下一代防火墙大破天幕危机

　　最新一部007电影《007大破天幕危机》，在从事网络安全的人看来，就是一部信息安全的案例集。其中尤以电影刚开始时候的一段APT攻击的最为精彩。“M”夫人的电脑被黑客成功安装了木马软件并被远程操控，向英国军情六处的控制中枢展开渗透攻击，绕过英国情报部门的防火墙，获得了控制系统的管理权限后，黑客迅速做出了破坏指令，紧接着随着砰地一声巨响，军情六处在一团火光中灰飞烟灭。 在这时，我们才真正理解了片名“SKAY FALL”的内函——时代变了，传统的安全措施不好用了，靠着传统的防护方式构建的“天幕“已经塌了！

　　如果说007还只是艺术的虚构的话，那么下面这些事实足以说明，网络攻击的威胁就在我们身边，而且已经成为了国家安全的主战场。

　　2011年2月，伊朗突然宣布暂时卸载首座核电站——布什尔核电站的核燃料，西方国家也悄悄对伊朗核计划进展预测进行了重大修改。事实上，是一种名为“震网”（Stuxnet）的蠕虫病毒，侵入了伊朗工厂企业，这种病毒甚至可以进入西门子为核电站设计的工业控制软件，并夺取对一系列核心生产设备尤其是核电设备的关键控制权。

　　“震网”带给人们的冲击还没过去，“火焰（Flame）”病毒又再一次震撼了全世界。

　　2012年5月28日，卡巴斯基实验室宣布，发现了一种破坏力巨大的全新电脑蠕虫病毒“火焰”。这种病毒正在中东地区大范围传播，其中伊朗受病毒影响最严重。这种新型病毒最重要的应用是它的间谍功能。感染该病毒的电脑将会自动分析使用者的上网规律，记录用户密码，自动截屏并保存一些文件和通讯信息，甚至可以暗中打开麦克风录音等，然后再将窃取到的这些资料发送给远程操控该病毒的服务器。而且“火焰”的程序构造十分复杂，它的代码数量相当于“震网”病毒的20倍，可以通过USB存储器以及互联网进行复制和传播，并能接受来自世界各地多个服务器的指令。一旦完成搜集数据任务，这些病毒还可自行毁灭，不留踪迹。

　　面对新型的网络威胁攻击，安全业界也在快速地作出自己的响应，其中一个重大的技术成果，就是“下一代防火墙”。下一代安全将关注的重点从过去的“系统扫描、暴力破解、DOS攻击”等粗放式的、集中在网络和系统底层的攻击模式，转移到“僵尸网络、间谍软件、数据盗窃、APT攻击”等以网络应用为主要媒介、以用户数据和网络控制权为主要攻击目标的新型威胁的检测与防范上。

　　相较于传统以“检测、阻断”为基本行为方式的安全产品，下一代防火墙最大的差异之处在于，其基本的安全理念是“识别、展现、分析”，将安全的重点从对单一信息包的检测，扩展为对整个网络行为的观察。比如，“火焰”病毒的变种很多，但是被发现的就只有6种，传统的安全模式在如此快速变化的恶意代码面前形同虚设。而下一代防火墙通过强大的应用识别能力，可以将全部网络流量进行解析，令网络安全负责人可以全面掌握网络中发生的一切风吹草动，什么人、在什么时间、通过什么设备、访问了什么系统、传输了什么数据，他的行为规律如何，是否出现异常等等，任何网管人员兴趣的问题，下一代防火墙都可以清晰地展示出来，并根据指令做出检索、分析、和判断。

　　对此，网康科技CEO袁沈钢先生在阐述下一代防火墙概念时也曾经谈到，在国外，下一代防火墙的核心能力被称作“visibility”，在国内这个词被译做“可视化”。但这只描述出了一个表面现象，那就是下一代防火墙将全部的网络信息以可视化的方式呈现出来。事实上，在下一代防火墙语境下的“visibility”，指的是“洞察力”，是对网络具有穿透性的观察和分析。网络安全人员只有具备了足够的“洞察力”才能发现网络威胁的痕迹并快速做出响应，这才是下一代防火墙的真正价值。

　　传统安全模式的天幕虽然已经崩塌，但是人们并没有就此放弃，在众多的像网康科技这样的安全公司的努力下，下一代的安全技术已经出现，并且仍在不断进步，我们有理由对未来的信息安全充满信心。

　　本报记者 车小鱼

关注读览天下微信， 100万篇深度好文， 等你来看……