網(wǎng)御星云打造中國信息安全新的長城 |
發(fā)布時(shí)間: 2012/8/15 10:26:19 |
新邊界安全中所定義的新邊界包括網(wǎng)絡(luò)安全邊界、應(yīng)用安全邊界、數(shù)據(jù)安全邊界、內(nèi)容安全邊界以及云計(jì)算安全邊界五大部分。其中,網(wǎng)絡(luò)安全邊界已逐步向應(yīng)用安全邊界發(fā)酵并轉(zhuǎn)化,傳統(tǒng)的防火墻也在逐步向應(yīng)用級智能防火墻發(fā)展。在Gartner看來,NGFW是一個(gè)線速(Wire-Speed)網(wǎng)絡(luò)安全處理平臺,定位于企業(yè)網(wǎng)絡(luò)防火墻(Enterprise Network Firewall,F(xiàn)irewall指宏觀意義上的防火墻)市場。在網(wǎng)御星云看來,NGFW+則是一個(gè)高性能多線程專用平臺,通過應(yīng)用感控技術(shù)進(jìn)行識別,同時(shí)能進(jìn)行智能流量控制的綜合型下一代防火墻,定位于政府、行業(yè)以及電信級防火墻(Government、Industry、Telecom)市場。 一、市場NGFW屬性 傳統(tǒng)FW屬性:NGFW必須擁有傳統(tǒng)防火墻所提供的所有功能,如基于連接狀態(tài)的訪問控制、NAT、VPN、HA等等。雖然我們總是在說傳統(tǒng)防火墻已經(jīng)不能滿足用戶需求,但它仍然是一種無可替代的基礎(chǔ)性訪問控制手段。 六元組屬性:網(wǎng)御提供了一個(gè)全網(wǎng)絡(luò)視圖的六元組安全策略,其與以往的五元組相比,最大的優(yōu)勢在于可使得管理員能夠基于實(shí)時(shí)情況、應(yīng)用ID定義安全策略。同時(shí),此策略還可以辨別出來自同一網(wǎng)站的不同應(yīng)用并且可以啟用服務(wù)質(zhì)量選項(xiàng)為這些應(yīng)用優(yōu)先分配帶寬。在訪問控制基礎(chǔ)上取得了質(zhì)的飛躍。 云防御屬性:云安全防御技術(shù)融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念,通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測,獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,傳送到服務(wù)器端進(jìn)行自動分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端,實(shí)現(xiàn)立體全面的防護(hù)。 應(yīng)用感控屬性:NGFW必須具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識別的能力,并執(zhí)行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進(jìn)行語音視頻聊天,或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況,保證關(guān)鍵業(yè)務(wù)的暢通。雖然嚴(yán)格意義上來講應(yīng)用流量優(yōu)化(俗稱應(yīng)用QoS)不是一個(gè)屬于安全范疇的特性,但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實(shí)會導(dǎo)致業(yè)務(wù)中斷等嚴(yán)重安全事件。 智能聯(lián)動屬性:獲取來自“防火墻外面”的信息,做出更合理的訪問控制,例如從域控制器上獲取用戶身份信息,將權(quán)限與訪問控制策略聯(lián)系起來,或是來自URL Filter判定的惡意地址的流量直接由防火墻去阻擋,而不再浪費(fèi)IPS或其他產(chǎn)品的資源去判定。我們理解這個(gè)“外面”也可以是NGFW+本體內(nèi)的其他安全業(yè)務(wù),它們應(yīng)該像之前提到的IPS那樣與防火墻形成緊密的耦合關(guān)系,實(shí)現(xiàn)自動聯(lián)動的效果。 二、NGFW直面UTM 需要注意的是,不同機(jī)構(gòu)對NGFW做出的定義都是最小化的功能集合。站在廠商的角度,勢必要根據(jù)自身技術(shù)積累的情況,在產(chǎn)品上集成更多的安全功能。這導(dǎo)致不同廠商的NGFW產(chǎn)品在功能上可能存在差異,同時(shí)更像一個(gè)大而全的集中化解決方案,給用戶造成了很混亂的印象。用戶大多數(shù)會產(chǎn)生同一個(gè)疑問:NGFW是不是相當(dāng)于一個(gè)加強(qiáng)型的UTM? 實(shí)際上,這里提到的NGFW和UTM都是對廠商包裝后的產(chǎn)品的認(rèn)知,已經(jīng)脫離了最原始的定義。