“微積分”創(chuàng)始人萊布尼茨曾有句哲學名言,“世界上沒有兩片完全相同的葉子”,就拿人類來說,盡管科學研究早已證明,全世界70多億人中,即便是孿生兄弟都不可能完全相同,但同時出生、姓名一致、長相酷似甚至聲音相同的兩個人則比比皆是。云計算、大數據時代,海量信息被封裝為一個個數據包在網絡上高速流轉,端口跳變及復用技術的大量運用,猶如把不同信件裝在了一模一樣的信封里,僅查看信封上的投遞信息,已無法準確了解信件由誰發(fā)出、寄往何處以及信件內容,而對于當今的數據網絡來說,大量威脅就蘊藏其中。
圖1 “五元組”已無法理解網絡流量
基因技術的發(fā)展,讓我們可以利用DNA來鑒別個人身份,而對于報文內容千變萬化的網絡數據包,則同樣需要找到流量中獨一無二、恒定不變的特征,以此進行甄別,這便是業(yè)界提出的應用識別技術。
作為網絡邊界的新一代“守門神”,下一代防火墻則是一款充分借助應用識別技術,完全基于應用層構建安全體系的設備。在Gartner定義的下一代防火墻概念中,具備識別應用并基于應用層執(zhí)行獨立于端口和協(xié)議的訪問控制能力,是對一款下一代防火墻最基本的要求。然而,業(yè)界對于應用識別能力的考量始終缺乏相對完善的標準,也使得用戶走入了不少誤區(qū)。
誤區(qū)一:應用識別只是識別應用
談到當今的網絡安全,我們無法回避三個核心的要素,那就是人、應用和內容,安全管理就是要做到針對個體用戶的管理,而管理的前提是了解流量類型,控制的核心目標則是對流量內容的過濾。因此,真正的應用識別技術絕對不僅僅是傳統(tǒng)意義上的應用類型的識別,還包括對流量發(fā)送者的定位以及數據內容的過濾,有專家甚至將人(用戶)、應用、內容定義為當今網絡安全的新“三元組”。
圖2 網絡安全的新“三元組”
定位流量的發(fā)送者要求將流量打上用戶的標簽,以往主要的手段是基于ID對用戶進行標識,在訪問網絡前強制用戶登錄來實現(xiàn)認證。盡管用戶的ID和口令信息已經實現(xiàn)了與第三方認證服務器同步和聯(lián)動,大幅降低了管理的成本,但在用戶端,登錄認證的過程大幅降低用戶體驗的問題一直困擾著那些既渴望安全又追求高效的用戶。
根據來自一線的實施經驗,60%部署了用戶認證策略的網絡,在半年內即由于體驗和效率的原因取消了原先的設置,重新改為傳統(tǒng)基于IP地址的訪問控制,由此可以看出,如果平衡不好安全與效率的問題,業(yè)界廣泛倡導的基于用戶、角色的細粒度訪問控制則很難在實際工作中落地。而用戶識別技術不同于傳統(tǒng)用戶認證聯(lián)動之處在于,其具備自動識別流量中用戶信息的能力,可根據數據包中的ARP信息、應用登錄信息等對用戶進行透明認證,在不用戶不進行登錄認證的情況下,就能夠將流量準確的對應到人。
相比用戶識別,要想識別出流量的內容,其技術實現(xiàn)的難度則更大,由于很多應用軟件都有其特定的編碼規(guī)則,并且相當一部分應用使用了加密的手段來傳輸信息,因此流量內容識別必須要建立在對應用有著深入理解的基礎之上,并且對于一些特殊協(xié)議的編碼、加密方式有著充分的掌握。
誤區(qū)二:應用識別只是比拼數字
應用識別技術其實并非下一代防火墻提出的專利,早先幾年就被業(yè)界定義,不少廠商也正在加大在此方面的研發(fā)投入,并且其產品也已經具備了一定的應用識別能力。但若一定要在應用識別能力上憑出個優(yōu)與劣,則需關注幾個重要標準。
首先,我們必須要關注應用識別的廣度和深度。所謂廣度,是指支持識別的應用數量,這也是在之前所有廠商PK的重要數字,另外,對于平臺化軟件的子功能,是否有精確的識別,則是深度的體現(xiàn)。由于目前業(yè)界并沒有針對應用識別能力的評測標準,不同廠商的應用特征庫的數字計量標準也不盡相同,例如有些廠商以應用軟件的數量進行統(tǒng)計,有些廠商則以軟件的每種功能進行計量。盡管數字是最直觀的量化標準,但由于標準上的差異,單純比對數字則有可能誤導用戶。
第二,應用識別的響應速度。應用爆炸式增長的環(huán)境下,對于新應用以及應用的新版本若無法做到及時的響應和更新,則無異于應用失控。有專家指出,應用識別技術除了技術門檻高以外,在現(xiàn)有技術條件下要維持一個具備快速持續(xù)更新能力的代碼生產系統(tǒng)則難度更大,這需要長期的投入和積累,絕非一朝一夕可以實現(xiàn)。
第三,應用識別的“地緣”因素。由于語言、習慣的差異,應用軟件與地域是緊密相關的,例如漢語國家的用戶訪問中文網頁要遠遠多于英文網頁,中國大陸最流行的即時通信軟件是QQ,而美國用戶則更習慣于使用MSN。因此,應用識別技術一定要充分的掌握用戶的使用習慣,否則的話,即便功能再強大的設備也會顯得“水土不服”。
第四,應用識別技術的領先性。應用識別技術前后經歷了幾代的演進,最早的設備基于IP、端口識別應用,隨著端口復用、跳變技術的產生早已失效,隨后出現(xiàn)了基于流特征的檢測技術(DFI),根據數據流的包長、連接時間等特征識別應用流量,但識別率較低,第三代技術則使用深度包檢測(DPI)技術,對數據流量進行拆包檢查,識別率大幅提升,但執(zhí)行效率較低。在應用層出不窮的當前,一個真正優(yōu)秀的應用識別引擎,既要具備精確的識別能力又要保證高性能,這是一款應用層設備發(fā)揮最大效能的基石。
對于下一代防火墻來講,一旦具備了對人、應用、內容的識別能力,則意味著訪問控制能力由原先的五元組擴充至了八元組,控制一個數據包的訪問和轉發(fā),可基于用戶、源IP、目的IP、源端口、目的端口、協(xié)議(端口)、應用類型以及數據內容進行更加精細的過濾。同時,對于日益普遍的應用層威脅的防御,同樣需要建立在應用識別的基礎之上,不識別應用則根本談不上應用層威脅的防御。當然,下一代防火墻要具備未知威脅的主動防御能力,其實是利用大數據的思想對網絡信息進行分析和挖掘,而在數據收集、行為掌握的階段,同樣需要應用識別技術作為支撐。
由此我們看出,應用識別技術之所以是下一代防火墻產品的核心要素,完全是由當前的安全需求所決定的,一款具備優(yōu)秀應用識別能力的下一代防火墻,將會從新的高度為用戶構造出更加安全的網絡邊界。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
相關文章
