UTM/NGFW的第二春?
在大连电子政务外网中,UTM/NGFW已经逐渐取代传统防火墙,成为更细粒度安全策略的执行者。但它们的部署思路与传统概念中有很大不同,皆因运营者在安全保障方面有自己一套完善的方法论,UTM/NGFW仅作为落地载体的一部分,不能从系统中独立出来。这样的做法会不会是个例,尚无法判断。不过考虑到大连电子政务外网的示范效应,未来也许会有越来越多的用户借鉴这种思路,UTM/NGFW也可能翻开行业化应用的崭新篇章。
Q:之前我们了解大连电子政务外网建设情况时看到,你们的基础网络建好后一直没有过大的升级,而安全产品无论从种类还是数量上都一直在增加,甚至还部署了深信服的NGAF这种多功能整合型产品。一般越是大型用户越愿意采用专品专用的部署思路,大连反其道而行之的原因是什么?
耿昭:你看到的是一种表象,实际上这个问题很复杂。我从事信息安全工作多年,认为信息系统的安全防护工作一定要从底层干起,比如从链路层往上一层一层剥,剥得干干净净。如果用防火墙,必须用异构部署,就是用不同厂商的产品进行多层防护。另外要把策略拆分,形成立体防护,也就是说多台防火墙上不能配同样的策略,一定是交叉着写。这么做能减小被渗透的几率,攻击者即使突破一层防护,也难形成完整的攻击行为。
Q:这也是现在大连电子政务外网的安全防护思路?
耿昭:大体上是这样,但在深度和广度上要找到平衡,毕竟我们业务种类太多。业务种类多意味着运维管理和安全防护的复杂化,因为可重复的工作少了。现在在4层上,我们还是去把策略拆分做立体防护,有些在物理交换机实现,有些在虚拟交换机实现,有些在防火墙实现。这两年引入带应用识别控制功能的设备,主要用在7层流量的控制上。比如数据中心里一个对外发布的网站,从虚拟机到网络边缘做了全程的4层访问控制策略,现在已不足以保证安全合规,因为一些木马甚至QQ在这种情况下仍然是可以对外通信的。而有了NGAF这样的设备,我们就可以在7层上做更精细化的控制了,现在的要求是每台服务器或者每个业务对外的应用协议是固定的,这就是我们用NGAF来做的事。像刚才说的服务器,如果出现HTTP以外的流量,那就可以判定为异常了,我们要配策略去进一步限制。4层控制和7层控制之间没有取代关系,它们组合成细粒度更高的立体防护体系,才能保证更高的安全性。
Q:您说得非常有道理,现在很多国外企业机构都采用了7层协议白名单制的控制思路,甚至有些行业规范里也出现了类似要求。但如果只是为了7层协议的识别和控制,为何不用专业流控产品实现呢?
耿昭:这个问题是要综合考虑的,受财力和人力限制,我们不可能购买、运维那么多同类型不同厂商的专用产品,也不愿意网络效率变低、拓扑变得更复杂。所以希望每种安全业务至少有两类以上的设备可以实现,彼此间有个互补的作用。比如刚才说的4层访问控制,交换机可以做,防火墙也能做。这样一来能做到立体化防护,二来提高了可靠性。也就是说一旦其中一个设备宕掉了,另一个设备还能把业务担起来。有一种情况是我们经常遇到的,就是设备升级反而造成了误识别、误报或者误防。我们第一时间的处理方法肯定是把相应功能关掉,因为底线是不能影响正常业务。但系统也不能因此就裸奔,此时就需要上下游的设备临时顶上,开启同样的功能、加载同样的安全策略。这下就有了足够的缓冲时间,再慢慢和厂商沟通、解决问题。
Q:也就是说你们要保证这些构建立体防御体系的产品在功能、性能上都要有充分的冗余?
耿昭:可以这样理解。我们在标前测试阶段就会很严格地去考察产品,带策略的和不带策略的、实验环境中的和真实环境中的、开启单功能和多功能的情况都得心里有数,一般光测试就得半年以上的时间,到真正上线可能要两三年。上线以后会把功能逐渐分出去,有可能一台设备就专品专用了,比如你看到的用NGAF只做应用流量的识别控制。如果遇到宕机,第一步就是把出问题的设备拿掉,互补设备先顶上。这个时候因为开了其它功能,可能它CPU占用率从20%蹦到60%,但不会影响业务和安全性。顶过这一阵,等故障设备的问题解决了,再回到20%的常态。现在我们考察设备,都会明确告诉厂商主从关系,也就是每台设备平时做什么、一旦出了问题的时候还要做什么,厂商也逐渐接受了这个理念了。