市場分析咨詢機(jī)構(gòu)IDC曾經(jīng)這樣定義UTM:這是一類集成了常用安全功能的設(shè)備,必須包括傳統(tǒng)防火墻、網(wǎng)絡(luò)入侵檢測與防護(hù)和網(wǎng)關(guān)防病毒功能,并且可能會集成其他一些安全或網(wǎng)絡(luò)特性。它簡單明了,讓人易于接受并容易做出判斷。而安全業(yè)務(wù)的集成化,也確實(shí)符合當(dāng)時(shí)的市場需求。有了這樣一個(gè)寬泛的準(zhǔn)入條件,UTM的概念一經(jīng)推出便受到廠商與用戶到一致認(rèn)同,市場份額迅速擴(kuò)大,成長為目前安全市場上的主流產(chǎn)品。 Gartner在其市場分析報(bào)告中對NGFW產(chǎn)品形態(tài)則有著更為細(xì)致的描述。該機(jī)構(gòu)在調(diào)研后認(rèn)為,除了傳統(tǒng)防火墻、VPN,NGFW至少還應(yīng)該具有APP、User、URL過濾和內(nèi)容過濾的能力,并且要支持反惡意軟件(包括病毒、木馬、間諜軟件等)范疇;作為邊緣網(wǎng)關(guān),NGFW必須滿足時(shí)延敏感型應(yīng)用的需求,與之有悖的功能不適合出現(xiàn)在NGFW上。 通過上面的分析,我們可以得出明確的結(jié)論:UTM和NGFW只是針對不同級別用戶的需求,對宏觀意義上的防火墻的功能進(jìn)行了更有針對性的歸納總結(jié),是互為補(bǔ)充的關(guān)系。無論從產(chǎn)品與技術(shù)發(fā)展角度還是市場角度看,它們與IDC定義的UTM一樣,都是不同時(shí)間情況下對邊緣網(wǎng)關(guān)集成多種安全業(yè)務(wù)的階段性描述,其出發(fā)點(diǎn)就是用戶需求變化產(chǎn)生的牽引力。 三、NGFW產(chǎn)品現(xiàn)狀 目前,在國內(nèi)安全市場,各安全廠商也在為自己的NGFW產(chǎn)品造勢,但基本上都是處于宣傳階段,無實(shí)際產(chǎn)品正式發(fā)布,NGFW的市場前景會進(jìn)一步擴(kuò)大化,國內(nèi)安全廠商將在更細(xì)化的區(qū)域進(jìn)行白刃PK。網(wǎng)御星云公司則早在2010年初就已立項(xiàng)啟動下一代智能感控防火墻的研發(fā),當(dāng)前正經(jīng)歷臨床試驗(yàn)階段,其功能包括所有NGFW的特質(zhì),并融合網(wǎng)御的云防御理念,預(yù)計(jì)2011年下半年將全面上市。 四、如何評估NGFW NGFW屬于新生產(chǎn)品,目前業(yè)界對其還沒有一個(gè)公認(rèn)的測試標(biāo)準(zhǔn),甚至獨(dú)立的測試報(bào)告都寥寥無幾。隨著網(wǎng)絡(luò)應(yīng)用的增加以及云計(jì)算的發(fā)展,對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外,在以后幾年里,多媒體應(yīng)用將會越來越普遍,它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小,所以如何判斷下一代防火墻好壞應(yīng)從以下幾個(gè)方面綜合評估: 硬件架構(gòu)方面:在近幾年,一些防火墻制造商開發(fā)了基于ASIC的防火墻,從執(zhí)行速度的角度看來,基于加上芯片的防火墻也是取決于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,雖然這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎,能減輕CPU的負(fù)擔(dān),性能要比傳統(tǒng)防火墻的性能好許多,但這也存在很多問題,ASIC主要處理網(wǎng)絡(luò)層數(shù)據(jù),而當(dāng)今應(yīng)用層已經(jīng)占據(jù)半壁江山,雖然起到加速作用,但效果甚微,另一方面,由于ASIC對新建并發(fā)、最大并發(fā)連接并不起多大作用,防火墻的并發(fā)瓶頸并未得到真正解決,人們更多的傾向于多核MIPS技術(shù),所以,多核多線程并行處理技術(shù)既能解決高并發(fā)的問題,也能處理應(yīng)用層協(xié)議,這一方向得到了多數(shù)安全廠商的認(rèn)可。 易用界面方面:管理界面的易用性也是不容忽視的評估要素。雖然用戶識別/控制和統(tǒng)一的策略框架不是NGFW定義中的強(qiáng)制功能,但根據(jù)用戶的實(shí)際需求出發(fā),在該領(lǐng)域應(yīng)做出更加深入的用戶體驗(yàn)改善。用戶應(yīng)當(dāng)考察NGFW產(chǎn)品是否可以通過獲取域控制器信息或Web認(rèn)證等手段,做到IP與用戶身份的綁定,再通過統(tǒng)一的策略框架進(jìn)行更加直觀、簡單的權(quán)限定義,以達(dá)到“允許市場部門的所有員工從任何位置訪問新浪微博”、“只允許IT部門員工從特定位置使用SSH、Telnet、遠(yuǎn)程桌面應(yīng)用”等以用戶、應(yīng)用為核心元素的訪問控制策略配置模式。