2013-10-30 10:52:28 来源:TechTarget中国
“微积分”创始人莱布尼茨曾有句哲学名言,“世界上没有两片完全相同的叶子”,就拿人类来说,尽管科学研究早已证明,全世界70多亿人中,即便是孪生兄弟都不可能完全相同,但同时出生、姓名一致、长相酷似甚至声音相同的两个人则比比皆是。云计算、大数据时代,海量信息被封装为一个个数据包在网络上高速流转,端口跳变及复用技术的大量运用,犹如把不同信件装在了一模一样的信封里,仅查看信封上的投递信息,已无法准确了解信件由谁发出、寄往何处以及信件内容,而对于当今的数据网络来说,大量威胁就蕴藏其中。
图1 “五元组”已无法理解网络流量
基因技术的发展,让我们可以利用DNA来鉴别个人身份,而对于报文内容千变万化的网络数据包,则同样需要找到流量中独一无二、恒定不变的特征,以此进行甄别,这便是业界提出的应用识别技术。
作为网络边界的新一代“守门神”,下一代防火墙则是一款充分借助应用识别技术,完全基于应用层构建安全体系的设备。在Gartner定义的下一代防火墙概念中,具备识别应用并基于应用层执行独立于端口和协议的访问控制能力,是对一款下一代防火墙最基本的要求。然而,业界对于应用识别能力的考量始终缺乏相对完善的标准,也使得用户走入了不少误区。
误区一:应用识别只是识别应用
谈到当今的网络安全,我们无法回避三个核心的要素,那就是人、应用和内容,安全管理就是要做到针对个体用户的管理,而管理的前提是了解流量类型,控制的核心目标则是对流量内容的过滤。因此,真正的应用识别技术绝对不仅仅是传统意义上的应用类型的识别,还包括对流量发送者的定位以及数据内容的过滤,有专家甚至将人(用户)、应用、内容定义为当今网络安全的新“三元组”。
图2 网络安全的新“三元组”
定位流量的发送者要求将流量打上用户的标签,以往主要的手段是基于ID对用户进行标识,在访问网络前强制用户登录来实现认证。尽管用户的ID和口令信息已经实现了与第三方认证服务器同步和联动,大幅降低了管理的成本,但在用户端,登录认证的过程大幅降低用户体验的问题一直困扰着那些既渴望安全又追求高效的用户。
根据来自一线的实施经验,60%部署了用户认证策略的网络,在半年内即由于体验和效率的原因取消了原先的设置,重新改为传统基于IP地址的访问控制,由此可以看出,如果平衡不好安全与效率的问题,业界广泛倡导的基于用户、角色的细粒度访问控制则很难在实际工作中落地。而用户识别技术不同于传统用户认证联动之处在于,其具备自动识别流量中用户信息的能力,可根据数据包中的ARP信息、应用登录信息等对用户进行透明认证,在不用户不进行登录认证的情况下,就能够将流量准确的对应到人。
相比用户识别,要想识别出流量的内容,其技术实现的难度则更大,由于很多应用软件都有其特定的编码规则,并且相当一部分应用使用了加密的手段来传输信息,因此流量内容识别必须要建立在对应用有着深入理解的基础之上,并且对于一些特殊协议的编码、加密方式有着充分的掌握。
误区二:应用识别只是比拼数字
应用识别技术其实并非下一代防火墙提出的专利,早先几年就被业界定义,不少厂商也正在加大在此方面的研发投入,并且其产品也已经具备了一定的应用识别能力。但若一定要在应用识别能力上凭出个优与劣,则需关注几个重要标准。
首先,我们必须要关注应用识别的广度和深度。所谓广度,是指支持识别的应用数量,这也是在之前所有厂商PK的重要数字,另外,对于平台化软件的子功能,是否有精确的识别,则是深度的体现。由于目前业界并没有针对应用识别能力的评测标准,不同厂商的应用特征库的数字计量标准也不尽相同,例如有些厂商以应用软件的数量进行统计,有些厂商则以软件的每种功能进行计量。尽管数字是最直观的量化标准,但由于标准上的差异,单纯比对数字则有可能误导用户。
第二,应用识别的响应速度。应用爆炸式增长的环境下,对于新应用以及应用的新版本若无法做到及时的响应和更新,则无异于应用失控。有专家指出,应用识别技术除了技术门槛高以外,在现有技术条件下要维持一个具备快速持续更新能力的代码生产系统则难度更大,这需要长期的投入和积累,绝非一朝一夕可以实现。
第三,应用识别的“地缘”因素。由于语言、习惯的差异,应用软件与地域是紧密相关的,例如汉语国家的用户访问中文网页要远远多于英文网页,中国大陆最流行的即时通信软件是QQ,而美国用户则更习惯于使用MSN。因此,应用识别技术一定要充分的掌握用户的使用习惯,否则的话,即便功能再强大的设备也会显得“水土不服”。
第四,应用识别技术的领先性。应用识别技术前后经历了几代的演进,最早的设备基于IP、端口识别应用,随着端口复用、跳变技术的产生早已失效,随后出现了基于流特征的检测技术(DFI),根据数据流的包长、连接时间等特征识别应用流量,但识别率较低,第三代技术则使用深度包检测(DPI)技术,对数据流量进行拆包检查,识别率大幅提升,但执行效率较低。在应用层出不穷的当前,一个真正优秀的应用识别引擎,既要具备精确的识别能力又要保证高性能,这是一款应用层设备发挥最大效能的基石。
对于下一代防火墙来讲,一旦具备了对人、应用、内容的识别能力,则意味着访问控制能力由原先的五元组扩充至了八元组,控制一个数据包的访问和转发,可基于用户、源IP、目的IP、源端口、目的端口、协议(端口)、应用类型以及数据内容进行更加精细的过滤。同时,对于日益普遍的应用层威胁的防御,同样需要建立在应用识别的基础之上,不识别应用则根本谈不上应用层威胁的防御。当然,下一代防火墙要具备未知威胁的主动防御能力,其实是利用大数据的思想对网络信息进行分析和挖掘,而在数据收集、行为掌握的阶段,同样需要应用识别技术作为支撑。
由此我们看出,应用识别技术之所以是下一代防火墙产品的核心要素,完全是由当前的安全需求所决定的,一款具备优秀应用识别能力的下一代防火墙,将会从新的高度为用户构造出更加安全的网络边界。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。