眾所周知��,防火墻產(chǎn)品從上世紀(jì)九十年代至今����,歷經(jīng)系統(tǒng)架構(gòu)和軟件形態(tài)的多次革新�,從最早的基于包過(guò)濾的防火墻到狀態(tài)監(jiān)測(cè)防火墻,到今天我們見(jiàn)證下一代防火墻(NGFW)的崛起�����。NGFW代表著用戶對(duì)防火墻產(chǎn)品提出的更高要求�,企業(yè)IT負(fù)責(zé)人希望他們所選擇的防火墻能夠根據(jù)不斷變化的業(yè)務(wù)需求和新生的安全威脅在保持高性能的同時(shí)進(jìn)行動(dòng)態(tài)的自我調(diào)節(jié)��。
山石網(wǎng)科給下一代防火墻打上的標(biāo)簽是“智能”����,山石網(wǎng)科產(chǎn)品副總裁王鐘認(rèn)為�����,“一直以來(lái)��,所有的安全設(shè)備扮演的角色����,都是執(zhí)行者。如今�,安全技術(shù)正在經(jīng)歷著一個(gè)根本的變革,從被動(dòng)的以威脅為核心的技術(shù)向主動(dòng)的以風(fēng)險(xiǎn)為核心的方向轉(zhuǎn)變���。而下一代防火墻應(yīng)該從一個(gè)單純的執(zhí)行者�,變成一個(gè)建設(shè)性的執(zhí)行者����。企業(yè)面臨的不再是毫無(wú)頭緒的結(jié)果,而是一種貼心的安全建議,這是下一代防火墻所具備的能力��。”
下一代的NGFW:智能
防火墻演進(jìn)到下一代����,那下一代的下一代是什么?在山石網(wǎng)科眼中是“智能”。之所以是下一代智能防火墻��,是因?yàn)镹GFW存在一些問(wèn)題�����,NGFW無(wú)法根據(jù)行為調(diào)整安全策略��。
山石網(wǎng)科認(rèn)為���,NGFW不會(huì)將用戶行為關(guān)聯(lián)到用戶對(duì)流量的使用和其他事件上。具體來(lái)講����,NGFW無(wú)法從時(shí)間維度上分析收到的信息,因此只能對(duì)用戶指定特定的訪問(wèn)級(jí)別�����,而無(wú)法進(jìn)行動(dòng)態(tài)的調(diào)整,但實(shí)際上用戶可能需要根據(jù)感知到的風(fēng)險(xiǎn)改變?cè)L問(wèn)策略����。
NGFW不會(huì)關(guān)注流量中的異常,包括與其他類似用戶或系統(tǒng)所關(guān)聯(lián)出的異��;螂S時(shí)間顯現(xiàn)出的異常�。例如,長(zhǎng)時(shí)間沒(méi)有太多行為的用戶突然變得活躍��,或web服務(wù)器的響應(yīng)時(shí)間和速度大幅度降低�,這些都是應(yīng)該調(diào)查的可疑事件。
下一代智能防火墻能給我們帶來(lái)的是什么?王鐘指出���,它降低了安全管理的風(fēng)險(xiǎn)�,同時(shí)降低了安全管理的運(yùn)維費(fèi)用和成本��。當(dāng)具備智能能力的時(shí)候�,某個(gè)安全事件的防范會(huì)變成一個(gè)主動(dòng)的防范。同時(shí)���,對(duì)于安全事件的分析來(lái)說(shuō)���,之前所有的分析都是單獨(dú)的分析,需要人工去挖掘。有了智能以后����,這個(gè)安全事件的分析,就變成一種智能的分析�、相關(guān)的分析和主動(dòng)的分析。
另外����,下一代智能防火墻能夠?qū)Π踩土髁繑?shù)據(jù)進(jìn)行深度的數(shù)據(jù)分析,并進(jìn)行主動(dòng)監(jiān)測(cè)�,這樣可以為用戶提供基于風(fēng)險(xiǎn)的安全保障。管理員可以基于感知到的風(fēng)險(xiǎn)進(jìn)行安全管控�,在事發(fā)之前防范安全問(wèn)題或系統(tǒng)網(wǎng)絡(luò)中斷。
在王鐘看來(lái)����,具備了智能特性以后����,安全不再是從攻擊出發(fā),因?yàn)楹芏喙羰悄陱?fù)一年��、日復(fù)一日持續(xù)進(jìn)行的攻擊����。安全也不是從規(guī)則出發(fā)�����,因?yàn)橐?guī)則只是一個(gè)手段�。其實(shí)應(yīng)該從數(shù)據(jù)出發(fā)���,從多個(gè)維度進(jìn)行設(shè)備當(dāng)前狀態(tài)和歷史狀態(tài)的數(shù)據(jù)分析�,幫助管理員實(shí)時(shí)掌握網(wǎng)絡(luò)當(dāng)前狀態(tài)����,并且能夠快速通過(guò)關(guān)聯(lián)操作進(jìn)行相關(guān)控制。
雙指數(shù)打分 反映網(wǎng)絡(luò)和威脅狀態(tài)
既然說(shuō)到智能�����,對(duì)于最終用戶又是如何體現(xiàn)的呢?山石網(wǎng)科發(fā)布的下一代智能防火墻���,對(duì)于管理員來(lái)說(shuō)可以基于感知到的風(fēng)險(xiǎn)進(jìn)行安全管控�����,在事發(fā)之前防范安全問(wèn)題或系統(tǒng)網(wǎng)絡(luò)中斷����。并允許用戶全局總覽網(wǎng)絡(luò)、用戶和應(yīng)用���,并動(dòng)態(tài)控制策略�。
