面对DDoS的强势攻击,历数现有的很多先进的防火墙产品概念,往往会不由自主地思考,为了抵抗DDoS简单粗暴的进攻,哪种模式更具竞争力?更先进的防火墙模式应该是怎样的?或许防火墙是应该再变变了。
与那些精心设计的攻击手段相比,DDoS显得十分“粗线条”,甚至特别不具有技术含量。然而,利用大面积的受控制的僵尸主机,现今的攻击者可以发起非常大规模的攻击,足以造成一些大型网络设施的瘫痪。
DDoS成为无解的难题
2008年度大规模爆发的Conficker蠕虫危害所造成的影响至今仍历历在目。尽管该蠕虫利用的系统漏洞很快就被发现同时也有了修补程序,但是在随后的一个季度里,Conficker和它的变种程序仍旧控制了超过150个国家的上千万台计算机。
与传统的、单纯的DDoS攻击不同,追求利益的黑客社团并非为了有趣而纠集如此数量众多的计算机。他们依赖出售所控制的计算机资源给最终发起攻击的人来谋取利益,或者对所控制的计算机施行网络钓鱼等欺诈性操作从而获得有经济价值的情报。
事实上,当全球的公司和组织仍旧将信息安全防护的中心指向互联网的时候,其内部网络中的计算机往往却成为危害互联网安全和其它组织安全的“帮凶”。
DDoS作为一种典型的互联网攻击手段,其名字当中所包含的“分布式”字样已经明确地表明了其本质所在。而其背后的僵尸网络体系,更是汇集了互联网安全领域的诸多问题。
事实上,当下流行的绝大多数安全问题,都表现出综合多种攻击方式、结合社交工程手段、有目的分阶段地展开动作等特征。互联网时代的安全问题,正呈现出高度分布化的特征,传统的安全防护手段显得捉襟见肘也就不足为怪了。
与分布式攻击对应的,用户的防范措施不能停留在诸如网关防护这样的单点防御层面上,而也应该具有相适应的体系。各种不同防护措施的联动已经不能够完全满足需要,能够跨越组织边界的、彻底面向互联网的安全防护体系,才能够真正保障用户的信息安全性。
具有新时代特征的防火墙
传统防火墙基于三层和四层的包过滤,很容易造成单点突破问题,安全强度得不到保障。而随着应用层过滤的不断主流化,以及在UTM理念倡导下的功能整合化、规则统一化、平台灵活化,防火墙产品在防范互联网威胁方面已经取得了长足的进步。
然而,就目前的情况来看,这些进步还远没有达到令用户高枕无忧的程度。尽管防火墙类型的产品在性能和功能上乃至防护范围上都有了很大的提高,但是在应对高速变化的互联网威胁方面,在灵活程度和适应能力方面仍旧有所欠缺。
UTM作为一个广受认可的理念和实践框架,已经在各个主流厂商的产品中有所体现。虽然很多专攻UTM产品市场的厂商都尽可能地突出UTM与防火墙的不同,但是不可忽视的一点在于,UTM产品在检测模式等基本工作原理上仍旧与防火墙如出一辙。
即便是性能达到万兆级别的多核UTM系统,其设计模型中也不可避免地充斥着防火墙技术的痕迹。所以说,UTM产品在很大程度上可以看作是防火墙产品的发展和扩展,是全新一代的防火墙。
值得注意的是,目前有为数不少的主流厂商都在跟进X-UTM的概念,其中就包括了在UTM产品领域处于领先地位的Foreinet公司。具有充分灵活的架构以保证能根据不同需要集成安全功能是X-UTM架构的最重要特征,而这也延续了UTM架构的核心理念。与最初的UTM产品相比,X-UTM产品除了具备充足的运算性能以实现真正的UTM之外,X-UTM产品还严格要求所集成的功能在管理层面上取得统一,并能够紧密配合。一个真正的X-UTM产品平台,可以灵活地插接安全功能,并能实时根据当前的应用情景调配各个部分的性能配给,还可以智能地保证产品随时都达到最大的综合功效。
与X-UTM相类似的还有被称为XTM的产品模式,这是由WatchGuard公司所推出的一种致力于提高安全设备扩展能力的架构,其X就取自英文的扩展一词。在实际功能方面,XTM产品在传统的防护功能基础上大力扩展针对Web安全威胁的保护功能以及对于应用层内容的过滤。
而由于要对更多的功能进行管理,要对更多的未知威胁进行预警,可管理性也是XTM产品的重要指标。可以说,面对每年都会有所变化的主流安全问题,可扩展的安全架构可以让硬件级安全设备也具有近似于软件安全产品的“升级”能力,具有相当的实用性。
作为另一个X字头的产品系列,天融信最新推出的X-Firewall则将着眼点放在了按需定制方面。本土厂商对于用户需求的深入了解,往往能形成强有力的产品优势。
X-Firewall在设计上更加强调一体化和模块化,以达成对安全策略的统一管理和调度。为了真正实现安全按需定制的目标,天融信自主研发的TOS安全操作系统成为该系统架构上的最大亮点之一。该操作系统不但实现了多种安全功能的融合,在统一策略管理方面也达到了相当的水准,打破了很多掌握在国外厂商手中的技术壁垒。
“云火墙”的生命力
时下正值云安全当道,业界普遍看好云计算技术在信息安全领域的推动力,而基于云技术的防火墙产品,有极大的可能会成为安全设备领域的真命天子。
事实上,时下流行的各种形式的安全产品,往往也都是对防火墙产品的发扬光大,与其说是防火墙的替代者,莫不如说是防火墙的传承者。这些理念、架构和产品,虽然在宣传上各有侧重,但是其核心都包含了一些相同的特质。
集成防护、按需防护、主动防护都是大家共同的追求,而可扩展性、可变更性、可管理性则也是无可争议的发展方向。“云火墙”在兼具这些优点的同时,在智能化和动态化方面可以提供本质上的提升,毕竟一个庞大云体系的威力要远远超过一些小规模的防护设备组合。
作为全球最大的安全威胁检测网络SensorBase的所有者,思科公司是“云火墙”技术最早的支持者和推动者。思科的“云火墙”体系除了能够基于其对全球网络安全威胁变化的了解来阻断来自互联网的攻击之外,也能够智能地利用这些情报识别内部网络中感染了僵尸木马的计算机,从而避免安全问题的蔓延。
对于云安全模式的充分应用,让“云火墙”有更大的可能性在僵尸网络危害到信息资产之前过滤掉其开展的攻击,同时为内部网络的各种防护机制提供更多的时间来识别和清除相关的恶意软件感染。
可以预见,基于云端信息所获得的动态响应能力,将使得基于云体系的防火墙产品获得真正抗衡互联网上各种分布式袭击的能力。
链接:DDoS事件回顾
DDoS全名是DistributionDenialofService(分布式拒绝服务攻击),最直观地,很多不同的DoS攻击源同时攻击某个网络设施就构成了DDoS攻击。
DDoS最早可追溯到1996年初,2002年开始在中国频繁出现,到2003年时已经颇具规模。
大名鼎鼎的Conficker蠕虫最早于2008年11月20日被发现,截至2009年初,累计感染的计算机数量已达惊人的1500万台。
2009年,美国东部时间10月8日晚23时左右,Twitter网站宕机,许多用户至次日上午11时仍然不能正常登入Twitter。这是Twitter继8月遭遇DDoS后再次因DDoS攻击而发生大范围宕机,包括Facebook在内的其它著名社交网站也受到这波DDoS攻击的影响。
|