DDOS防火墻新一代操作思路與進(jìn)階應(yīng)用方法淺析

典型的以網(wǎng)絡(luò)層流量“取勝”的DDoS進(jìn)犯，這些年也有向使用層下移的趨勢 — 截止2013年，四分之一以上的DDoS進(jìn)犯都是依據(jù)使用程序的，并且這個(gè)份額還在逐年提高。與之形成鮮明對比，跟著互聯(lián)網(wǎng)技能的迅速開展，要害事務(wù)活動不斷增加的依賴于互聯(lián)網(wǎng)使用，這也就意味著露出不斷增加的危險(xiǎn)危險(xiǎn)點(diǎn)。

新一代安全 角力新戰(zhàn)場

傳統(tǒng)防火墻首要關(guān)于通用協(xié)議進(jìn)行處理，無力對使用協(xié)議包進(jìn)行剖析，難以防備更具關(guān)于性的網(wǎng)絡(luò)進(jìn)犯。跟著技能的開展前進(jìn)和互聯(lián)網(wǎng)+年代的事務(wù)需求，如今的防火墻用戶亟需對數(shù)據(jù)包進(jìn)行更深層次的查看和過濾。例如，用戶能夠經(jīng)過QQ傳輸文件，而傳輸?shù)奈募幸苍S即是引入危險(xiǎn)的歹意文件。在這種事務(wù)場景下，即便傳統(tǒng)防火墻能夠經(jīng)過端口號確認(rèn)了運(yùn)轉(zhuǎn)的QQ效勞，也無法做到文件層面的深度查看，更不用提還有許多運(yùn)轉(zhuǎn)在非標(biāo)準(zhǔn)端口上的使用。

雖然如今就斷言傳統(tǒng)的以戰(zhàn)略為中心的防護(hù)體系現(xiàn)已徹底失效還為時(shí)過早，但在***的進(jìn)犯手法從網(wǎng)絡(luò)層進(jìn)犯為主向Web進(jìn)犯為主轉(zhuǎn)換的大布景下，咱們能夠得出一個(gè)結(jié)論：缺少了使用層查看和防護(hù)才能的防火墻，不可避免的面對著“廉頗老矣，尚能飯否”的困境；新一代安全的重視點(diǎn)，就在于使用安全，就在于關(guān)于Web使用層供給完好的解決方案。

下一代防火墻怎么化解使用層危機(jī)

有不止一個(gè)理由能夠讓下一代防火墻變成“下一代”，用戶身份感知才能、高可擴(kuò)展性、使用感知才能（application awareness）都是下一代防火墻的典型標(biāo)簽，但“使用感知才能”毫無疑問是最簡單相關(guān)到下一代防火墻的熱詞。使用感知這個(gè)概念，看起來現(xiàn)已很明晰，但在某種程度上又很有誤導(dǎo)性。說它現(xiàn)已明晰是因?yàn)橄乱淮阑饓δ軌驅(qū)⒘髁吭敿?xì)相關(guān)到特定的使用上，說它具有誤導(dǎo)性是因?yàn)橄乱淮阑饓Φ陌踩拍懿辉搩H局限于查看辨認(rèn)使用的流量，更主要的是作用于辨認(rèn)的結(jié)果：有選擇性的阻斷或以別的方法約束對使用的使用，乃至是使用的子使用，而不是僅像傳統(tǒng)防火墻相同僅僅阻斷特定的端口和協(xié)議。

新安全形勢下，防火墻用戶需要對全網(wǎng)所運(yùn)轉(zhuǎn)的使用有更深的了解和認(rèn)知。這些年較新的安全設(shè)備許多都供給了深度報(bào)文查看（DPI）、精密化管控和使用感知功用，幫助公司管控網(wǎng)絡(luò)鴻溝。依據(jù)Gartner研討總監(jiān)Eric Maiwald的研討結(jié)果，“現(xiàn)代防火墻或多或少都有些下一代的基因在里面，包括集成的侵略查看功用（IPS）和非常好的使用操控才能。這些好像現(xiàn)已變成了當(dāng)今防火墻設(shè)備的標(biāo)配，幾乎一切的干流安全廠商都能娓娓道來一段有關(guān)下一代的故事”。但故事終究是故事，比聽故事更主要的是了解怎么評價(jià)“下一代”，以及是不是應(yīng)當(dāng)遷移到“下一代”。

