云火墻:Think Different

《競速下一代防火墻》專題刊登后，許多業(yè)內(nèi)人士都與我們進行了深入交流。其中關于真正“下一代”的定義，大家普遍有著不同的看法。本期我們就選登了一篇由國內(nèi)資深安全專家郭慶撰寫的文章，了解一下什么才是數(shù)據(jù)中心用戶需要的“下一代防火墻”。

企業(yè)產(chǎn)品的五年輪回

防火墻歷經(jīng)多年發(fā)展，如今在技術(shù)與功能形態(tài)上已經(jīng)非常成熟。從核心工作機制角度看，這類產(chǎn)品在以五年為周期，不斷更新?lián)Q代。1999年，走軟件化道路的CheckPoint和以PIX硬件產(chǎn)品為主打的思科占據(jù)著防火墻市場的主要份額。由華人創(chuàng)立的NetScreen憑借著“新一代硬件防火墻”的理念，在互聯(lián)網(wǎng)浪潮前夜闖出一片新天地。該公司的產(chǎn)品具有芯硬體輕（ASIC）、透明橋接、安全域策略（Zone）等創(chuàng)新之處，在互聯(lián)網(wǎng)浪潮前夜闖出一片新天地。

五年之后，IDC發(fā)布了以安全功能集成為核心的UTM概念，劍指如日中天的NetScreen。新起之秀Fortinet當即呼應自己的理論同盟，迎風樹起網(wǎng)關防病毒的大旗。本著少花錢多半事的原則，中小企業(yè)對UTM產(chǎn)品表現(xiàn)出濃厚的興趣；運營商及大型行業(yè)用戶則以運營穩(wěn)定為立身之本，接受此類產(chǎn)品的速度相對緩慢。

2009年，針對UTM試圖涵蓋一切的統(tǒng)一威脅管理概念，Gartner整理出幾個時下用戶需求強烈的安全功能，外加備受關注的僵尸網(wǎng)絡防御特色，提出了同樣定位于企業(yè)用戶的NGFW產(chǎn)品定義。此次與之呼應的廠商是Palo Alto，為了彰顯專業(yè)安全廠商與網(wǎng)絡廠商在品味上的不同，該公司乘勢將應用層流量控制功能也做到產(chǎn)品中。這無疑是很正確的決定，今天看，多數(shù)應用已經(jīng)運行在80/443端口，傳統(tǒng)安全控制手段已無從管控。

按照這種節(jié)奏推斷，防火墻產(chǎn)品正處于后NGFW時代的轉(zhuǎn)型期。與之前一樣，用戶需求也為產(chǎn)品發(fā)展指明了方向：不論UTM還是NGFW，定位皆為部署在企業(yè)邊界的集成化安全網(wǎng)關。面對當下越來越多的數(shù)據(jù)中心防護需求，它們都不再適用。甚至，數(shù)據(jù)中心邊界安全網(wǎng)關上是否還需要狀態(tài)檢測機制，都值得商榷。關于這類新產(chǎn)品的定義，業(yè)界尚無明確定論，筆者稱其為“云火墻”。它利用云安全技術(shù)，來保護數(shù)據(jù)中心中一朵朵業(yè)務云。

云火墻：不沾云的我不要。

云火墻概念的追隨者數(shù)量雖然遠不如UTM/NGFW多，卻多為業(yè)界巨擘，體現(xiàn)出此類產(chǎn)品發(fā)展路線的正確性。思科應當是此概念的始作俑者，在收購了Ironport后，思科在原有SenderBase數(shù)據(jù)庫中加入了僵尸網(wǎng)絡庫，更名為SensorBase，同時在自家ASA防火墻上加入了動態(tài)策略生成技術(shù)，通過獲取云端（SensorBase）提供的僵尸網(wǎng)絡黑名單，轉(zhuǎn)換為防火墻的訪問控制列表，實時阻斷內(nèi)部終端與互聯(lián)網(wǎng)上主控服務器的端到端通信。這種機制以較小的代價達到甚至超越了傳統(tǒng)IPS的部分功能，構(gòu)造成為云火墻的基本模型。