易用性的另一個(gè)重要體現(xiàn)是設(shè)備是否提供中文的WebUI、報(bào)表系統(tǒng)、端點(diǎn)套件和集中管理系統(tǒng)。 性能測試方面:許多用戶都知道針對傳統(tǒng)防火墻有RFC2544、RFC3511、GB/T 20281-2006這樣公認(rèn)的測試規(guī)范。這類產(chǎn)品的業(yè)務(wù)模型比較單一,有經(jīng)驗(yàn)的測試人員或管理員會依照規(guī)范測得的結(jié)果,甚至可以憑經(jīng)驗(yàn)去預(yù)估防火墻在某個(gè)特定場景中的性能衰減幅度。而當(dāng)網(wǎng)關(guān)設(shè)備使用的訪問控制技術(shù)走進(jìn)應(yīng)用層感控時(shí)代開始,實(shí)驗(yàn)室環(huán)境中進(jìn)行的標(biāo)準(zhǔn)化測試就失去了原有的指導(dǎo)意義。而NGFW產(chǎn)品在進(jìn)行性能評估時(shí)會更復(fù)雜,用戶必須根據(jù)自身的業(yè)務(wù)需求,抽象出與之吻合的流量模型,進(jìn)行細(xì)致的、有針對性的測試工作,才能得到有價(jià)值的評估依據(jù)。并且在測試過程中,應(yīng)時(shí)刻以“尋找最差性能”的目標(biāo),方可在未來的實(shí)際使用中規(guī)避性能瓶頸。 五、網(wǎng)御NGFW+產(chǎn)品 網(wǎng)御星云公司早在2010年初就已立項(xiàng)啟動下一代智能感控防火墻的研發(fā),當(dāng)前正經(jīng)歷臨床試驗(yàn)階段,功能包括所有NGFW的特質(zhì),并融合網(wǎng)御的云防御理念的NGFW+新生代產(chǎn)品,預(yù)計(jì)2011年下半年將全面上市,其產(chǎn)品特點(diǎn)及核心技術(shù)有以下幾點(diǎn): 5.1、應(yīng)用感控 應(yīng)用感控技術(shù)不同于傳統(tǒng)的基于端口和協(xié)議的狀態(tài)包過濾技術(shù),這種技術(shù)能通過流量識別網(wǎng)絡(luò)上的應(yīng)用程序,基于應(yīng)用ID進(jìn)行智能識別與控制,同時(shí),可以辨別出來自同一網(wǎng)站的不同應(yīng)用并且可以啟用服務(wù)質(zhì)量選項(xiàng)為這些應(yīng)用優(yōu)先分配帶寬。達(dá)到了六元組的新型智能應(yīng)用過濾技術(shù),既可以進(jìn)行應(yīng)用識別,也可以做到對應(yīng)用的細(xì)粒度控制。 5.2、云安全防御 云安全防御技術(shù)融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念,通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測,獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,傳送到服務(wù)器端進(jìn)行自動分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。實(shí)現(xiàn)立體全面的防護(hù)。 5.3、WEB主動過濾 這種技術(shù)通常認(rèn)為是在UTM上實(shí)現(xiàn),但在下一代防火墻中,這種需求也越來越明顯,實(shí)際上Web過濾是指上網(wǎng)監(jiān)控功能,具備內(nèi)容過濾的安全網(wǎng)關(guān)通過多重過濾與保護(hù),對內(nèi)容和網(wǎng)址進(jìn)行監(jiān)控,對內(nèi)容不良的網(wǎng)站實(shí)行過濾,從而實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)部人員上網(wǎng)進(jìn)行監(jiān)控URL的屏蔽列表。 5.4、IPv6網(wǎng)絡(luò)安全 雖然IPv6在網(wǎng)絡(luò)廠商應(yīng)用較為廣泛,但在安全廠商中,支持IPv6的網(wǎng)絡(luò)安全產(chǎn)品(如防火墻、UTM、IPS等)還是較少,具體功能包括:IPv6環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、OSPF動態(tài)路由、FTP、ALG等基本安全控制,以及IPv6/v4 雙協(xié)議棧功能;設(shè)備在同一信息安全網(wǎng)絡(luò)中同時(shí)支持 IPv4 和IPv6協(xié)議的安全控制日漸得到關(guān)注。 5.5、多核高性能 高性能多核技術(shù)為工程師們打開了另一扇門-它是把更多的CPU壓在一個(gè)芯片當(dāng)中以提高整個(gè)芯片處理交易事務(wù)的能力。