安全产品，因为其本身百兆或者多千兆的性能，在大型数据中心的部署过程中，只能是将少部分的流量重定向到旁路部署的安全设备进行处理，安全并没有成为整个流量的基本属性。而现阶段，随着10G，20G甚至100G的安全硬件平台的出现，高性能的基础网络已经可以融合叠加同样高性能的安全业务，以至于在同一个基础架构的物理节点上，就可以对外提供数十G甚至上百G的网络转发和安全增强查服务，这种基础架构的融合让安全的云网络部署成为可能。

　　l 网络安全的融合，有助于建设绿色数据中心

　　在云计算环境下，大量、独立的安全设备对于数据中心的空间占用、系统布线工程以及电源系统有着更多的要求，而高性能的安全硬件模块和基础网络的融合，既可以有效规避上述几方面的要求，减少噪音降低能耗，又能在系统故障时通过简单的热插拔备份等方式保证系统的可持续性运行，符合当前建设绿色数据中心的需求。

　　l 企业对于简易化维护管理的需求，要求网络和安全进行管理层面的融合

　　管理员除了对数据中心的网络设备和安全设备进行例行的日常维护外，还要根据业务的变更及时调整与之相关联的网络设备和安全设备的配置，如变更网络设备的接入端口、VLAN或ACL配置、监控设备状态、调整安全策略、设定安全事件告警条件等。为了避免在不同管理系统之间来回切换造成的配置错误风险等，用户需要面向业务的、统一的网络安全管理平台来提升管理员的工作效率。