2010年，業(yè)界新銳Arbor公司也推出了采用同樣思路的云火墻。利用自建的ATLAS僵尸網(wǎng)絡庫，該產(chǎn)品致力于阻斷數(shù)據(jù)中心內(nèi)部僵尸主機與主控服務器的端到端通訊，達到保障數(shù)據(jù)中心可用性的目的。一年之后，Arbor又開發(fā)了云信令（Cloud Signaling）技術(shù)，使得云火墻可以與云清洗中心聯(lián)動，在必要時調(diào)用云清洗中心的資源，形成云上清洗大流量、云下清洗應用層的新景觀。從此，數(shù)據(jù)中心抗攻擊和僵尸網(wǎng)絡防范進入到立體防御的新時代。

在今天，云暨服務的業(yè)務/商業(yè)模式已日漸明朗，其安全防護體系的設計思路卻依然眾說紛紜。不過，能否按需調(diào)度防護系統(tǒng)資源，用戶能否實現(xiàn)智能自助服務，皆已是公認的趨勢與需求。可用性保障一直是業(yè)務永續(xù)運行的關鍵因素，以此為前提，才能放手解決信息完整性與保密性方面的問題。而云調(diào)度的愿景，就是通過立體防御手段打造一方凈土，讓云暨服務變成一片合泰云天。

“下一代”由用戶做主

通過分析我們可以清晰地看到，傳統(tǒng)防火墻、UTM乃至NGFW是定位于企業(yè)、部署在其邊界的安全控制網(wǎng)關。這類產(chǎn)品的任務就是針對不同元素進行訪問控制，并通過NAT及各類VPN技術(shù)保證網(wǎng)絡的安全連通。NGFW上還加入了應用流量識別與控制、基于用戶身份的控制等特性，提供了更加靈活、精細的訪問控制手段，同時減少了管理的復雜度。無論這類產(chǎn)品怎樣進化，都在始終如一地貫徹著“企業(yè)邊界，上網(wǎng)為王”的目的。

云火墻與云清洗中心則是完全面向數(shù)據(jù)中心的安全服務產(chǎn)品，以保障業(yè)務的可用性為首要目的。傳統(tǒng)防火墻的誕生是為了保護終端上網(wǎng)的安全，針對服務器防護衍生出的DMZ概念僅是流量不大時的過渡方案。如今數(shù)據(jù)中心網(wǎng)絡中的流量流向（上行遠大于下行）與企業(yè)網(wǎng)絡（下行遠大于上行）恰恰相反，越來越多的應用皆按需而生，無法控制最終用戶訪問的數(shù)量與規(guī)模，亦無可能在廣域網(wǎng)上控制用戶發(fā)起攻擊的源頭。這對于受軟硬件資源限制的傳統(tǒng)安全設備是極大的挑戰(zhàn)，DDoS攻擊正是利用這個弱點，使防火墻與IPS等設備成為數(shù)據(jù)中心網(wǎng)絡中的單點故障處與服務性能的瓶頸。而基于云火墻和云清洗中心的立體安全防護體系則可以完美解決這一問題，運營商側(cè)通過部署DDoS云清洗防御體系提供增值服務，數(shù)據(jù)中心側(cè)的邊界設備主要過濾以應用攻擊為主的威脅。當下游資源（帶寬、pps、連接數(shù)、CPU/內(nèi)存等）將要耗盡時，可以主動通過云信令觸發(fā)上游的云清洗服務，對下游鏈路與服務器進行保護；云火墻也將自動更新共享威脅庫中的黑名單，動態(tài)生成相應策略，來防止數(shù)據(jù)中心內(nèi)部的僵尸主機與外部主控服務器的端到端通信，最大限度地防護來自內(nèi)外兩個方向的威脅。

到此我們終于明白，誰是真正的“下一代”完全取決于用戶自身的需求。NGFW是定位在企業(yè)邊界的下一代防火墻，云火墻則是定位于數(shù)據(jù)中心的下一代防火墻。兩類產(chǎn)品在各方面都有很大不同，本就應是“大路朝天，各走一邊”發(fā)展與應用路線。數(shù)據(jù)中心用戶請?zhí)龇阑饓δ芗蛹訙p減的UTM/NGFW之爭，感受云火墻、云清洗、云信令、云調(diào)度相結(jié)合的立體安全防御新云天。