您的位置: 网界网 > 评测 > 正文

网络安全能否做到夜不闭户

 ——下一代防火墙测试方法探讨

2014年08月26日 11:09:05 | 作者:董培欣 | 来源:

摘要:由Ixia公司联合清华大学信息安全研究实验室共同主办、《网络世界》(CNW)报社承办的“网络靶场挑战赛”顺利闭幕了。和传统的攻防对抗不同,这次比赛更多的是要求对正常流量背景下的攻击进行定位,对攻击手法进行分析。这也引发了...

标签
探讨
测试方法
下一代防火墙

下一代的新启示

由Ixia公司联合清华大学信息安全研究实验室共同主办、《网络世界》(CNW)报社承办的“网络靶场挑战赛”顺利闭幕了。和传统的攻防对抗不同,这次比赛更多的是要求对正常流量背景下的攻击进行定位,对攻击手法进行分析。这也引发了我对网络安全的新思考——网络安全只有“防”这一种手段吗?

传统防火墙通过五元组信息进行网络防护。用个比喻来讲,就是只可以看到人的五官,但人在干什么并不清楚。而下一代防火墙[注]具备了网络应用行为分析能力,也就是说不但可以“认人”,还可以看出这个人在干什么。当时只感觉到这是一个划时代的技术进步,但这个进步可以为用户带来些什么,还没有进一步的概念。只是以已知威胁、未知威胁、发生威胁来初步对下一代防火墙的功能进行划分。现在再回头来看,下一代防火墙实际上可以为我们提供更好的安全防护手段——“查”。为什么黑客会如此猖獗?就是因为现在网络安全偏重防护不重追查。如果黑客发起DDoS[注]他的控制端就被定位、种下木马就会被追踪、有非法连接就会被追查,从而让黑客始终都有不安全感。黑客的不安全就是用户的安全,当黑客开始人人自危,那路不拾遗、夜不闭户的安全境界就能实现。而下一代防火墙,正是一种能够通过网络应用行为的分析与检测,查找并定位威胁,从而在根源上解决问题的理想工具。

“八卦”的作用

想当年,周文王在西岐这片土地上,利用“八卦”这种行为判断引擎对犯罪份子进行准确追源,由于定位准确,犯罪份子在被抓获后不敢逃逸,画个圈插根棍儿就可以有效监管。(纣时画地为牢,止西岐有。此时东南北连朝歌俱有禁牢,因文王先天数祸福无差,因此人民不敢逃匿;所以画地为狱,民不敢逃去。但凡人走了,文王演先天数算出,拿来加倍问罪。以此顽猾之民,皆奉公守法,故曰画地为狱。)由此可以看出,“文王”系统是具备了多么强悍的大数据[注]应用行为分析能力!当然“八卦”这种行为判断引擎也就是在“文王”这种国家层面上的信息安全系统中才可以发挥出使人“路不拾遗、夜不闭户”的安全管理效能,否则哪怕“姜尚”的“八卦”系统,信息分析能力比“文王”更强大,也仅限于去烧烧“琵琶精”,没搞好惹了一身骚后,也只有灰溜溜的逃出朝歌。只有在遇到文王对其礼贤下士之后,才发挥出他的强大功能。

如何寻找“子牙”

由此可知,网络安全要想做到“路不拾遗、夜不闭户”,黑客人人自危,不敢像现如今这样肆意攻击,猖獗盗取用户数据。还需要在国家层面上对网络应用行为进行分析与检测。而这并不是一朝一夕可以完成的事情。

现在,我们就要做一个“武吉”,把“姜子牙”的本事展现出来,以便国家在推行网络安全时,有具备真才实学的产品可用。不会像纣王一样任用一些“申公豹”反倒来“助纣为虐”。如何做这一点到呢?这就需要全方位的对厂商产品及技术实力进行评估,并做出分类分析。现计划从产品、技术、应用、服务四个角度对厂商产品及技术实力进行评估,并对厂商产品进行分析。

一些题外话——选型中所遇到的问题

在长时间的网络产品测试工作中,给我感觉厂商产品选型最大的问题不在产品的功能或性能上,而在于产品的不透明。目前有很多“知名”企业对自身产品的发布也还处于无产品型号,无产品规格甚至无功能介绍的“三无”产品之列!(真不知采用此类产品的用户是通过什么方式对产品选型的,这样的产品可以提供什么样的售后保障?)有些网络安全产品厂商也有自己的产品专区,但产品技术指标并不全面,产品功能及应用性能分析就更无从得见。想要查一些产品介绍也如同大海捞针。再看看消费级的产品,手机、汽车、电脑各种评测各种数据信息琳琅满目、五花八门,基本上足不出户就可以将自己需要的产品了解个通透。为什么会有如此大的差别?网络产品评测所要求的技术性、专业性更高是一个方面,个别厂商对自身产品指标发布的不重视也是一个重要的原因。实际上网络产品厂商发布的数据也不少,但系统加以划分的不多,这也加剧网络产品不透明现象的产生。

