面對DDoS的強勢攻擊,歷數現有的很多先進的防火墻產品概念,往往會不由自主地思考,為了抵抗DDoS簡單粗暴的進攻,哪種模式更具競爭力,更先進的防火墻模式應該是怎樣的,或許防火墻是應該再變變了。
——河南安陽供電公司 李大勇
與那些優雅而精密的攻擊手段相比,DDoS顯得十分“粗線條”,甚至非常的不具有技術含量。然而,利用控制大面積的僵尸主機,現今的攻擊者可以發起非常大規模的攻擊,足以造成一些大規模網絡設施的癱瘓。
DDoS成與無解的難題
2008年度大規模爆發的Conficker蠕蟲所造成的影響至今仍歷歷在目,盡管該蠕蟲利用的系統漏洞很快就被發現同時也發布了修補程序,但是在隨后的一個季度里,Conficker和它的變種程序仍舊控制了超過150個國家的上千萬臺計算機。
與傳統的、單純的DDoS攻擊不同,追求利益的黑客社團并非為了有趣而糾集如此數量眾多的計算機。他們依賴出售所控制的計算機資源給最終發起攻擊的人來謀取利益,或者對所控制的計算機施行網絡釣魚等欺詐性操作從而獲得有經濟價值的情報。
事實上,當全球的公司和組織仍舊將信息安全防護的中心指向互聯網的時候,其內部網絡中的計算機往往卻成為危害互聯網安全和其它組織安全的“幫兇”。
DDoS作為一種典型的互聯網攻擊手段,其名字當中所包含的“分布式”字樣已經明確地表明了自己的本質所在。而其背后的僵尸網絡體系,更是匯集了互聯網安全領域的諸多問題。
事實上,當下流行的絕大多數安全問題,都表現出綜合多種攻擊方式、結合社交工程手段、有目的分階段地展開動作等特征。互聯網時代的安全問題,正在呈現出高度分布化的特征,傳統的安全防護手段顯得捉襟見肘也就不足為怪了。
與分布式攻擊對應的,用戶的防范措施不能停留在諸如網關防護這樣的單點防御層面上,而也應該具有相適應的體系。各種不同防護措施的聯動已經不能夠完全滿足需要,能夠跨越組織邊界的、徹底面向互聯網的安全防護體系,才能夠真正保障用戶的信息安全性。
具有新時代特征的防火墻
傳統防火墻基于三層和四層的包過濾,很容易造成單點突破問題,安全強度得不到保障。而隨著應用層過濾的不斷主流化,以及在UTM理念倡導下的功能整合化、規則統一化、平臺靈活化,防火墻產品在防范互聯網威脅方面已經取得了長足的進步。
然而,就目前的情況來看,這些進步還遠沒有達到令用戶高枕無憂的程度。盡管防火墻類型的產品在性能和功能上乃至防護范圍上都有了很大的提高,但是在應對高速變化、高速增長的互聯網威脅方面,在靈活程度和適應能力方面仍舊有所欠缺。
UTM作為一個廣受認可的理念和實踐框架,已經在各個主流廠商的產品中有所體現。雖然很多專攻UTM產品市場的廠商都盡可能地突出UTM與防火墻的不同,但是不可忽視的一點在于,UTM產品在檢測模式等基本工作原理上仍舊與防火墻如出一轍。
即便是性能達到萬兆級別的多核UTM系統,其設計模型中也不可避免地充斥著防火墻技術的痕跡。所以說,UTM產品在很大程度上可以看作防火墻產品的發展和擴展,是全新一代的防火墻。
值得注意的是,目前有為數不少的主流廠商都在跟進X-UTM的概念,其中就包括了在UTM產品領域處于領先地位的Foreinet公司。具有充分靈活的架構以保證能根據不同需要集成安全功能是X-UTM架構的最重要特征,而這也延續了UTM架構的核心理念。而與最初的UTM產品相比,X-UTM產品在實現上更加徹底和高效。除了具備充足的運算性能以實現真正的UTM之外,X-UTM產品嚴格要求所集成的功能在管理層面上取得統一,并能夠緊密配合。一個真正的X-UTM產品平臺,可以靈活的插接安全功能,并實時根據當前的應用情景調配各個部分的性能配給,智能地保證產品隨時都達到最大的綜合功效。
與X-UTM相類似的還有被稱為XTM的產品模式,這是由WatchGuard公司所推出的一種致力于提高安全設備擴展能力的架構,其X就取自英文的擴展一詞。在實際功能方面,XTM產品在傳統的防護功能基礎上大力擴展針對Web安全威脅的保護功能以及對于應用層內容的過濾。