抵御DDoS 防火墙更新换代更新换代 面对DDoS的强势攻击,历数现有的很多优秀的防火墙产品概念,往往会不由自主地思索,为了抵御DDoS简单粗暴的进攻,哪种模式更具竞争力?更优秀的防火墙模式应该是怎样的?或许防火墙是应该再变变了 和那些精心设计的攻击手段相比,DDoS显得十分“粗线条”,甚至尤其不含有技术含量然而,利用大面积的受控制的僵尸主机,现今的攻击者能够提议很大规模的攻击,足以造成部分大型网络设施的瘫痪 DDoS成为无解的难题 2021年度大规模爆发的Conficker蠕虫危害所造成的影响至今仍历历在目尽管该蠕虫利用的系统漏洞很快就被发觉同时也有了修补程序,不过在随即的一个季度里,Conficker和它的变种程序依旧控制了超出150个国家的上千万台计算机 和传统的、单纯的DDoS攻击不一样,追求利益的黑客社团并非为了有趣而纠集如此数量众多的计算机她们依靠出售所控制的计算机资源给最终提议攻击的人来谋取利益,或对所控制的计算机施行网络钓鱼等欺诈性操作从而取得有经济价值的情报 实际上,当全球的企业和组织依旧将信息安全防护的中心指向互联网的时候,其内部网络中的计算机往往却成为危害互联网安全和其它组织安全的“帮凶”。
DDoS作为一个经典的互联网攻击手段,其名字当中所包含的“分布式”字样已经明确地表明了其本质所在而其背后的僵尸网络体系,更是聚集了互联网安全领域的很多问题 实际上,当下流行的绝大多数安全问题,全部表现出综合多个攻击方法、结合社交工程手段、有目标分阶段地展开动作等特征互联网时代的安全问题,正展现出高度分布化的特征,传统的安全防护手段显得捉襟见肘也就不足为怪了 和分布式攻击对应的,用户的防范方法不能停留在诸如网关防护这么的单点防御层面上,而也应该含有相适应的体系多种不一样防护方法的联动已经不能够完全满足需要,能够跨越组织边界的、根本面向互联网的安全防护体系,才能够真正保障用户的信息安全性 含有新时代特征的防火墙 传统防火墙基于三层和四层的包过滤,很轻易造成单点突破问题,安全强度得不到保障而伴随应用层过滤的不停主流化,和在UTM理念提倡下的功效整合化、规则统一化、平台灵活化,防火墙产品在防范互联网威胁方面已经取得了长足的进步 然而,就现在的情况来看,这些进步还远没有达成令用户高枕无忧的程度尽管防火墙类型的产品在性能和功效上乃至防护范围上全部有了很大的提升,不过在应对高速改变的互联网威胁方面,在灵活程度和适应能力方面依旧有所欠缺。
UTM作为一个广受认可的理念和实践框架,已经在各个主流厂商的产品中有所表现即使很多专攻UTM产品市场的厂商全部尽可能地突出UTM和防火墙的不一样,不过不可忽略的一点在于,UTM产品在检测模式等基础工作原理上依旧和防火墙如出一辙 即便是性能达成万兆等级的多核UTM系统,其设计模型中也不可避免地充斥着防火墙技术的痕迹因此说,UTM产品在很大程度上能够看作是防火墙产品的发展和扩展,是全新一代的防火墙 值得注意的是,现在有为数不少的主流厂商全部在跟进X-UTM的概念,其中就包含了在UTM产品领域处于领先地位的Foreinet企业含有充足灵活的架构以确保能依据不一样需要集成安全功效是X-UTM架构的最主要特征,而这也延续了UTM架构的关键理念和最初的UTM产品相比,X-UTM产品除了具有充分的运算性能以实现真正的UTM之外,X-UTM产品还严格要求所集成的功效在管理层面上取得统一,并能够紧密配合一个真正的X-UTM产品平台,能够灵活地插接安全功效,并能实时依据目前的应用情景调配各个部分的性能配给,还能够智能地确保产品随时全部达成最大的综合功效 和X-UTM相类似的还有被称为XTM的产品模式,这是由WatchGuard企业所推出的一个致力于提升安全设备扩展能力的架构,其X就取自英文的扩展一词。
在实际功效方面,XTM产品在传统的防护功效基础上大力扩展针对Web安全威胁的保护功效和对于应用层内容的过滤 而因为要对更多的功效进行管理,要对更多的未知威胁进行预警,可管理性也是XTM产品的主要指标能够说,面对每十二个月全部会有所改变的主流安全问题,可扩展的安全架构能够让硬件级安全设备也含有近似于软件安全产品的“升级”能力,含有相当的实用性 作为另一个X字头的产品系列,天融信最新推出的X-Firewall则将着眼点放在了按需定制方面本土厂商对于用户需求的深入了解,往往能形成强有力的产品优势 X-Firewall在设计上愈加强调一体化和模块化,以达成对安全策略的统一管理和调度为了真正实现安全按需定制的目标,天融信自主研发的TOS安全操作系统成为该系统架构上的最大亮点之一该操作系统不仅实现了多个安全功效的融合,在统一策略管理方面也达成了相当的水准,打破了很多掌握在国外厂商手中的技术壁垒 “云火墙”的生命力 时下正值云安全当道,业界普遍看好云计算技术在信息安全领域的推进力,而基于云技术的防火墙产品,有极大的可能会成为安全设备领域的真命天子 实际上,时下流行的多种形式的安全产品,往往也全部是对防火墙产品的发扬光大,和其说是防火墙的替换者,莫不如说是防火墙的传承者。
这些理念、架构和产品,即使在宣传上各有侧重,不过其关键全部包含了部分相同的特质 集成防护、按需防护、主动防护全部是大家共同的追求,而可扩展性、可变更性、可管理性则也是无可争议的发展方向云火墙”在兼具这些优点的同时,在智能化和动态化方面能够提供本质上的提升,毕竟一个庞大云体系的威力要远远超出部分小规模的防护设备组合 作为全球最大的安全威胁检测网络SensorBase的全部者,思科企业是“云火墙”技术最早的支持者和推进者思科的“云火墙”体系除了能够基于其对全球网络安全威胁改变的了解来阻断来自互联网的攻击之外,也能够智能地利用这些情报识别内部网络中感染了僵尸木马的计算机,从而避免安全问题的蔓延 对于云安全模式的充足应用,让“云火墙”有更大的可能性在僵尸网络危害到信息资产之前过滤掉其开展的攻击,同时为内部网络的多种防护机制提供更多的时间来识别和清除相关的恶意软件感染 能够预见,基于云端信息所取得的动态响应能力,将使得基于云体系的防火墙产品取得真正抗衡互联网上多种分布式攻击的能力。