深谙NGFW 梭子鱼畅谈NGFW的来世今生

  【IT168 评论】随着科技的发展和企业文化的进步,深入融合作为当今企业的发展需求,已经超出了传统防火墙的能力范围,为了迎合web2.0时代的到来,众多厂商纷纷发布下一代防火墙产品。然而近年来网络安全又面临着各种威胁和挑战,在这一大背景下,IT168网络安全频道邀请到了梭子鱼华东区技术经理张志华先生接受我们的采访,和我们一起从现状和未来双向出发,探究用户对下一代防火墙主要的需求点,探究下一代防火墙的发展规划,以下为采访实录:

深谙NGFW 梭子鱼畅谈NGFW的来世今生
梭子鱼华东区技术经理 张志华

  IT168:张先生您好,很高兴能有机会和您进行深入的交流探讨,首先请您为我们简单介绍一下在您眼中我们的网络安全面临着哪些主要的挑战?

  张志华:新型网络威胁行为和手段层出不穷、网络攻击的门槛也越来越低。无论是企业网络安全管理人员还是网络安全产品供应商,都需要时刻更新安全措施应对挑战,其防范措施主要分为以下几个方面:

  ●建立全面的安全防范策略应对不断变化的威胁

  当今在网络世界充斥着各种网络入侵、僵尸网络攻击、勒索软件、恶意软件、高级持续性威胁(APT)、零日漏洞攻击等,传统的安全防火墙已很难做到全面保护。网络攻击的传播方式也越来越多样化,如常见的网络渗透、网络入侵、网络钓鱼、电子邮件、网站、URL链接等等,这些攻击行为和手段都只能通过新的防护手段和防护设备来实现。

  同时企业自身出于安全合规及规范审计的需要,针对网络数据审计和防泄漏的要求日趋明显,这也是传统防护设备所无法满足的。因此,企业首先需要认识到安全的重要性以及不断变化,根据自身需求构建全面的安全防范策略。

  ●基于现有资源,选择适宜的网络安全防护架构

  越来越多的企业正在或者已经应用和部署了虚拟化技术和云技术。在享受虚拟化和云带来的获益时,企业同时也面对着如何在虚拟化或云环境中有效的实施全面的网络安全防护。由于技术实现和管理方式的不同以及各厂商产品功能实现、平台跨度的不同,这也给企业选择网络安全整体防护时提出了全新的挑战。因此,企业在应用新技术和平台时,需要根据现有资源,选择适宜的安全防护架构。

  ●构建全面有效的统一安全防护管理体系

  由于网络威胁及攻击的行为和途径的众多,传统的网络防火墙越来越难承担起新环境下的全面防护,新的下一代防火墙成为企业用户的首选。同时,针对关键的应用系统、网站系统、邮件系统,也需要搭建更有针对性的安全防御。随着云技术的落地和使用,云平台的安全搭建也随需而行。面对不同维度,不同针对性安全管理范畴,现有资源和新资源的有效整合,如何有效实现统一管理对企业整体安全管理而言也是挑战之一。

  IT168根据IDC行业白皮书显示,下一代防火墙主要特性主要分为四部分,分别为智能化、可视化、虚拟化以及协同。能否首先向我们介绍一下,贵公司的下一代防火墙的智能化是如何实现的?

  张志华:在下一代防火墙产品的智能化方面,梭子鱼做到了以下几点,智能流量规则,以确保企业高质量接入、性能,以及关键应用的可靠性。

  用户和应用智能感知,让企业能够优先排序流量,以便主动管理带宽、提高应用利用率并自定义网络接入。

  智能动态链路均衡,通过多个互联网连接上的动态均衡流量,确保业务连续性和带宽管理。

  智能站点到站点连接管理,在硬件和虚拟设备上的多个位置提供高质量、可靠的连接。IPsec VPN可确保安全连接到其它远程站点、总部办公室,以及Amazon Web Services 和Microsoft Azure等公有云产品。

  此外我们的下一代防火墙产品与梭子鱼网络丰富的网络安全产品及全球监控网络的智能联动:如通过与邮件安全产品、网页安全产品、Web应用安全产品,包括与梭子鱼网络领先的云端安全解决方案智能结合与同步,未来可将针对来自全球各处的网络威胁方式和源头的防护手段及时的推送到我们的下一代防火墙端,实施高效的拦截。

  IT168:面对新的安全挑战,下一代防火墙中讲求“安全威胁是可视的”,我们的下一代防火墙在可视化上做了哪些工作?

  张志华:针对下一代防火墙的安全威胁的可视化管理,梭子鱼网络是一贯的实践者,我们当前提供了成熟的图形化管理工具“Barracuda NextGen Admin”,可实现对我们下一代防火墙的集中可视化管理,提供直观而丰富的报表及管理视图;同时用户可以按自己的喜好自定义视图,帮忙我们的用户针对安全事件及时的做出快速响应;实时而详尽的分类安全信息及流量视图,可让用户对网络中的流量、应用、风险、威胁、攻击、病毒、恶意软件、高级持续性威胁(APT)等做到一目了然并便于报表制4作及审计。

  “Barracuda NextGen Control Center”更可在“Barracuda NextGen Admin”基础上实现管理的效率,非常适合分布式企业及MSP高效的管理梭子鱼下一代防火墙,降低安全风险和管理运营成本。图形化的VPN配置管理界面仅需拖拽的方式,便可完成复杂的VPN配置及连接。“Barracuda Earth”通过实时3D的方式来展现总部与分支或各分支间的运行状态。直观的用户访问控制和详尽可定义的报表,让管理者轻松的了解网络安全保护的运行状况。

  IT168:云计算作为主要的发展趋势之一,近年来发展非常快,而下一代防火墙是相对比较融合性的产品,那在虚拟化的大场景下,贵公司的NGFW产品都做了哪些努力?

