网络攻击越来越复杂,以至于经常表现为联合攻击,如对网络本身的攻击、对应用的攻击、混合式攻击等。传统的安全手段往往难以应付今天的攻击。用户需要在不同的地点、不同的网络层面都能得到安全防护。但是,在使用多种来自不同厂家、位于不同层面的安全设备时,可能会在协同工作上出现问题。在这种情况下,以复合式安全产品来应对复合式攻击是很自然的,这也是安全产品的一个发展方向。目前拥有千兆防火墙的Cisco、安氏、东软、天融信、联想、方正、清华得实等都有多功能型的防火墙,但是还都不能称为“复合式”产品。要符合复合式产品的特点,应该是立体防护的,不仅在流量上可以控制,还应该可以将流量有策略的管理起来。NetScreen把这种管理叫做“虚拟化技术”。
NetScreen公司在其5000系列产品中还加入了虚拟化技术,这一技术可以帮助大型企业、运营商对不同部门的用户划分安全区。防火墙和VPN这两片面包之间再加上虚拟化技术,这就构成了安全“三明治”。
其实,无论是防火墙还是VPN,也都还是复合了多种功能的。例如,防火墙采用状态监测技术,具备多种防DoS以及攻击防御功能,包括SYN攻击、ICMP泛滥、端口扫描等等。此外,防火墙还提供了NAT(网络地址翻译)和PAT(端口地址翻译)功能。在VPN功能方面,用户可以在任何端口建立和终止VPN通道。5000系列的操作系统ScreenOS的集成特性使它能够监测解密后的VPN流量,并在最终传输时按照需要再次加密。至于虚拟化技术,它包括虚拟系统、虚拟局域网及安全区等功能,可以利用逻辑分区法将安全系统划分成多个流量、策略和管理体系。这样,便可以在单一系统下,对多个部门或用户实现安全防护。
在不久前举办的信息安全展上,NetScreen除整合式产品外,还展出了NetScreen-IDP 100,它是一款能够侦测并防止非法入侵的产品。对用户来说,关键是在攻击进入企业网络之前就识别并阻止,一般的IDS产品只能监测非法入侵行为并发出警报,而IDP却能够以抛弃恶意数据包来检测并防止攻击。同时,它允许用户自己制订严格到何种程度的安全策略,从而控制误报率。另外,NetScreen还提供了相应的安全管理软件Global PRO,通过一个中央管理平台可以为10000台设备同时进行VPN或防火墙的部署。
目前,IDP设备还是独立的硬件。但NetScreen公司透露,不久的将来他们会把IDP功能集成到防火墙中。到那时,复合程度更高的设备将会是一个更大、成分更丰富的安全三明治。
