第30篇,网络安全开拓者之路
2021-04-15 16:21:20 Author: www.4hou.com(查看原文) 阅读量:145 收藏

微信图片_20210415151627.jpg

我和我的网安之路

在互联网与人们生活关系如此密切的今天,网络像水、电一样走进千家万户,成为生活必不可少的一部分。网络安全引发的问题日益普遍,其危害性愈发严重,维护网络安全已经上升为国家安全战略。“我和我的网安之路”是对国内网络安全大咖的系列专访,他们中有国内顶级网络安全学者、著名白帽子、CTF挑战赛冠军、名校教授、权威测评机构专家、青年创业者等。通过倾听一线网安从业者真实的声音,向大家呈现当今网络安全世界的生动景象。

第30篇  网络安全开拓者之路

本期嘉宾:吴亚飚,天融信科技集团总工程师、技术架构和前沿技术研究带头人,亲身经历了中国二十多年网络安全产业的发展,从1997年起参与天融信防火墙开发工作,攻克大量技术难题,作为项目负责人带领团队使天融信防火墙快速实现商业化落地。

1618471063294088.jpeg

索引

网络安全开拓者吴亚飚:凭借防火墙积极开拓市场是天融信发展里程碑;硬件平台、软件平台以及前沿技术研究三大业务线齐头并进助力我国网络安全事业建设;软硬件融合为生产供应链带来便捷,也为用户提供更好的安全产品;防火墙围绕访问控制这一核心基础功能始终在发展与演变;在满足用户安全需求的同时减少对用户业务的影响,是提升安全产品生命力的一大重要因素;安全供给侧需制定统一的开放式联动标准;云平台的访问控制技术是值得研究的方向;工程化能力与合作精神是网络安全从业人员必备素质。

目录

01 基于防火墙开拓国内安全市场

02 利用软硬件融合定制物美价廉的安全产品

03 防火墙技术正不断更新迭代

04 加强联动,解决安全设备孤岛化问题

05 云上边界防护值得深究

06 提升自身能力,培养合作精神与责任意识

01  基于防火墙开拓国内安全市场

天融信在成立初期便承揽了一些国家的研发项目,协助政府机关单位完成相关项目的建设,并以卓越的成绩获得了科技进步奖,这对于当时体量尚不庞大的公司属实不易。后续为进一步拓广业务,保证企业的可持续发展,天融信开始进军安全市场。

作为长期占据网络安全市场份额最大的业务,防火墙成为天融信打开市场大门的敲门砖。凭借在网络安全领域的钻研与技术积累,天融信防火墙一经上市便获得大量关注,并在当时尚处起步阶段的防火墙市场中收获了国家统计局等关键行业的用户。安全市场的成功开拓为天融信防火墙技术的研发奠定了扎实基础,也是企业健康稳定成长的一大基石。我们专注于防火墙的工程化与产品化,将实验室研究成果转化为市场销售的量产化产品。工程化需全面考虑技术与业务的结合以及用户的使用体验,工程量大且技术要求高,为此我们排除万难、刻苦钻研,做好充分的技术保障。

随着互联网技术迅猛发展,网络安全设备市场需求激增,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业。近年来,随着防火墙业务的销售额稳步增长,天融信已成为防火墙市场的中流砥柱。伴随市场扩大带来的机遇与红利,网络安全领域的竞争愈演愈烈,这对防火墙厂商的产品与服务质量提出更高的要求。为开创中国信息安全市场的新局面,保证企业的健康发展,我们在硬件平台、软件平台和前沿技术研究三大业务线上齐头并进,为用户带来效果更好、更加经济、效率更高、业务需求更加契合的安全产品,有力支撑我国网络安全事业建设。

02  利用软硬件融合定制物美价廉的安全产品

为更好研发安全产品,我们构建了安全软件与硬件两大平台。软件平台以安全操作系统为内核,依据对网络安全设备常规处理流程分析而得的流程抽象模型,实现内存管理、设备管理、文件管理、可信启动、访问控制策略定义、流量还原、内容检测、硬件加速等一系列处理流程。该平台具有较好的应用灵活性,能适配多种异构硬件及加速手段,并集成了防火墙、WAF、IDS、IPS、网络探针、VPN、数据防泄漏等安全功能,可根据不同业务需求进行客制化包装。

硬件平台采用统一化解决方案,依据业务需求,设计并生产一系列适应多种安全应用场景的硬件平台。硬件设备的通用性为安全产品研发带来便利,增加了硬件采购量,并间接降低了产品故障率和用户的采购与维护成本。

软件平台与硬件平台相互融合、共同发展的创新思想为生产供应链带来便捷,也为用户提供更加物美价廉的安全产品。通过软件平台将不同安全产品的公用模块抽象、整合,实现安全产品资源的高度集成化与定制化,再与统一设计的硬件设施进行整合适配,即可形成高集合度、高性价比、高业务需求匹配度的安全产品。

03  防火墙技术正不断更新迭代

防火墙概念由来已久,但其内涵与技术不断更新迭代。最初的单包过滤防火墙是通过IP地址与端口的检测实现通信访问的控制,但需依次检测每个数据包,对通信效率影响较大;基于状态检测的防火墙仅对TCP/UDP的首包进行访问控制,有效降低了包过滤防火墙对通信效率的影响;透明防火墙将防火墙作为交换机进行部署,提升了使用灵活性;目前下一代防火墙则覆盖应用层,加入了攻击行为检测、内容过滤等功能。因此,防火墙始终围绕访问控制这一核心基础功能进行发展与演变,其安全功能随着技术的进步以及软件的优化而持续扩充,早期相对独立的病毒检测、攻击检测、用户行为控制、应用识别、QoS服务质量等安全产品也逐渐与防火墙融合。防火墙在整合更多安全功能的同时也会产生更大的运行开销,通信技术的提升也对防火墙的效率和性能提出了更高的要求。因此安全厂商需要优化软硬件和改进功能实现方式,降低安全业务以外的时间与计算资源消耗,将防火墙对用户业务系统性能和网络吞吐量的影响维持在较低的水平。

