思科下一代防火墙如何让网络空间多维化
谈到人类生活的空间和无限的宇宙,大家都会有很大的兴趣和很强的神秘感,认为多维空间的环境中,存在我们未知的事物,但从人的肉眼中只能看到是个长、宽、高三个维度所构成的空间,最多我们还可以加入时间,让时空互相联系,所以对于我们来说生活在一个四维时空。说道这里,让我们也想起,近年的一部大片诺兰的“盗梦空间”他突破了时空的限制,让电影中的时间与空间随意的跳跃交错,让人不得不佩服 “诺兰改变电影结构”的这句话。但网络是否也能空间多维化,让一个个数据包不再是二级制数字,而是一个真实的网络空间表现! 我们先来纵观一下防火墙的发展,我们看到最早人们为了防护火灾或者大风,都要建立高于屋面的墙面,这样高高的墙面,可以防止在相邻民居发生火灾的情况下,起到隔断火源的作用。同样我们把网络中进行安全隔离,防止由于一些区域电脑感染病毒,而蔓延到整个业务网络,而且如果部署在内部网络和互联网的边缘,也可以起到防止外部非法流量访问业务网络。 早期的防火墙,主要通过查看数据流的源IP地址、目的IP地址和交互端口,综合这些因素进行安全的行为判定。由于这些固定方式的安全查看也带来很多的问题,不能支持动态端口协商的应用处理,像某些应用程序在协商信道和数据信道并不是固定的端口,数据端口的使用往往需要协商后获得,比较随机,这对早期的防火墙是很大的挑战。还有些情况,用户IP地址经常会被篡改,所以通过IP地址限制特定用户是无法实现的。 为了解决这些问题,防火墙做了一次技术的变革,增加了深度包检测的功能,对动态端口的应用协议进行深度结构化检测,动态协商的数据端口采用动态放行方式。同时也对数据认证源进行改进,结合微软活动目录,加强与身份认证系统的互动,让用户认证不再仅通过IP地址进行识别。 看似这样的改变解决了我们面临的问题,但技术的发展是永远不会止步的,当今互联网的主要趋势正在向应用发展,带来虚拟化、智能终端、BYOD等新的概念和技术。如今,一般员工越来越习惯在移动设备上使用消费者应用访问基于 Web 的服务,来满足个人和工作两方面的需求。这些员工希望能够在企业网络上使用其常用的应用。IT 消费化也已成为趋势 - 员工希望能够在工作场所轻松使用其个人手机、平板电脑和笔记本电脑,而且不用担心会遭到黑客攻击。这次技术的变革也带来我们对安全更高的需求,我们更需要一个把用户真实环境中的信息作为安全的因数,体现在网络世界中。 思科ASA5500X下一代防火墙对网络安全进行了全新的诠释,不再是一个IP地址就代表了一个用户,一条访问控制列表就能保证网络的安全,而是把扁平的线性网络重新构建成一个真实的生活空间。我们从人的肉眼中能看到是个长、宽、高三个维度所构成的空间,而思科下一代防火墙对这个空间进行了更详细的描绘,添加了用户接入的使用设备、接入网络中所处的物理位置、接入时间、接入使用的网络类型。同时结合用户访问的网站信誉度、使用的哪些应用软件等因子,让一个真实的用户所处的多维空间呈现在网络中。 试想如果要在网络中构建一个真实的多维空间,哪些是我们需要的关键技术呢?首先大家都会想到用户识别,访问用户是什么身份、他会有哪些权限、如何去鉴别用户?这个需求是很好解决的,我们可以结合微软活动目录等多种的后台数据库,有效的实现了用户定位,帮助网络管理人员真正达到活动目录认证/防火墙策略和身份的对应,使得策略身份化,访控更加精细,管理更加方便。 其次智能终端的出现带来很大的安全挑战,也带动了安全的发展机遇,下一代的防火墙必须具备设备识别的功能才有可能满足市场的需求,对智能终端的识别可以帮助企业和用户加强安全防范,控制安全风险。 然后恶意网页、流氓软件、游戏网站……互联网上满天飞的年代,如何保证网络访问安全,同时满足用户的体验。我们不仅要通过内部流量可视化,带宽精准控制,也需要一个全球的信用度评价系统帮助鉴别那些未知网站的安全。 思科提供了世界最大的威胁分析系统 — 思科安全智能运营中心 (SIO)。它包括超过 700,000 个全球传感器,每天可查看超过 50 亿次 Web 请求,以及 35% 的全球流量。SIO持续收集其接收到的所有信息,对网络、域和应用进行分类并为其分配信誉分数。这些分数通过集中计算,3-5分钟迅速分配至配置为接收这些分数的思科设备。ASA CX 收到这些分数后,更新其全球环境存储库,开始识别新兴威胁,并着手实施防御这些威胁的操作。 试想我们工作的普通一天,大家到了公司第一件事情当然是打开电脑处理邮件,找不同部门的同事协调事情,在上班时候没法访问公司业务以外的应用,但休息时间和下班后是可以访问的,这就是我们把时间加入了到网络维度中,如果你在非工作区上网将仅能访问internet,可以理解为我们把地点也加入了网络安全维度。同时我们也对使用不同设备进行控制,普通员工使用智能终端是不能访问业务网络的,但老板或者高级管理人员可以随时随地进行。与此同时,访问外部的应用是否被允许,被访问的外部网站是否安全,这些问题可以通过思科全球的SIO网站荣誉度评级,帮助大家过滤有潜在威胁的网站。这样一个网络安全多维因素结合起来,协助我们建立一个全新的网络安全空间。 所以我们说现在世界是扁平的,网络空间是多维的! |