游戏迷提供最新游戏下载和手游攻略!

防病毒墙的演进与边界防护的新理念防毒墙

发布时间:2024-06-25浏览:8

任何新技术的出现和演进都是为了解决人类问题、提高生产力的必然结果。正如《技术的本质》一书所说:技术是被捕获和利用的现象,是现象被有目的的编程。

当整个社会、关键基础产业的运行都建立在数字化基础设施之上时,数字化面临的安全挑战是前所未有的。

30年前,杀毒软件诞生,是为了弥补终端安全防护的不足。如今,杀毒软件已经进化到可以抵御勒索、挖矿等安全威胁,保护核心数据资产的安全。有了防火墙,还需要杀毒软件吗?再加一堵“墙”会不会影响网络吞吐量?

01

第一代杀毒墙的诞生

面对新事物,机遇与风险总是并存的。

20 世纪 90 年代初,国际互联网协会(ISOC)刚刚成立,互联网面临着如何提高普及率的问题。1991 年,全球病毒数量不足 500 种,当时网络结构简单,病毒通常利用操作系统和软件程序的漏洞发动攻击。厂商针对这些漏洞发布补丁,但实际情况是,并不是所有终端都能及时更新这些补丁。

“一举突破,全军覆没”成为了当时病毒入侵的真实写照——携带病毒的恶意数据包在未及时打补丁、未安装杀毒软件的终端设备上“入魔”。

那时云计算还是一个神话,每个终端都需要安装杀毒软件,90%以上的病毒攻击都是通过互联网传播的,如果能在互联网出口做好病毒防护,那么被病毒感染的概率就会低很多,这也正是第一代杀毒墙诞生的初衷。

1993年,趋势科技推出了在网络层阻断网络病毒的硬件产品——Trend Micro VirusWall。通过部署在网络层,Antivirus Wall可以在病毒爆发前和爆发过程中识别出高危安全漏洞,并在病毒进入网络时隔离和清理传染源。

从此,防火墙开启了边境保护的新时代。

直到1998年,全球病毒数量还不足1万种,但到了2002年,病毒数量在11年间增长了120倍,达到6万种。如今,仅亚信安全一家公司在2022年就拦截了超过3亿个恶意样本,平均每天拦截82万次。对于企业来说,网络边界承担了95%的入侵防御压力。随着病毒数量的不断增加,攻击形势也愈发严峻。

02

如果我有防火墙,还需要防病毒墙吗?

答案是肯定的。

防病毒墙就像机场航站楼的X光机,检查进入者是否携带危险物品。只有没有威胁的流量才能通过这个检查站。防火墙更像是一个安全检查站,任何持有有效身份证件的人都可以进入。

每个行业都有自己的专长,杀毒软件工作在OSI的第七层,也就是应用层,是基于协议栈的,而防火墙工作在OSI的第三层,是基于IP栈的。这就决定了防火墙要负责管理所有的TCP/IP通讯。“当一个客户端受到威胁时,防火墙会阻断这个IP上的所有流量。如果这个IP恰好是一个应用程序,那么它就会面临阻断与否的两难。”亚信安全产品经理冯俊和表示,“杀毒软件是按流量阻断的,只阻断有害流量,而不会阻断IP。”

防火墙的特性决定了其多是通过杀毒引擎解决病毒检测和查杀的问题。现在,新的病毒和威胁已经不再仅仅是病毒,越来越多的网络攻击通过勒索病毒攻击将目标转向“更高价值”的企业和商业市场。网络攻击者通过劫持企业的“数据资产”来获取加密货币,实现赎金,甚至造成更为严重的后果。据Cyber​​security Ventures预测,2022年每11秒就会发生一次勒索病毒攻击,较2019年每14秒发生一次攻击增长20%。预计到2025年,加密货币犯罪金额将超过300亿美元,较2021年的175亿美元增长71%。

此外,企业边界的网络攻击手段也在不断提升,更加多样、隐蔽。比如,针对业务系统中的开源应用、第三方中间件,形成影响上下游的链条式渗透和控制;与正常用户共享IP池,秒级切换IP,形成大量难以识别的低频攻击;短时间内制造数百万次虚假攻击,真假流量干扰音视频;从物联网终端各个环节发起攻击,深度入侵。减少病毒爆发时间、遏制或修复网络攻击影响成为网络安全行业的当务之急。

03

部署前:“一人把守关口,百毒不侵”

在业务连续性方面,企业面临内部和外部的双重挑战,一方面存在勒索病毒攻击等外部网络威胁导致业务暂停、供应中断的风险;另一方面,安全产品的烟囱式部署在业务流量高峰期会造成拥堵和延迟,影响业务连续性。

亚信安全正式发布AE V7.0 40G高性能杀毒墙。AE集成了亚信安全“梦蝶+怒狮+魔龙”三大自研扫描引擎、漏洞防护引擎和网络威胁检测引擎的能力。基于亿级病毒样本库,100%覆盖近五年最流行的CVE漏洞和热门IOC情报,病毒检出率达99%;同时可有效防范和阻断网络事件入侵、漏洞利用攻击、暴力破解、勒索病毒等APT攻击,以及C&C外接等恶意行为。借助40G的高性能技术优势,AE杀毒墙将威胁吞吐量提升200%,有效流量清洗率高达95%,有效提升了边界威胁管理效率,为数字化环境下的边界防护带来新的部署思路。

以亚信安全某电力企业客户为例,通过预部署模式,实现了病毒及误攻击、扫描、低级别攻击流量的拦截,边界安全监测分析设备聚焦降维攻击预警,协同其他安全设备,快速清洗恶意攻击IP,编写自定义规则,自动拦截屏蔽外部威胁流量。企业可达攻击数由防病毒墙拦截200万次降低到边界防火墙拦截8000余次、核心交换机拦截1000次,防火墙可达攻击防护率达到99.5%。

“通过只扫描前64个字节,我们就能判断这段代码是否含有病毒,这是亚信安全杀毒墙的独特优势。”冯俊河说。基于插件式协议解析架构、流式文件还原引擎和分段预扫描技术,杀毒墙AE在网络协议解析和上层数据处理过程中,能够实现实时分析检测,耗时短、交互快、准确率高,避免高延迟对用户业务效率的影响。

新乡AE采用自主内存池化技术和零拷贝技术,结合硬件特性的针对性调优,有效加速操作系统内核与业务分​​析流程的协同,充分发挥多核CPU的并行处理性能,最大化利用CPU进行恶意代码检测。

新乡AE基于自适应多层旁路机制,在断电、设备异常、业务处理程序崩溃等极端情况下,仍能维持网络平稳运行,最大程度保证用户业务不中断。同时通过微秒级实时监控、优先级调度技术,以及根据流量特征进行针对性优化,进一步提高设备和客户业务流量的适应性,保障用户业务的无缝流畅性和连续性。

互联网的发展带来了巨大而深远的影响,它被用来推动实体经济数字化,也被黑客用来发动更大规模、更复杂的网络攻击。在网络关键位置处理病毒是现代网络防护的第一道防线,只有构筑好这道防线,后续的联动和防护才有可能。

热点资讯