第30篇,网络安全开拓者之路
正文共4105字,建议阅读时间11分钟
我和我的网安之路
第30篇 网络安全开拓者之路
索引
目录
01 基于防火墙开拓国内安全市场
02 利用软硬件融合定制物美价廉的安全产品
03 防火墙技术正不断更新迭代
04 加强联动,解决安全设备孤岛化问题
05 云上边界防护值得深究
06 提升自身能力,培养合作精神与责任意识
01 基于防火墙开拓国内安全市场
02 利用软硬件融合定制物美价廉的安全产品
为更好研发安全产品,我们构建了安全软件与硬件两大平台。软件平台以安全操作系统为内核,依据对网络安全设备常规处理流程分析而得的流程抽象模型,实现内存管理、设备管理、文件管理、可信启动、访问控制策略定义、流量还原、内容检测、硬件加速等一系列处理流程。该平台具有较好的应用灵活性,能适配多种异构硬件及加速手段,并集成了防火墙、WAF、IDS、IPS、网络探针、VPN、数据防泄漏等安全功能,可根据不同业务需求进行客制化包装。
硬件平台采用统一化解决方案,依据业务需求,设计并生产一系列适应多种安全应用场景的硬件平台。硬件设备的通用性为安全产品研发带来便利,增加了硬件采购量,并间接降低了产品故障率和用户的采购与维护成本。
软件平台与硬件平台相互融合、共同发展的创新思想为生产供应链带来便捷,也为用户提供更加物美价廉的安全产品。通过软件平台将不同安全产品的公用模块抽象、整合,实现安全产品资源的高度集成化与定制化,再与统一设计的硬件设施进行整合适配,即可形成高集合度、高性价比、高业务需求匹配度的安全产品。
03 防火墙技术正不断更新迭代
防火墙概念由来已久,但其内涵与技术不断更新迭代。最初的单包过滤防火墙是通过IP地址与端口的检测实现通信访问的控制,但需依次检测每个数据包,对通信效率影响较大;基于状态检测的防火墙仅对TCP/UDP的首包进行访问控制,有效降低了包过滤防火墙对通信效率的影响;透明防火墙将防火墙作为交换机进行部署,提升了使用灵活性;目前下一代防火墙则覆盖应用层,加入了攻击行为检测、内容过滤等功能。因此,防火墙始终围绕访问控制这一核心基础功能进行发展与演变,其安全功能随着技术的进步以及软件的优化而持续扩充,早期相对独立的病毒检测、攻击检测、用户行为控制、应用识别、QoS服务质量等安全产品也逐渐与防火墙融合。防火墙在整合更多安全功能的同时也会产生更大的运行开销,通信技术的提升也对防火墙的效率和性能提出了更高的要求。因此安全厂商需要优化软硬件和改进功能实现方式,降低安全业务以外的时间与计算资源消耗,将防火墙对用户业务系统性能和网络吞吐量的影响维持在较低的水平。
网络边界访问控制是安全防护的核心,故防火墙具有不可替代性,为应对不断进化的攻击方式,防火墙的安全检测与访问控制效率也需与时俱进,融合多种新技术。该融合过程应扬长避短,依据新技术的特点,应用在合适的领域方能发挥其优势。例如机器学习、人工智能技术对某些样本的检测效果突出,在某些特定领域上的使用效果要优于传统方法,但在产品中易产生误报或漏报。因此我们可将其应用在早期筛选、未知威胁感知和加密流量检测等特定应用场景中,提升检测效率与准确率。
综上而言,防火墙需通过技术革新,满足用户安全需求,减少对用户业务的影响,提升安全产品生命力。
04 加强联动,解决安全设备孤岛化问题
