抵抗DDoS 防火墙更新换代

日期: 2009-11-30 来源:TechTarget中国

  面对DDoS的强势攻击,历数现有的很多先进的防火墙产品概念,往往会不由自主地思考,为了抵抗DDoS简单粗暴的进攻,哪种模式更具竞争力,更先进的防火墙模式应该是怎样的,或许防火墙是应该再变变了。(河南安阳供电公司 李大勇)

  与那些优雅而精密的攻击手段相比,DDoS显得十分“粗线条”,甚至非常的不具有技术含量。然而,利用控制大面积的僵尸主机,现今的攻击者可以发起非常大规模的攻击,足以造成一些大规模网络设施的瘫痪。

  DDoS成与无解的难题

  2008年度大规模爆发的Conficker蠕虫所造成的影响至今仍历历在目,尽管该蠕虫利用的系统漏洞很快就被发现同时也发布了修补程序,但是在随后的一个季度里,Conficker和它的变种程序仍旧控制了超过150个国家的上千万台计算机。

  与传统的、单纯的DDoS攻击不同,追求利益的黑客社团并非为了有趣而纠集如此数量众多的计算机。他们依赖出售所控制的计算机资源给最终发起攻击的人来谋取利益,或者对所控制的计算机施行网络钓鱼等欺诈性操作从而获得有经济价值的情报。

  事实上,当全球的公司和组织仍旧将信息安全防护的中心指向互联网的时候,其内部网络中的计算机往往却成为危害互联网安全和其它组织安全的“帮凶”。

  DDoS作为一种典型的互联网攻击手段,其名字当中所包含的“分布式”字样已经明确地表明了自己的本质所在。而其背后的僵尸网络体系,更是汇集了互联网安全领域的诸多问题。

  事实上,当下流行的绝大多数安全问题,都表现出综合多种攻击方式、结合社交工程手段、有目的分阶段地展开动作等特征。互联网时代的安全问题,正在呈现出高度分布化的特征,传统的安全防护手段显得捉襟见肘也就不足为怪了。

  与分布式攻击对应的,用户的防范措施不能停留在诸如网关防护这样的单点防御层面上,而也应该具有相适应的体系。各种不同防护措施的联动已经不能够完全满足需要,能够跨越组织边界的、彻底面向互联网的安全防护体系,才能够真正保障用户的信息安全性。

  具有新时代特征的防火墙

  传统防火墙基于三层和四层的包过滤,很容易造成单点突破问题,安全强度得不到保障。而随着应用层过滤的不断主流化,以及在UTM理念倡导下的功能整合化、规则统一化、平台灵活化,防火墙产品在防范互联网威胁方面已经取得了长足的进步。

  然而,就目前的情况来看,这些进步还远没有达到令用户高枕无忧的程度。尽管防火墙类型的产品在性能和功能上乃至防护范围上都有了很大的提高,但是在应对高速变化、高速增长的互联网威胁方面,在灵活程度和适应能力方面仍旧有所欠缺。

  UTM作为一个广受认可的理念和实践框架,已经在各个主流厂商的产品中有所体现。虽然很多专攻UTM产品市场的厂商都尽可能地突出UTM与防火墙的不同,但是不可忽视的一点在于,UTM产品在检测模式等基本工作原理上仍旧与防火墙如出一辙。

  即便是性能达到万兆级别的多核UTM系统,其设计模型中也不可避免地充斥着防火墙技术的痕迹。所以说,UTM产品在很大程度上可以看作防火墙产品的发展和扩展,是全新一代的防火墙。

  值得注意的是,目前有为数不少的主流厂商都在跟进X-UTM的概念,其中就包括了在UTM产品领域处于领先地位的Foreinet公司。具有充分灵活的架构以保证能根据不同需要集成安全功能是X-UTM架构的最重要特征,而这也延续了UTM架构的核心理念。而与最初的UTM产品相比,X-UTM产品在实现上更加彻底和高效。除了具备充足的运算性能以实现真正的UTM之外,X-UTM产品严格要求所集成的功能在管理层面上取得统一,并能够紧密配合。一个真正的X-UTM产品平台,可以灵活的插接安全功能,并实时根据当前的应用情景调配各个部分的性能配给,智能地保证产品随时都达到最大的综合功效。