對反常做法的實(shí)時(shí)查看和剖析是促進(jìn)許多用戶晉級到下一代防火墻的首要動力。許多IT主管都反映，布置了下一代防火墻后最顯著的改變是對淪陷主機(jī)的查看 — 有些公司在布置當(dāng)天便能發(fā)現(xiàn)內(nèi)網(wǎng)中的僵尸網(wǎng)絡(luò)和已被侵略的主機(jī)。這得益于下一代防火墻能夠查看數(shù)據(jù)包的有用荷載并依據(jù)這些實(shí)踐內(nèi)容做出相應(yīng)決議，還能供給非常好的內(nèi)容過濾才能 — 能夠檢查完好的網(wǎng)絡(luò)數(shù)據(jù)包，而不僅僅是網(wǎng)絡(luò)地址和端口，這就使得下一代防火墻有更強(qiáng)壯的日志記載功用，例如能夠記載某個(gè)特定程序宣布的指令這么的日志事情，這為辨認(rèn)使用的反常做法供給了很有價(jià)值的信息。

更精密的使用層安全操控是下一代防火墻的另一個(gè)“殺手锏”。在網(wǎng)絡(luò)要挾更多的來歷自使用層這個(gè)大布景下，用戶對網(wǎng)絡(luò)拜訪操控天然要提出更高的請求。怎么準(zhǔn)確的辨認(rèn)出用戶和使用、阻斷躲藏安全危險(xiǎn)的使用、確保合法使用的正常使用等疑問，現(xiàn)已變成現(xiàn)階段用戶所重視的焦點(diǎn)。但在網(wǎng)絡(luò)使用高速開展的今日，超越90%的網(wǎng)絡(luò)使用運(yùn)轉(zhuǎn)在HTTP 80和443端口上，大量使用能夠進(jìn)行端口復(fù)用和IP地址修正，致使IP地址不等于用戶、端口號不等于使用，傳統(tǒng)的依據(jù)五元組的拜訪操控戰(zhàn)略已無用武之地。下一代防火墻的用戶、使用可視化技能，能夠依據(jù)使用的做法和特征完成對使用的辨認(rèn)和操控；假如能夠完成與多種認(rèn)證體系（AD、LDAP等）無縫對接的話，還能夠進(jìn)一步自動辨認(rèn)出網(wǎng)絡(luò)中當(dāng)前IP所對應(yīng)的用戶信息，勾畫出人-內(nèi)容-使用的立體畫像，滿意新一代安全的網(wǎng)絡(luò)管控請求。

下一代防火墻不是萬金油

與傳統(tǒng)的依據(jù)特征的查看引擎不同，下一代防火墻與生俱來的基因是感知用戶和使用的做法，歸根到底是要了解網(wǎng)絡(luò)報(bào)文的上下文布景。雖然這省去了特征庫，但并不意味著下一代防火墻從此擺脫了定時(shí)晉級的繁瑣作業(yè)；相反，下一代防火墻更需要不連續(xù)的學(xué)習(xí)日益增長的使用指紋特征以堅(jiān)持對使用辨認(rèn)的時(shí)效性。因?yàn)檫@類指紋特征不依賴于端口、協(xié)議等易于辨認(rèn)的特征，有時(shí)乃至也許還會包括特定報(bào)文的內(nèi)容，因而保護(hù)下一代防火墻的規(guī)矩集是一項(xiàng)更為深重的使命。此外，關(guān)于非通用型的使用，如許多大型公司定制開發(fā)的私有使用，下一代防火墻很也許會無法辨認(rèn)。在這種情況下，用戶仍需手動增加使用指紋特征，且在每次私有使用晉級后也許還要重復(fù)這一進(jìn)程。下一代防火墻如此的不智能，會讓許多用戶對“下一代”形象大打折扣。

下一代使用層防火墻技能克服了傳統(tǒng)“鴻溝防火墻”的缺點(diǎn)，集成了IPS、防病毒等安全技能，完成從網(wǎng)絡(luò)到效勞器以及客戶端全方位的安全解決方案，滿意公司實(shí)踐使用和開展的安全請求。展望將來，跟著愈加蔭蔽的使用層進(jìn)犯不斷出現(xiàn)，將來防火墻將會面對更多協(xié)議的解析、更多使用的辨認(rèn)，因而將來使用層防火墻必將向著更大的防護(hù)功用面和更詳盡的粒度管控這個(gè)方向開展。節(jié)選自qanda.ren/21/1/