网络安全防护体系应是多种安全产品与技术之间的有机集成,针对安全设备相互独立导致的孤岛化问题,形成设备间有效联动成为防护体系建设的关键点。我们率先制定安全产品的联动协议,并发布了集网络管理与安全管理为一体的NGTNA架构,对网络安全产品进行统一管理以实现良好的设备间联动。防火墙与IDS、病毒网关等设备在安全检测能力上存在互补,实现了防火墙与其他安全设备的协同,能有效提升系统整体防护性能。
安全产品的普及与更迭,必然导致设备间联动的复杂化,因此需要我们对各类型设备间的交互规范进行定义以强化总体防护效果并降低对用户业务效率的影响。同一厂商的安全设备之间通常能实现较好的联动,但由于用户的安全设备通常采购自不同的厂商,难免在设备联动上产生不兼容等问题。为保障各厂商安全产品间的动态联动,发挥出设备联动应有的效能,安全产品供给侧还需制定业界所统一遵循的开放式标准。促进各安全产品之间的联动,实施对用户业务系统全面的、系统的、集中的安全管理,构建统一的安全防护体系是我们正在努力实现的目标。
05 云上边界防护值得深究
云计算技术的发展与应用为用户的业务系统部署与维护带来了极大的便利,许多企业、组织已将业务迁移至云平台。作为新型信息基础设施,云平台在安全需求上的激增对于厂商而言既是机遇也是挑战。云计算技术的开放性特征模糊了网络边界,因而云上的边界安全防护有别于传统信息系统,边界的动态变化、内部虚拟机通信缺乏透明度以及云平台自身的安全威胁,都是云安全防护的难点,如何为云端接入以及虚拟环境提供完善、可靠的边界防护方案成为安全厂商需要面对的实际问题。
天融信作为防火墙行业领军者,通过长期的技术研究与工程化实践提出了业内领先的云上边界防护方案,该方案主要由物理边界安全设备、分布式防火墙、安全资源池组成。其中物理边界安全设备为部署在云计算中心边界上的南北向物理防火墙,负责对云端接入进行安全防护。分布式防火墙以虚拟化形式部署在各个虚拟服务器上,克服了物理防火墙的局限,更适用于对虚拟服务器之间的网络通信进行防护,符合零信任安全中的微隔离要求。安全资源池运行在天融信超融合平台上,内部集成多种安全网元,基于安全策略过滤重定向流量,提供物理安全设备、虚拟化安全设备、SaaS安全服务等相应的安全能力,并接受安全平台的管理。天融信云上边界防护方案通过物理防火墙与虚拟化防火墙的结合,构建出云平台的纵深防御体系,实现了全面立体的访问控制策略。
图1 天融信云上边界防护方案示意图
云计算技术改变了服务方式,但并没有颠覆传统安全模式,云上的边界虽然模糊了,但虚拟边界是始终存在的,因此访问控制仍然是值得安全厂商研究的方向。在云上边界访问控制中安全设备的部署位置及防护方式发生了改变,需要厂商遵循以业务为中心,风险为导向的设计原则,综合考虑云计算安全威胁与用户业务需求,对安全防护体系架构、实现机制及相关产品组件进行改进与优化。云计算技术对信息基础设施的改变带来新技术的需求,但传统安全技术在未来并不会彻底消亡,而是以融合的方式应用于新的使用场景,安全厂商需将原有技术与新技术进行科学地整合,为云上边界防护提出更优的安全解决方案。
06 提升自身能力,培养合作精神与责任意识
网络安全人才需具备良好的计算机基础,扎实的软件研发功底,同时在网络攻防、加密算法等安全技术上具有突出优势,这需要大家在学习与工作实践中进行长期的积累。安全企业以市场化为最终目的,因此更加看重从业人员的工程化水平,对于初入安全行业的人员,提升自己的工程化能力,培养合作精神与责任意识是进入该行业的必修课。网络安全是一个需要深厚技术积淀的行业,努力与回报始终是呈正比的,只要肯深入钻研,未来一定会有所收获与成长。
策划:Calvin 采集:杨安 编辑:阮丹阳