  与X-UTM相类似的还有被称为XTM的产品模式,这是由WatchGuard公司所推出的一种致力于提高安全设备扩展能力的架构,其X就取自英文的扩展一词。在实际功能方面,XTM产品在传统的防护功能基础上大力扩展针对Web安全威胁的保护功能以及对于应用层内容的过滤。

  而由于要对更多的功能进行管理,要对更多的未知威胁进行预警,可管理性也是XTM产品的重要指标。可以说,面对每年都会有所变化的主流安全问题,可扩展的安全架构可以让硬件级安全设备也具有近似于软件安全产品的“升级”能力,具有相当的实用性。

  套用软件行业近年来流行的一个词汇来说,“随需应变”正成为业务应用新的关注点。而作为另一个X字头的产品系列,天融信最新推出的X-Firewall则将主要着眼点放在了按需定制方面。本土厂商对于用户需求的深入了解,往往能形成强有力的产品优势。

  X-Firewall在设计上更加强调一体化和模块化,以达成对安全策略的统一管理和调度。为了真正实现安全按需定制的目标,天融信自主研发的TOS安全操作系统成为该系统架构上的最大亮点之一。该操作系统不但实现了多种安全功能的融合,在统一策略管理方面也达到了相当的水准,打破了很多掌握在国外厂商手中的技术壁垒。

  “云”火墙的生命力

  在历数现有的很多先进的防火墙产品概念之后,往往会不由自主地思考哪种模式更具竞争力,以及更先进的防火墙模式是怎样的。时下正值云安全当道,业界普遍看好云计算技术在信息安全领域的推动力,而基于云技术的防火墙产品,有极大的可能会成为安全设备领域的真命天子。

  事实上,时下流行的各种形式的安全产品,往往也都是对防火墙产品的发扬光大,与其说是防火墙的替代者,莫不如说是防火墙的传承者。这些理念、架构和产品,虽然在宣传上各有侧重,但是其核心都包含了一些相同的特质。

  集成防护、按需防护、主动防护都是大家共同的追求,而可扩展性、更变更性、可管理性则也是无可争议的发展方向。“云”火墙在兼具这些优点的同时,在智能化和动态化方面可以提供本质上的提升,毕竟一个庞大云体系的威力要远远超过一些小规模的防护设备组合。

  作为全球最大的安全威胁检测网络SensorBase的所有者,思科公司是云火墙技术最早的支持者和推动者。思科的云火墙体系除了能够基于其对全球网络安全威胁变化的了解来阻断来自互联网的攻击之外,也能够智能地利用这些情报识别内部网络中感染了僵尸木马的计算机,从而避免安全问题的蔓延。

  对于云安全模式的充分应用,让云火墙有更大的可能性在僵尸网络危害到信息资产之前过滤掉其开展的攻击,同时为内部网络的各种防护机制有更多的时间识别和清除相关的恶意软件感染。

  可以预见,基于云端信息所获得的动态响应能力,将使得基于云体系的防火墙产品,获得真正抗衡互联网上各种分布式袭击的能力。

DDoS大事件:

  • DDoS全名是Distribution Denial of Service (分布式拒绝服务攻击),最直观地,很多不同的DoS攻击源同时攻击某个网络设施就构成了DDoS攻击。
  • DDoS 最早可追述到1996年初,2002年开始在中国频繁出现,到2003年时已经颇具规模。
  • 大名鼎鼎的Conficker蠕虫最早于2008年11月20日被发现,截止至2009年初累计感染的计算机数量已达惊人的1500万台。
  • 2009年,美国东部时间10月8日晚23时左右,Twitter网站宕机,许多用户至次日上午11时仍然不能正常登入Twitter。这是Twitter继8月后再次因DDoS攻击而发生大范围宕机,包括Facebook在内的其它著名社交网站也受到这波DDoS攻击的影响。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…

  • “外围”消亡 企业安全防护需要新形态

    外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

  • 怎样正确地测试和维护防火墙?

    大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事……