因此,根据我多年产品测试总结出的经验,分析并总结出了评估网络产品所需的几个关键要点,那就是通过产品、技术、应用、服务。从这四个角度,我们可以比较全面的对厂商产品质量、技术实力以及适用范围进行深入了解。

产品

用户想要选择网络及网络安全产品,先要了解相关产品的信息。在这里就需要对厂商产品从产品规格、产品功能和产品易用性三方面进行了解。这三方面应该是相辅相成的,单独或片面对其一、两方面进行了解均有可能造成选择上的失误。

     产品规格

产品规格是厂商产品的最基本信息,通常包括产品名称、型号、尺寸、重量、接口(数量和类型)、电源、风扇等。

有些用户认为这些基本信息无所谓,只要厂商能把满足需要的产品提供出来就好了。正是这种心理,让某些厂商钻了空子,他们可以在了解用户采购需求后,用极短的时间“研发”出一款成本最低,又可满足用户采购指标需求的产品供给用户。至于这样的产品在应用中会不会出问题,采购之后有什么样的技术保障,那恐怕就唯有天才晓得了!而用户采购了此类产品,出问题后往往是哑吧吃黄连,一是无处去申诉,再有是怕丢人,不好意思申诉(这种情况现在有很多噢),只得自吞苦果,最后不了了之。所以在选择产品时,预先了解厂商现有产品的产品规格,是产品选型的第一步。

    产品功能

产品功能这里并不是说有一个厂商产品功能的列表,简单比一比谁的功能多功能全就可以了。要更加深入的从对产品各项功能处理效果及其所可以提供的处理性能,也就是产品的适用性方面综合性的去进行分析。有些产品,功能项很全,但每项功能都经不起细致的推敲。不具备实用性,为了增加功能而增加功能。因此,在实际应用中不是各项功能无法全部开启,就是开启后性能急剧下降,无法满足正常应用。因此,在产品功能性方面,需要通过产品主要功能的性能指标、综合处理性能指标、厂商所提供技术解决方案等多个方面,全面对产品进行分析。如此才能对厂商产品功能有较全面的评估。

    产品易用性

产品易用性,这是当前用户反馈的另一个比较突出问题。产品适用但不易用,功能、策略的设置十分繁琐,一但出现什么问题或要做何种策略调整,就不得不去咨询厂商的技术工程师。在增添厂商技术服务支持难度的同时,也为用户的正常产品应用带来了极大困扰。因此,目前无论是大中企业、行业用户还是中心企业、各个应用,对产品的易用性均开始提出了更高的要求。而NGFW开始主推的应用可视化,实际上就是产品易用性的一项重大进展。如何令产品更加便于用户应用,是厂商在今后产品设计时需要重点考虑的一个课题。

技术

通过对厂商产品规格、功能和易用性的分析就可以正确选择产品了吗?我们说还不能!因为现在挂羊头卖狗肉的事情实在是太多,也实在让人无力去一一分辨。下面,我们就从硬件、软件、测试和技术保障这三方面一一去进行分析。

    硬件生产

当前厂商基于产品硬件生产成本等方面的考虑,硬件产品大多采用代工方式进行生产。而代工工厂也在不遗余力的推出相关硬件产品,以供没有相关硬件研发实力的网络安全厂商选用。这种产品硬件生产方式在减少厂商对产品硬件研发的投入的同时,也带来一个隐患,那就是如何确保硬件产品的质量?在现价段,还很少见到有厂商公开自身的相关产品硬件生产技术指标及质量标准。因此对于厂商硬件产品质量,我们目前也只能通过厂商发布的有限产品规格数据去进行推断。而这种推断对厂商不同批次产品质量的一至性是否可以有效断定,目前还不得而知。

    软件研发

软件研发技术实力,关系到厂商产品应用功能及处理效能。真正负责任的厂商,往往会下大力气在这方面进行资金、人员及设备的投入。令我印象最深的是,有几次去一家知名网络及安全设备的厂商采访,其研发副总很自豪的对我们说,创业初期他们收入的50%以上均投入到了技术研发之中,现在虽然有所改善,但投入比例依然很高,所以才会有今天这样的发展规模。由此可见一斑,随着国内网络产品采购风气的转变,凭关系靠公关去推销产品的时代将逐步走向终结。那时,采购产品,首先就是要考核厂商的产品验发实力。没有技术人员,没有资金投入光靠市场宣传就想使产品大买热买的情况,至少在企业级网络及网络安全产品中,很难再次出现了。