  张志华:除了传统物理的下一代防火墙设备,我们也提供丰富的针对不同规模虚拟化环境优化的梭子鱼下一代防火墙F系列Vx版(虚拟版),可利用用户现有虚拟化环境轻松部署针对网络边际的安全防护,也获得了相关认证,提供实时的仪表盘化管理,让你轻松了解和定位网络安全事件。延续梭子鱼下一代防火墙的一贯优势,虚拟版产品也完整的包含了梭子鱼领先的应用管理、入侵防护、Web过滤、网关邮件过滤、恶意软件防护、高级持续性威胁(APT)防护等技术,可将梭子鱼强大的物理世界的网络安全防护技术和手段延伸到虚拟世界,但仍保持一贯的产品友好、易用性。我们的用户可通过“Barracuda NextGen Admin“和”Barracuda NextGen Control Center“轻松协同、统一管理物理和虚拟下一代防火墙系统。

  梭子鱼下一代防火墙F系列还提供针对云端(Azure/AWS)版本。梭子鱼网络是微软Azure认证的首家安全解决方案提供商,并获得微软2016年度合作伙伴之微软Azure认证ISV解决方案奖。

  IT168:协同联动近年来不断被提及,而在下一代防火墙中,协同也不再仅仅是一个概念性话题。安全产品已经不再是孤立存在、单打独斗的与攻击抗衡,下一代防火墙通常会与IT系统中的其它安全防御系统构建协同的工作机制面对,安全系统之间的协同工作又是怎样实现的呢?

  张志华:梭子鱼网络产品线有着非常全面的网络安全系统覆盖。虽然下一代防火墙通常作为用户网络安全边际的防护首选,但仍需其它安全防护系统来构建全面的网络安全防护。梭子鱼有非常丰富和全面的网络安全产品和数据安全产品,可帮忙用户集中实现下一代防火墙防护、邮件安全防护、SSL VPN接入、Web安全防护、Web应用安全防护以及包括服务器、链路负载均衡、数据备份及邮件归档等。这一系列的安全产品,都将可通过梭子鱼的云控中心(Barracuda Cloud Control)作集中的管理,并且将在各相关产品间加入协同防护机制。如现有的针对不同途径和方式传播的病毒、恶意程序、勒索软件、僵尸网络、零日威胁、高级持续性威胁(APT)等,可在多安全防护领域间安全威胁信息的共享及同步更新防护。

  IT168:威胁情报规模化管理是NGFW的主要功能之一,贵公司的威胁情报主要来源于哪?威胁情报的关联、获取、鉴定以及溯源都是怎样实现的?

  张志华:通过遍布全球的安全信息收集点,梭子鱼网络可第一时间感知网络安全世界的新增威胁或变种威胁,并将信息汇总至梭子鱼安全中心。安全中心将通过技术自动判断和人工手动判别的方式,并结合最新的沙盒技术,对接收到的威胁信息做出快速判断和识别,并同步更新或推送给全球的梭子鱼用户,保障用户关键网络信息及系统的安全。

  IT168:恶意软件是近期企业面临的较大的问题,那我们的NGFW产品在恶意软件的管控上有怎样的表现?

  张志华:梭子鱼下一代防火墙中有可选的恶意软件防护,可协助用户在网络边际实现对拦截及防护,轻松实现恶意软件或代码的防护。我们的恶意软件防护可针对SMTP、POP3、FTP、HTTP/s协议并支持单层/双层的防病毒扫描(支持压缩文件深度扫描、新威胁的防护、高级的启发式检测技术),另外流式检测技术助于实现实时数据扫描,并支持对防护的集中管理、监控及升级。

  IT168:您认为贵公司的NGFW产品和其他安全厂商的产品相比,最大的杀手特点是什么?

  张志华:梭子鱼的下一代防火墙产品的杀手特点有以下几个:

  ·针对分布式集中管理平台;

  ·领先的云平台融合安全防御技术;

  ·最新网络威胁快速收集与更新;

  ·独有TINA VPN技术包括广域网优化和压缩,促进连接高效快速;同时,支持用户在同一VPN隧道上使用多线连接,提供负载均衡和Link HA等功能

  ·能与梭子鱼Web应用防火墙整合,提供全面网络和Web应用防护。

  ·支持最新的“Zero Touch Deployment”, 即能够在无IT人员的情況下远程部署新的下一代防火墙,通过Barracuda Control Center 全面管理。

  最后张志华为我们简单了分析了网络安全的发展趋势,对下一代防火墙的发展趋势进行了简单的预测,他认为随着信息世界的发展,新型的网络威胁和攻击手段不断涌现,作为网络边际防护产品,防火墙是首当其冲的防护设备,势必需要不断的更新和完善功能和手段,这将是个长期的过程,就像从传统防火墙到下一代防火墙的发展一样。仅目前来说,可见的是针对高级持续性威胁(APT)和零日威胁的不断强化防护及沙盒技术的应用。

  对于未来,由于越来越多的用户会选择云端部署应用,而目前的各公有云服务器更多的是提供公有云的基础架构和运行环境,用户对云端安全的重要性及迫切性将越来越强。选择一项或多项云端安全防护或服务将成为这些用户的必然选择,所以将有越来越多的厂商涌入这一市场。

  同时随着近几年物联网和工业4.0的发展,网络安全防护的范围已非传统的普通信息系统,越来越多的监控、工控、物流、制造等系统所涉及的各色可联网设备以其系统单一薄弱、数量庞大的特点加入网络世界。这也必将导致部分网络攻击及防护手段会向该领域扩展。

发表评论

相关文章