网络边界访问控制是安全防护的核心,故防火墙具有不可替代性,为应对不断进化的攻击方式,防火墙的安全检测与访问控制效率也需与时俱进,融合多种新技术。该融合过程应扬长避短,依据新技术的特点,应用在合适的领域方能发挥其优势。例如机器学习、人工智能技术对某些样本的检测效果突出,在某些特定领域上的使用效果要优于传统方法,但在产品中易产生误报或漏报。因此我们可将其应用在早期筛选、未知威胁感知和加密流量检测等特定应用场景中,提升检测效率与准确率。

综上而言,防火墙需通过技术革新,满足用户安全需求,减少对用户业务的影响,提升安全产品生命力。

04  加强联动,解决安全设备孤岛化问题

网络安全防护体系应是多种安全产品与技术之间的有机集成,针对安全设备相互独立导致的孤岛化问题,形成设备间有效联动成为防护体系建设的关键点。我们率先制定安全产品的联动协议,并发布了集网络管理与安全管理为一体的NGTNA架构,对网络安全产品进行统一管理以实现良好的设备间联动。防火墙与IDS、病毒网关等设备在安全检测能力上存在互补,实现了防火墙与其他安全设备的协同,能有效提升系统整体防护性能。

安全产品的普及与更迭,必然导致设备间联动的复杂化,因此需要我们对各类型设备间的交互规范进行定义以强化总体防护效果并降低对用户业务效率的影响。同一厂商的安全设备之间通常能实现较好的联动,但由于用户的安全设备通常采购自不同的厂商,难免在设备联动上产生不兼容等问题。为保障各厂商安全产品间的动态联动,发挥出设备联动应有的效能,安全产品供给侧还需制定业界所统一遵循的开放式标准。促进各安全产品之间的联动,实施对用户业务系统全面的、系统的、集中的安全管理,构建统一的安全防护体系是我们正在努力实现的目标。

05  云上边界防护值得深究

云计算技术的发展与应用为用户的业务系统部署与维护带来了极大的便利,许多企业、组织已将业务迁移至云平台。作为新型信息基础设施,云平台在安全需求上的激增对于厂商而言既是机遇也是挑战。云计算技术的开放性特征模糊了网络边界,因而云上的边界安全防护有别于传统信息系统,边界的动态变化、内部虚拟机通信缺乏透明度以及云平台自身的安全威胁,都是云安全防护的难点,如何为云端接入以及虚拟环境提供完善、可靠的边界防护方案成为安全厂商需要面对的实际问题。

天融信作为防火墙行业领军者,通过长期的技术研究与工程化实践提出了业内领先的云上边界防护方案,该方案主要由物理边界安全设备、分布式防火墙、安全资源池组成。其中物理边界安全设备为部署在云计算中心边界上的南北向物理防火墙,负责对云端接入进行安全防护。分布式防火墙以虚拟化形式部署在各个虚拟服务器上,克服了物理防火墙的局限,更适用于对虚拟服务器之间的网络通信进行防护,符合零信任安全中的微隔离要求。安全资源池运行在天融信超融合平台上,内部集成多种安全网元,基于安全策略过滤重定向流量,提供物理安全设备、虚拟化安全设备、SaaS安全服务等相应的安全能力,并接受安全平台的管理。天融信云上边界防护方案通过物理防火墙与虚拟化防火墙的结合,构建出云平台的纵深防御体系,实现了全面立体的访问控制策略。

微信图片_20210415151951.jpg

图1  天融信云上边界防护方案示意图

云计算技术改变了服务方式,但并没有颠覆传统安全模式,云上的边界虽然模糊了,但虚拟边界是始终存在的,因此访问控制仍然是值得安全厂商研究的方向。在云上边界访问控制中安全设备的部署位置及防护方式发生了改变,需要厂商遵循以业务为中心,风险为导向的设计原则,综合考虑云计算安全威胁与用户业务需求,对安全防护体系架构、实现机制及相关产品组件进行改进与优化。云计算技术对信息基础设施的改变带来新技术的需求,但传统安全技术在未来并不会彻底消亡,而是以融合的方式应用于新的使用场景,安全厂商需将原有技术与新技术进行科学地整合,为云上边界防护提出更优的安全解决方案。

06 提升自身能力,培养合作精神与责任意识

网络安全人才需具备良好的计算机基础,扎实的软件研发功底,同时在网络攻防、加密算法等安全技术上具有突出优势,这需要大家在学习与工作实践中进行长期的积累。安全企业以市场化为最终目的,因此更加看重从业人员的工程化水平,对于初入安全行业的人员,提升自己的工程化能力,培养合作精神与责任意识是进入该行业的必修课。网络安全是一个需要深厚技术积淀的行业,努力与回报始终是呈正比的,只要肯深入钻研,未来一定会有所收获与成长。

作者 | 阮丹阳  策划:Calvin  采集:杨安  编辑:阮丹阳

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/g8Kj
如有侵权请联系:admin#unsafe.sh