下一代防火墙为企业提供一体化安全防护
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
下一代防火墙为企业提供一体化安全防护
近些年来随着互联网突飞猛进的发展,给企业带来巨大收益的同时也带来了安全隐患,数据泄露、木马病毒等等网络安全问题成为了企业的通病,防火墙的出现有效的遏制了这些不安全因素。但是随着网络的发展,传统的防火墙功能已经不能满足当今企业的需要,企业遭到病毒攻击、数据泄露的事件时有发生,让企业为此付出了惨痛的代价。
针对这一现象的出现,网络安全设备供应商们致力于下一代防火墙的研究开发,为当今企业提供了一个安全良好的发展环境。
下一代防火墙,即Next Generation Firewall,简称NGFW,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,下一代防火墙能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。
知名咨询机构IDC对下一代防火墙(NGFW)定义了五方面的核心安全能力:对应用、用户、内容的精细化识别与管控,一体化安全引擎,外部智能,全网可视化和高性能架构。其中可视化可能是最容易被厂商和用户误读的一项能力,因为从英文visibility翻译过来的这个词,很容易被“跑偏”的理解到同样被翻译为“可视化”的visualization这个词上。
从Visualization这个词谈起
从字面理解,visualization指的是将抽象的事物清晰的呈现出来。具体到下一代防火墙上,将海量的日志等原始数据信息以易懂的图形化报表形式呈现出来确实是必备的基本能力之一。确切的说,仅仅简单的将事件日志等数据信息粗暴的呈现给用户的产品还不能称为商业化产品;但即使做到了日志数据的图形化呈现,与真正意义上的可视化仍相距甚远——几乎所有的技术人员在面对由传统安全设备输出的单调、重复、难懂的日志和报表时,都在为如何将它们与安全风险相挂钩而面露难色。
近年来一些厂商将越来越炫酷的UI界面或各类TOP 10排名灌之以深度可视化的名头,这是典型的将visualization理解成了visibility。可视化不是简单的将数据图形化呈现,不是日志信息的简单分类和归集,而是深度挖掘这些原始数据素材之后的内在关联,以全局视角帮助网络管理者看清各种威胁,看清攻击事件的全貌,帮助了解攻击者的真正意图和目标。从这个意义上讲,visibility的准确翻译应该是“看得见的能力”而非“可视化”。
可视化的三重境界
看得清是可视化的初级境界,也是对下一代防火墙NGFW的最基本要求。
在网络应用高速发展的今天,超过90%的网络应用运行在HTTP 80和443端口上,大量应用可以进行端口复用和IP地址修改,导致IP地址不等于用户、端口号不等于应用。在这样的大背景下,如果还向管理者呈现一条条IP、端口等流量日志无助于看清网络中的应用,更不用说洞悉应用上所承载的内容。
下一代防火墙的可视化技术,可以根据应用的行为和特征实现对应用的识别。如果能够实现与多种认证系统(AD、LDAP等)无缝对接的话,还可以进一步自动识别出应用和IP 地址所对应的用户信息,勾画出人-内容-应用的立体画像,满足新一代安全的网络管控要求。
看得全是可视化的第二重境界。下一代防火墙(NGFW)区别于传统防火墙的最大特征是NGFW可以在应用层上构建安全,可以有效抵御应用层威胁。当今应用层攻击的一个大趋势,是从单一攻击手段向复合式攻击演进,一次攻击事件可能会触发AV、IPS等多个安全模块的告警。看的全不但要求NGFW能够看清人、内容、应用,更要能够将分散在不同安全模块上看似割裂的安全事件进行多维度的管理分析,彻底改变以UTM为代表的传统安全设备的信息孤岛诟病,帮助管理者从单一的安全事件了解攻击的完整过程。
这一点看似简单,实现起来并不容易。一体化引擎架构不仅通过“单次解码,并行检测”解决了多安全模块检测所带来的性能瓶颈,更是多安全模块智能数据联动的基础——各安全模块产生的信息可实现全维度关联,使下一代防火墙(NGFW)具备强大的模块间安全协同能力和威胁情报聚合能力,用户无需进行人工挖掘和分析即可全面掌握威胁全貌。
看得透是可视化的更高一层境界。这里所说的“看得透”,指的是NGFW的可视化能力应具备一定的智能分析能力,帮助管理者定位可疑行为以预测风险。通俗一点讲,就是只有做到“见你所未见”,才能实现“知你所不知”。
过去,我们将太多的精力放在了基于安全策略的实时防御上面,但事实证明以策略为核心的防护体系无法完全挡住威胁。近年来占据了安全圈新闻头条的是越来越多的网络失陷事件。为此,业内有厂商提出了以预测为核心的新一代安全防护体系,即通过动态的检测网络异常对后续攻击进行预测,为调整防御策略提供依据。
要实现更准确的预测,除了企业自身的安全运营数据外,还应包括外部的威胁情报。随着云计算、大数据技术的不断成熟,将云端的海量威胁情报信息及大数据的高度智能用于判别日趋复杂的威胁,已成为业界公认的技术发展方向。下一代防火墙应具有与外部威胁情报库联动的能力,并能够利用大数据分析技术,通过威胁情报预测攻击事件,看清威胁特征库中并未收录的未知威胁。
下一代防火墙NGFW,如何突破于可视化?
下一代防火墙NGFW应具有的可视化能力,言简意赅的讲,指的是通过图形化界面的呈现,从用户、应用、威胁等多个维度,体现流量的状况、变化趋势等。这项技术是从传统防火墙的日志、报表功能演变过来的,但与传统防火墙相比NGFW的可视化有几点明显的突破:
1)能够看到基于应用的流量而不是IP、端口;
2)能够提供关联的分析,而不是割裂的看到每一个功能模块的日志;
3)对于统计的数据,具备一定的分析能力,而不是简单的呈现。
当可视化这个传统安全能力具备了以上“下一代”基因后,就赋能以下一代防火墙NGFW实现了安全能力上的突破:对于管理范围内任意一台主机,NGFW都可以精准定位
并实时追踪其网络应用使用情况及与之相关的安全事件,方便管理者清晰的认知网络运行状态。
通过深入的数据挖掘能够形成安全趋势分析,以及各类图形化的统计分析报告,从应用和用户视角多层面的将网络应用的状态展现出来;通过引入外部威胁情报,实现安全态势感知和风险预测功能,解决单机设备与生俱来的短板。
目前很多安全供应商都在致力于下一代防火墙的研究上,而下一代防火墙做的比较好的一些厂商像华为、网康,PA等都可以实现数据防泄漏(DLP)功能,能够针对具有文件传输功能的应用进行传输行为的控制,像网康可以做到完全基于文件自身的属性,而非传统的文件扩展名识别技术,还支持对邮件外发和论坛发帖的内容进行控制和审计。
看不见贼就抓不到贼,而对于下一代防火墙预测则是更高层面上的看见,同时有效的预判并解决这些潜在危机。