    产品测试

有的用户觉得,产品测试是一些专业测试机构的事情,和厂商无关。这种关点就大错特错了。厂商产品研发需要测试、产品升级需要测试、出现问题进行改善需要测试,甚至最常见的产品特征库升级,均需要进行测试。厂商如果没有可靠的产品测试手段,就无法向用户提供可靠的网络及网络安全产品。

曾经就有厂商问我,有没有多少多少个万兆口的测试仪表,我回复后反问道,难道你们研发测试连最基本的测试仪表都没有吗?他们赶紧和我解释,不是没有,是因为测试仪表太紧张,实在是调不开。由此可知,厂商产品测试与研发技术实力,已经达到了一种密不可分的程度了。不夸张的说,当前网络及网络安全厂商具备什么样的产品测试能力,才能研发什么级别的产品。这也是这些年我们逐步改变测试思路,由实验室独立进行产品性能测试转变为和厂商合作,共同进行产品性能测试的一个主要原因。

从以上三方面,我们可以了解,要想可靠衡量出一个厂商的技术水平,必须了解厂商对硬件产品的质量要求,了解厂商技术研发的资源投入,还必须了解厂商的产品测试水平。这样才能对厂商整体技术水平做出一个中肯的评价。

应用

这里把应用单独提出来进行分析,是因为在当前评测过程中发现,由于缺少网络及网络安全产品的适用性(应用性能)评估指标,用户仅凭借厂商产品介绍与性能数据,难以正确选择出自身所需要的适当产品。在选择产品时,通常只能借助厂商的销售或代理为其推荐,在试用后进行选择。这种销售方式,在局限了网络产品销售推广的同时,也为用户未来应用带来了很多隐患。缺少适用性评估所带来的问题还不仅局限于此,在个人用户宽带接入时,缺少适用性评估有可能导致的网络接入性能下降,企业应用中,有可能出现网络业务处理能力降低等问题。这些已经是网络实际应用中的“常见”情况了。所以未来网络及网络安全评测中,加强对产品应用性能的适用性评估必将是大势所趋的一件事情。

然而现在进行网络产品适用性评估,还面临两个需要解决的问题。

一、评估标准问题

要想对产品适用性进行评估,首先要了解用户的最低网络应用需求。而至今为止,我还未能收集到一些官方或比较权威的技术资料,成型的标准就更加罕见了。我以前在做SDN[注]功能分析时到是写过些分析性质的文章(可以参见“SDN 缓步前行还是原地踏步”http://network.51cto.com/art/201402/430473.htm),在“指标与评估”中对其做过一些分析,然而毕竟是一家之谈,并且指标的分析也不十分全面。希望今后,能有一些官方或比较权威的应用(适用)性评估标准可以出台。这对今后网络及网络安全产品应用推广,将起到极大的辅助做用。我也会适时的与测试仪表厂商和网络厂商进行沟通,试着以演讨会的形式,做一些更加深入的分析、研究工作,并将讨论结果发布出来,以供大家参考。

二、测试方法问题

之所以评估标准难定,与产品测试的评估方法难以确定也是有一定关系的。目前的网络及网络安全产品测试(+本站微信networkworldweixin),不但要对网络层处理性能进行测试,更主要的是,需要对传输层以及应用层网络处理能力进行分析。

而现阶段的测试方法和测试仪表,已经渐渐无法满足网络产品性能测试的实际需求。以我当前遇到的一个问题为例:某网络厂商新推出的1U网络产品,传输层已可达到500万新建连接的处理能力,而采用传统测试方法,需要采用10台应用层高性能测试仪表才可以满足这个级别的测试需求。而现如今,这样的高性能测试仪表本来就一表难求。在这种情况下,如何对厂商产品性能指标进行验证?还有未来SDN产品控制层与数据转发分离后,产品要如何进行测试?由此可知,未来的网络测试,并非简单的跑个指标,抄个数字。有很多新的测试问题需要去研究分析,有很多新的测试方法需要去沟通探讨

服务

即便应用性问题解决了,当用户产品需要更新换代,或有使用问题需要技术支持时,厂商是否有能力进行支持,也需要进行考察。这就要看厂商的服务是否能做到位。在此方面,我也是才开始重视,所收集到的资料也十分有限,只能在以后的产品测试过程中,增加相关的评估环节,去逐步进行完善。但是,从我个人角度来看,没有好的服务就不会有好的产品。厂商服务水平的高下,与其产品优劣有着息息相关的联系。