山石網(wǎng)科市場(chǎng)副總裁張凌齡認(rèn)為���,在一個(gè)以風(fēng)險(xiǎn)為核心的安全管理中����,監(jiān)控和檢測(cè)技術(shù)就顯得尤為重要��。首先早期的檢測(cè)很重要;其次我們不能只是依賴于攻擊特征庫(kù)��,攻擊特征庫(kù)對(duì)于首次出現(xiàn)的零日攻擊沒(méi)有作用�����,并且現(xiàn)代先進(jìn)的攻擊每一個(gè)都是“不同的”���,特征迥異,不容易判斷;而持續(xù)的攻擊讓基于時(shí)間軸的行為模式分析顯得異常重要���。這就需要一種技術(shù)�,能夠在正常的網(wǎng)絡(luò)活動(dòng)中發(fā)現(xiàn)“變化”,找到攻擊或者入侵的早期征兆���,從而實(shí)現(xiàn)“防范于未然”�����。
山石網(wǎng)科認(rèn)為防火墻不應(yīng)該只是“一堵墻”���,智能的防火墻是一個(gè)平臺(tái),它在網(wǎng)絡(luò)的核心節(jié)點(diǎn)上監(jiān)控著網(wǎng)絡(luò)�、用戶和應(yīng)用的健康狀況。山石網(wǎng)科采用了一個(gè)全新的方法�,通過(guò)兩個(gè)指數(shù),給重要的監(jiān)控目標(biāo)打分�,通過(guò)這樣的方法來(lái)直觀地反映網(wǎng)絡(luò)和威脅的狀態(tài)。首先通過(guò)全網(wǎng)健康指數(shù)(NHI)來(lái)監(jiān)控網(wǎng)絡(luò)環(huán)境健康;然后通過(guò)行為信譽(yù)指數(shù)(BRI) 來(lái)對(duì)用戶����、應(yīng)用和服務(wù)主體打分。有了這樣的一個(gè)信譽(yù)評(píng)分制�����,管理員就可以根據(jù)用戶的信譽(yù)分?jǐn)?shù)來(lái)動(dòng)態(tài)調(diào)整策略,決定是否讓他進(jìn)入網(wǎng)絡(luò)��。張凌齡表示��,這個(gè)方法的重要意義在于將“信譽(yù)”作為第八元組引入防火墻的控制����,使防火墻在原有的防護(hù)基礎(chǔ)上增加了對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制。
張凌齡指出��,全網(wǎng)健康指數(shù)通過(guò)主動(dòng)檢測(cè)的技術(shù)��,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的聯(lián)通性����。通、堵還是斷了���、設(shè)備資源的利用情況�,CPU/內(nèi)存的使用情況�����、業(yè)務(wù)服務(wù)器響應(yīng)的延遲情況�����,通過(guò)一個(gè)專利的算法�,形成網(wǎng)絡(luò)整體的健康指數(shù),供管理員參考���。如果業(yè)務(wù)服務(wù)延遲大于正常����,在我們的算法中認(rèn)為整網(wǎng)健康都有危險(xiǎn)����,對(duì)管理員會(huì)做響應(yīng)的預(yù)警。
行為信譽(yù)度以用戶為例����,比如說(shuō)發(fā)現(xiàn)某一用戶有大量非法下載,使用網(wǎng)絡(luò)掃描工具���,并且多次重試服務(wù)器密碼等行為�����,這些關(guān)聯(lián)的事件會(huì)影響該用戶在網(wǎng)絡(luò)中的信譽(yù)分?jǐn)?shù)��。他的這些行為會(huì)引起管理員的警覺(jué)��。
“總結(jié)起來(lái)�,山石網(wǎng)科下一代智能防火墻就是在準(zhǔn)確、深度辨識(shí)用戶身份��、服務(wù)器和應(yīng)用的基礎(chǔ)上����,對(duì)其進(jìn)行長(zhǎng)期監(jiān)控;分別以全網(wǎng)健康指數(shù)對(duì)網(wǎng)絡(luò)健康狀態(tài)打分;以行為信譽(yù)指數(shù)對(duì)用戶及服務(wù)器狀態(tài)打分,然后對(duì)“高危”人員或者“高危”服務(wù)器實(shí)行相應(yīng)的預(yù)警或者有效的控制��。”張凌齡說(shuō)�。
王鐘強(qiáng)調(diào),雖然這兩個(gè)指數(shù)呈現(xiàn)出來(lái)的只是一個(gè)數(shù)字�,但數(shù)據(jù)背后是大量的數(shù)據(jù)挖掘和分析來(lái)做決策的支撐。兩個(gè)指數(shù)背后的是智能�,呈現(xiàn)給用戶的是簡(jiǎn)單,是因?yàn)槲覀儼褟?fù)雜的東西隱藏在簡(jiǎn)單背后���。
據(jù)悉��,山石網(wǎng)科下一代智能防火墻的技術(shù)愿景將分為三個(gè)階段完成�����,T5060的發(fā)布是分享其理念和第一階段的成果�。第一階段以實(shí)現(xiàn)全網(wǎng)的健康狀態(tài)的檢測(cè)和監(jiān)控為核心;第二階段,實(shí)現(xiàn)對(duì)用戶�、服務(wù)器及服務(wù)的行為信譽(yù)監(jiān)控����,并且通過(guò)關(guān)聯(lián)分析對(duì)僵尸網(wǎng)絡(luò)、異常行為及APT攻擊做預(yù)警和報(bào)告;第三階段�����,將在監(jiān)控和報(bào)告的基礎(chǔ)上���,實(shí)現(xiàn)動(dòng)態(tài)的策略調(diào)整和控制��。
