防火墙需求背景
防火墙,顾名思义,阻挡的是火,此词起源于建筑领域,正是用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。
引入到通信领域,防火墙也正是形象化地体现了这一特点:防火墙这一具体设备,通常用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
那么,用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
传统边界安全,仅仅在事中堆叠防御设备。但安全保护应该涵盖事前、事中、事后全过程。所以,事前缺乏风险预知的能力;事中防御割裂使有效性大大降低;事后缺乏检测和响应,新漏洞、防御被绕过的潜伏威胁无法解决。
传统边界安全,仅仅在事中堆叠防御设备。但安全保护应该涵盖事前、事中、事后全过程。所以,事前缺乏风险预知的能力;事中防御割裂使有效性大大降低;事后缺乏检测和响应,新漏洞、防御被绕过的潜伏威胁无法解决。
举个将领守城墙的故事:
事前:入侵发生前,需要设置瞭望台,在城墙上巡视等。将领需要很清楚他保护的对象(资产),城墙上有哪些门?关闭了哪些,还有哪些可能会被进攻?(漏洞)这些攻击点是不是有兵把守或者有防御工事。(策略)
事中:入侵者突袭,将领不能只考虑步兵攻击主城门怎么防,还有比如弓兵、骑兵、投石车,各种类型的攻击都要能防住,并形成联动指挥。比如,东门大量入侵者突袭,将领可能要及时城门关闭,调用工兵,提高攻击难度。当然,入侵者还可能采用一些新的攻击手段,比如挖地道等手段,指挥官也必须有应对新攻击的能力。
事后,城门被攻破了之后,必须有及时检测和响应的能力。入侵者攻到哪儿了?怎么解决?打退了之后,还有没有潜伏者,要进行持续的排查。比如窃取了情报在出城门的时候,通过异常行为识别他,并将他捕获。
但传统防御都只是在事中的过程,这会让边界防御有效性大大降低。
但是现在的安全是拼凑的。
你可能需要采用一系列的安全设备,来把安全拼凑完整。但是这种方式并没有办法提供有效的保护,甚至把安全复杂化。
第一,这些技术手段是割裂的。这会使得各类型、来自不同厂商的安全保护手段,难以协同配合。并且,这些基于静态特征的防御,无法应对新的威胁。
最重要的是,他们都只关注事中的攻击,缺乏全过程的保护。比如前期的风险认知?防御后的持续检测?以及快速响应的手段。
而根据gartner的报告,我们应当加大对持续检测、快速响应的投入。
第二,对安全的认知是碎片化的,因为这些拼凑的安全,只能让你看到碎片化的攻击日志,只能看见图形化的统计报表,并且这些与你的保护对象:核心资产,并没有直接的关系。
产品功能
价值主张
市场地位