真才实学的展示

以后我将逐一与厂商进行有关产品、技术、应用、服务这四方面的沟通,并将有这方面优势的厂商介绍给用户,使用户进一步的了解厂商,了解产品。让厂商们的真材实学得以充分的展示。

下面是我依据以前产品测试经验,对不同网络产品厂商做的一个分类,十分肤浅,仅供参考:

厂商分类

三无厂商:

在有些厂商中,尤其是在一些国内网络安全厂商中,有很多像这种不公开产品型号、不公开产品规格、不公开功能介绍的产品存在。这些厂商大部分是些硬件产品厂商,出产品给人代工,而且这种厂商并非是技术实力不强,产品见不得光(这种情况也有,但不是主流)。很大一部分“三无”产品厂商还是有很强的产品技术研发实力的,甚至在技术支持、售后服务等方面也有很强的实力!只是不重视自身的品牌建设和产品宣传(有些甚至还会对宣传刻意回避)。

知名厂商:

与“三无”厂商相对应的就是知名厂商了,这些企业厂商无论是在市场宣传或用户口碑方面都有不错的表现,然而这些厂商在技术实力上反到有些良莠不齐!

有的企业确实有很强的自身技术实力,有的企业则是在挂羊头买狗肉!把一些“三无”厂商的产品拿过来做贴牌,换个标签就当自身的产品买给用户,甚至售后工作也是转身再让那些“三无”厂商去做,就靠自身的名气赚钱。深入了解发现,这样的厂商国内还真有不少……

可信厂商:

树立可信厂商的目的,就是要将上面的“三无”厂商与知名厂商中的良莠给区分出来。目前我所用的区分的方法是看报告,通过第三方评测报告与产品确认测试报告进行分析。通过第三方评测报告,可以对厂商产品功能性与实用性进行分析,通过产品确认测试报告,对厂商产品适用性进行了解。从而正确的对厂商产品进行辨别。

无忧厂商:

原以为通过第三方评测与产品确认测试即可协助用户成功进行选择,然而现实情况却并不容我们乐观。

从用户的角度来讲,并非所有用户都对厂商产品的功能方案和参数指标有深入的了解,曾不只一次在测试中遇到,用户只需要对某一或几种性能指标进行测试后出具报告的先例。而实际上这样的入门级初选报告,对用户选型所起的借鉴做用并不大。况且还有产品质量、厂商技术能力、售后服务能力、等等诸多的未知因素无法通过简单的测试报告来进行体现。

而当用户选用此类产品时,这些潜在的未知产品因素,也将为用户网络正常运营留下一个个的安全隐患!

并且现在用户在进行产品选型时,还会对产品的性价比进行关注,不重视产品技术及质量的厂商在产品报价上自然会比重视产品技术与质量的厂商更具备价格优势。当用户了解到自身为这些价格优势所需付出的代价时,往往为时已完。

因此,还需要从产品、技术、应用、服务这些方面全盘进行考虑,才能甄选“无忧厂商”出来。这种厂商并非是绝对不会出产品问题。而是一但发现问题,可以凭借厂商强大的技术实力在短时间内解决问题。同时,厂商自身还需要具备严谨的产品研发测试实力,出厂的产品都是高质量、高可靠性的成熟产品。这样的厂商,我将其定义为“无忧厂商”。

不是结尾的结尾

不知不觉中突然发现一件很重要的事情——我跑题了!本来想写一下,下一代防火墙应用功能分析的,可又不想再像多年前写完UTM测试后,所有厂商功能哪怕控制界面都变成了千篇一律的模样。NGFW是一个好产品,要是再发生那种情况的话,这个产品恐怕也会就这么废了!与其那样的功能对比不如不做。而且,当前仅靠产品评测与确认测试来进行选型的问题存在很多。因此,就从一些题外话开始,不由自主的开始跑题,结果想收也收不回来了。不过这也不算是跑题,这些题外话,正是我下一步要做的下一代防火墙的测试项目。由于项目众多,可能无法以横向对比的形式做成一份报告。但我会积极与相关厂商沟通,通过更全面,更多样化的表现手段,将厂商的NGFW产品尽可能全的向用户进行展现。而我也用这不是结尾的结尾,来结束这篇跑题文章吧。

参考资料

1.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

2.SDN:(Software Defined Network,软件定义网络)是一种新型的开放网络创新架构。最初是由美国斯坦福大学研究组提出,OpenFlow通过将网络设备控制面与数据面分离开来,从而实现...详情>>

3.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。 ...详情>>

4.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:董培欣 dong_peixin@cnw.com.cn]

我也说几句

热点排行