以8核為例,在一塊CPU基板上集成8個(gè)處理器核心,通過并行總線將各處理器核心連接起來,一般多核芯片都會集成一些針對比較耗費(fèi)資源處理的硬件加速引擎。比如XLR內(nèi)置的網(wǎng)絡(luò)加速器可以對從網(wǎng)絡(luò)接口進(jìn)入XLR的數(shù)據(jù)包進(jìn)行高速預(yù)處理。拿以太網(wǎng)包舉例,XLR的網(wǎng)絡(luò)加速器可以對以太網(wǎng)包2層、3層、4層的內(nèi)容進(jìn)行辨析,提取特征串,自動完成校驗(yàn)和驗(yàn)證,把包DMA(Direct Memory Access)到內(nèi)存,構(gòu)造以太網(wǎng)包描述符(Descriptor),然后可以基于多種策略把以太網(wǎng)描述符快速均衡的分流到指定的vCPU。這樣,既可以提升網(wǎng)絡(luò)層處理性能,也可以加速處理應(yīng)用層檢測速率,小包性能以及并發(fā)數(shù)顯著提升,并且多核芯片內(nèi)建應(yīng)用加速安全引擎,在硬件層面上就可以支持AES,DES/3DES,SHA-1,SHA-256,MD5算法,最大可提供10Gbps的VPN加密解密運(yùn)算能力。 5.6、NGFW+自身高安全 如果防火墻系統(tǒng)本身被攻擊者突破或迂回,對內(nèi)部系統(tǒng)來說它就毫無意義。因此,保障防火墻自身的安全是實(shí)現(xiàn)系統(tǒng)安全的前提。一個(gè)防火墻要抵御黑客的攻擊必須具有嚴(yán)密的體系結(jié)構(gòu)和安全的網(wǎng)絡(luò)結(jié)構(gòu)。 不同類型的拒絕服務(wù)攻擊。理想情況下,防火墻應(yīng)該采取直截了當(dāng)?shù)姆绞,比如將?shù)據(jù)包打回或干脆關(guān)閉防火墻的方式。 六、網(wǎng)御NGFW+安全解決方案 網(wǎng)御下一代防火墻分為KingGuard萬兆系列、Super V高端系列、Power V中高端系列和Smart V低端系列,共計(jì)80余款,可為各種規(guī)模的企業(yè)和政府機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)提供相適應(yīng)的產(chǎn)品。網(wǎng)御防火墻已在稅務(wù)、公安、政府、軍隊(duì)、能源、交通、電信、金融、制造等各行業(yè)中部署50000臺以上。KingGuard、Super V系列采用高性能的RSIC多核架構(gòu),并結(jié)合國內(nèi)首創(chuàng)的WindRunner矩陣式并行處理技術(shù),將多顆CPU排成矩陣,在對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行IPv4/IPv6雙協(xié)議棧的策略匹配、抗攻擊、內(nèi)容過濾、加解密、QOS、日志等多項(xiàng)業(yè)務(wù)處理時(shí),采用并行計(jì)算和流水線兩個(gè)維度進(jìn)行并行處理,確保了高安全的前提下的高性能處理。Power V系列采用基于應(yīng)用識別的綠色上網(wǎng)控制模塊,并在Power V-4000及3000系列集成了專用ASIC加速硬件芯片,使得小包高達(dá)10Gbps;Power V是已部署3萬多臺套的高可用多威脅統(tǒng)一管理的下一代防火墻系列。Smart V系列是集成防火墻、VPN、交換機(jī)、主動防御等功能于一身,可采用機(jī)架型和桌面型兩種設(shè)備部署方案,適合各類大集團(tuán)的分支機(jī)構(gòu)、區(qū)縣級政府機(jī)關(guān)、小型企業(yè)及SOHO用戶。 在應(yīng)用感控與云安全技術(shù)方面,網(wǎng)御下一代防火墻結(jié)合VSP、USE、MRP等核心安全技術(shù),通過智能感控技術(shù)收集攻擊檢測源和掛馬網(wǎng)站URL等特征,,與已部署的防病毒網(wǎng)關(guān)、IPS、UTM、Guard等設(shè)備聯(lián)合抓取病毒源、攻擊檢測源和掛馬網(wǎng)站URL等特征,匯集至云防御服務(wù)器定時(shí)收納合并,云防御服務(wù)器動態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有網(wǎng)御安全網(wǎng)關(guān)設(shè)備中,使其他設(shè)備也具有防病毒、IPS、防掛馬等功能,同時(shí)使其具備更高的處理性能,共同形成整體可信架構(gòu)云防御體系。網(wǎng)御公司提前部署可信架構(gòu)“云防御”體系,主動防御未知威脅,網(wǎng)御下一代防火墻在不斷變化的威脅環(huán)境、不斷變化的業(yè)務(wù)IT流程、不斷更新的云威脅下,為用戶提供真正有價(jià)值的信息安全整體防護(hù)方案,使信息安全3.0時(shí)代提前到來。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |