网络安全防护需要多层次多维度进行

在2013年和2014年，出现了很多著名的数据泄露事件，众多大公司也榜上有名，比如：Target Corporation, Adobe, Tesco, Snecma, LaCie, KT Corp, Yahoo Japan, 以及 New York Times。从众多的调查及其结果中也可以看出来信息安全问题的增多已经成为了趋势。PwC1指出，有18%的企业被报告过有被外界入侵网络的情况。Verizon在其2014 数据泄露调查报告中指出，入侵路径甚至数月都没有被企业发现。Gartner近期也表示，所有的企业都应假设自己面临不断的威胁，以提升企业信息安全威胁防护水平。

安全防御不只是防火墙与IPS

一些企业机构均已采购防火墙产品构建防御体系， 但是在面临如今不断复杂的威胁时，安全防护不仅仅是防火墙和IPS。攻击者已经开始使用一些漏洞来绕过基础安全设备，而这些漏洞并不是防火墙和IPS要检查的内容。来自于以下层面的威胁就是很好的说明。

邮件：千里之堤毁于蚁穴

网络安全专家们花费了大量的时间和精力致力于设计、部署和维护最新最好的企业网络安全防御措施。可能随着用户的一次点击，攻击者就有可能突破网络安全专家精心设计的安全防御工事。而点击的就是可疑邮件中的链接。这些邮件内容都是精心设计的，可能伪造成与受信发件方相似的名字和来源，或者是伪造成IT和其他部门日常沟通的邮件内容。

邮件是社会工程学攻击手段中的重要一步。狡猾的攻击者可以十分容易的访问到社交媒体等来获取他们想知道的联系人信息。他们手工伪造邮件，使之看起来十分像真的朋友或同事发来的问候或求助，而目的则是欺骗用户点击邮件中的附件或恶意链接，来执行或下载恶意附件或程序，亦或者访问一个已经被攻破的网站，直接在Web端发起攻击。

来自Web应用的威胁

越来越多的企业用户已将核心业务系统转移到网络上，Web浏览器成为业务系统的窗口。在此背景下，如何保障企业的应用安全，尤其是Web应用安全成为新形势下信息安全保障的关键所在。而保护Web应用的安全需要一个与签名检测完全不同的技术。只有Web应用防火墙能够提供完整的应用保护，因为它能够理解应用逻辑和Web应用的组成元素，比如URL，参数和使用的Cookie。使用行为监控应用的使用量，WAF可以对数据中心的每一个应用进行深层检测，从而建立正常行为基线，作为非正常应用使用的判断标准，并且及时提供安全保护。

我们已经简单的阐释为什么只有防火墙来保护应用和数据是不够的。 如果你工作在一家电子商务或者金融、银行业中的一家公司，那么你就需要考虑你的网络和应用安全是否满足PCI合规性的要求。为了通过PCI DSS 6合规，你需要一台Web应用防火墙来满足全部OWASP Top 10应用威胁。下面的表格展示了在满足OWASP Top 10方面WAF和防火墙能做的事情。

而除了来自邮件与应用威胁外， 近些年， 成本更低、效果更好的应用层DDoS攻击也会是攻击者的首选。而这也不是威胁的全部， 另一个层面是安全应用流量的爆发。 很多企业在大面积部署他们的Web应用使用SSL进行安全通信，尽管这算不上威胁，甚至似乎还让应用更安全了。Sandvine的最新的全球互联网现状报告显示，加密流量正在以前所未有的速度成为网络流量中不可忽视的一部分。

当你考虑到互联网流量仍旧保持着23%以上的年增长率，上述结果就很令人震惊了。再加上流量的爆发式增长，流量加密的要求也更高更复杂了，甚至安全数据包的大小已经是以前的两倍到四倍，加密算法技术也从1024位到2048位，现在已经在使用4096位的密钥了。正是这些不断增加的安全流量和日趋复杂的加密技术，给服务器和负载均衡设备带来了巨大的挑战。

做好防护，要多层次多维度进行

在前面每一小节中谈到的特殊挑战，都需要除了防火墙和IPS以外的技术来解决。虽然现在很多防火墙和IPS，包括我们的FortiGate产品，都搭载了很多的功能来解决很多新生问题，但是他们更多是依靠签名来检测安全威胁，因此面对未知威胁和0day攻击，必须要补充其他的安全技术。FortiGate拥有众多服务比如深度包检测、数据防泄漏等等，但是尽管做到了这样，仍然还是有很多流量中的潜在漏洞需要修复，并且性能开销也是企业部署时需要考虑的问题。

IP信誉和签名检测是FortiGate和其他防火墙使用最多的应用层防护功能。通常基于订阅服务，比如IP信誉和攻击签名是非常有效的阻挡攻击的方法，而且是在防火墙对数据包进行深度检测之前。如果一个攻击是从已知源发起的，或者匹配了一条预定义签名，那么它就可以直接自动被防火墙阻挡，而防火墙并不需要做做任何深层次的检查。FortiGuard Labs为FortiGate提供这些服务。

尽管这些技术能够十分有效的阻挡从已知源和签名的攻击，但是日益增多的0day和高级可持续威胁（APT）却能够绕过这些检测技术。在一些案例中，APT都是十分定制化的，并且可疑代码都是为实现特定目标编写的，甚至恶意软件在终端安装并执行了，安全防护系统都没有产生告警。另一方面，签名和IP信誉也不能完全保护Web应用不受攻击，尤其是很多攻击都是基于代码漏洞的，使用正常请求并利用代码漏洞来进行攻击，便可绕过防火墙和IPS等基于预定义签名的安全设备。

面对这些威胁，整个IT安全行业都在升级技术来帮助用户进行对抗，包括Fortinet在内，提供专业的解决方案以补充防火墙和IPS安全平台。这些解决方案包括针对应用安全的Web应用防火墙，进行DDoS攻击防护的DDoS攻击缓解设备，高级应用交付控制器以满足安全应用流量的完美情况下，所有这些安全功能都在一台设备中就好了。但是尽管如今最先进的硬件平台，当很多功能同时开启后，性能还是会被影响。FortiGate使用了很多先进的技术来尝试解决这个问题，但是与完美尚存差距。很多企业数据中心的管理者并不会在安全设备上开启很多功能，因为他们知道这样做会对整体性能产生影响。小到中型企业会开启很多高级的FortiGate NGFW功能来实现一个盒子管控网络流量和IT资源的目的。

对于大型企业来说，一个很艰难的决定便是选择同一个厂商还是根据不同产品选择各自领域最佳的解决方案。关于这个问题，在业界的讨论从未停歇：“单一厂商更易于处理”，“单点解决方案可以提供更好的安全功能”。当你坐下来权衡选择时，你应该考虑的是能否找到一家为数据中心提供完整端到端解决方案的厂商，并且它是否能够尽可能多的满足你企业的关键需求，比如功能性，交互性，管理和后期支持等等。而Fortinet在提供高性能防火墙解决方案的同时，正在以一个完整解决方案厂商的身份来帮助你解决你的网络面对的高级网络和应用安全威胁。