安全产品与安全管理平台的变化

H3C公司 发表于:11年11月18日 17:42 [来稿] 存储在线

  • 分享:
[导读]出于业务系统本身的重要性考虑,中高端用户对于系统本身的高性能、高可靠性和功能的专业性等更为关心。

一、 下一代防火墙准备好了吗?

1. 中高端用户需求的变化

出于业务系统本身的重要性考虑,中高端用户对于系统本身的高性能、高可靠性和功能的专业性等更为关心。一方面,用户不希望安全产品成为其中的性能瓶颈,而企业本身的大流量数据客观上对于性能提出了更高的要求,出现万兆甚至数十万兆的服务需求。另一方面,业务系统或者数据中心成为防护的重点,典型如企业的办公自动化系统,生产订单管理系统,供应链和财务体系等部门的业务服务器等,其系统遭受到攻击导致的系统瘫痪将对企业生产运营有非常严重的危害。

对于以上的安全防护,除了基础的安全域隔离之外,针对业务系统的安全漏洞产生的攻击防护变得尤其重要,此时FW和IPS入侵防御往往成为企业安全防护的主要技术手段。这也是下一代防火墙(NGFW)的概念中FW和IPS的功能往往被重点提及的原因。应该说这种FW和IPS特性的集成,在一定程度上可以简化企业的安全部署和实现一体化的管理,这自然是符合用户的期望。

2. “FW+IPS”的现实难题

业界厂商及第三方的咨询机构去研究或是试图去定义新的安全产品形态,并形成了一些对于下一代防火墙产品的初步定义,其中就包括在防火墙产品中集成IPS特性的这个技术点。这一定义积极的一方面是它在理论规划上满足了用户的期望,但是在实现方式和效果上,仍然存在明显的技术缺陷需要解决。

专业性不足,漏报率高

高性能、高可靠以及专业的功能是用户对安全最关键的技术要求,尤其是针对诸如IPS这种需要进行深度报文过滤的系统,其本身的技术实现方式并没有成型的技术标准,不同厂商在实现方式上的差异很可能导致相差悬殊的检测效率和性能表现。与独立的IPS设备相比,大多数厂商宣称的通过软件集成方式将FW和IPS进行集成的实现方式,在专业性上存在不足。

众所周知,IPS产品核心的能力体现在多层次化的检测引擎、高效的匹配算法、丰富的特征库数目、以及对未知特征的快速分析和响应。专业的IPS设备,在层次化引擎处理方面,包含基础的基于正则表达式的固定字符串特征匹配、异常协议的分析检测、基于自学习流量模型的异常流量检测、针对未知特征的虚拟机模拟检测、以及借助IP信誉技术对访问内容的安全威胁预警等技术手段。这些技术手段的实施,在有效保证检测准确率的同时,对处理器资源也有非常严重的消耗,导致设备的性能无法轻易达到万兆以上。而通过软件集成到FW中的IPS特性,出于对性能的考虑,无论是在威胁检测的方式或是有效的特征库数目方面,和专业的IPS设备相比差距很大。部分厂商在实现过程中,为了获得相对较高的吞吐性能,对于大部分的流量,只是采取简单的基于固定字符串的模式匹配,甚至只是开启少部分的攻击特征库,以便大流量快速的通过,由此可能产生威胁检测漏报。

综合性能不理想,实际部署不乐观

现阶段在防火墙中集成的IPS特性,由于本身的业务处理流程的差异,其防火墙和IPS等特性的性能之间相互存在很大的影响,导致设备的综合性能不理想。一般情况下,设备标称的往往是理想情况下单特性开启情况下的最佳性能,而在实际的部署环境中,当FW/IPS等功能全部开启后,因为处理流程的整合,其综合的性能指标会有明显的下降;尤其是对于IPS特性,其性能测试涉及到多个方面的因素影响,如其测试使用的攻击流量协议类型、攻击流量特征是否被分片、攻击特征库的激活数目,测试的背景流量设置和引入到IPS检测引擎的攻击类型等。不同的环境设置所产生的结果会有很大的差异。

美国《网络世界》于2009年和2011年针对宣称支持NGFW的两个厂商的产品组织进行的两次测试显示:A厂商的防火墙集成IPS特性,在没有开启IPS特性时,其防火墙可以达到其宣称指标,但是在IPS特性后,即使按照该厂商的推荐开启和攻击流量相关的部分特征库,在没有发送任何攻击流量的情况下,设备的FW性能直线下降超过60%;发送超过10G以上的混杂攻击流量后,设备显示仅仅有不到1G的流量经过了IPS的检测处理并产生了一些攻击日志,其他的大部分流量直接被BYPASS,造成了测试攻击报文的漏报。对B厂商NGFW产品进行测试,将标称超过千兆IPS性能的产品部署在40M的实际Internet环境中,和另外一台同样环境下的独立IPS设备进行对比测试,结果显示该厂商的NGFW产品没有表现出可以匹敌专业IPS设备的攻击检测的适应性和准确率 【As with most IPS-in-a-firewall products, the product doesn't match the flexibility and power of dedicated IPS products】

基于上述的分析,在解决诸如IPS特性的性能和效率的矛盾等问题上,目前谈论的NGFW下一代防火墙仍然任重而道远。面对业务系统的安全防护需求,通过机架式防火墙辅助高端的IPS盒式产品,或者是模块化的FW和IPS的组合,在功能的专业性和性能的可扩展性上,相比较NGFW产品具备明显的优势,仍然会是高端用户首选方案。

[责任编辑:王振]
昆腾公司已经算是存储行业的“老手”了,在磁带市场一直保持着优势。随着存储技术的发展,昆腾又适时做出调整,开展磁盘方面的业务。
官方微信
weixin
精彩专题更多
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
12月15日,中国闪存联盟成立,同时IBM Flash System卓越中心正式启动
DOIT、DOSTOR、易会移动客户端播报中国存储峰会盛况。
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved.