新邊界安全中所定義的新邊界包括網(wǎng)絡安全邊界�����、應用安全邊界���、數(shù)據(jù)安全邊界�、內容安全邊界以及云計算安全邊界五大部分��。其中����,網(wǎng)絡安全邊界已逐步向應用安全邊界發(fā)酵并轉化,傳統(tǒng)的防火墻也在逐步向應用級智能防火墻發(fā)展�。在Gartner看來,NGFW是一個線速(Wire-Speed)網(wǎng)絡安全處理平臺����,定位于企業(yè)網(wǎng)絡防火墻(Enterprise Network Firewall��,F(xiàn)irewall指宏觀意義上的防火墻)市場���。在網(wǎng)御星云看來,NGFW+則是一個高性能多線程專用平臺����,通過應用感控技術進行識別�����,同時能進行智能流量控制的綜合型下一代防火墻�,定位于政府、行業(yè)以及電信級防火墻(Government�����、Industry����、Telecom)市場。
一�����、市場NGFW屬性
傳統(tǒng)FW屬性:NGFW必須擁有傳統(tǒng)防火墻所提供的所有功能,如基于連接狀態(tài)的訪問控制���、NAT���、VPN、HA等等��。雖然我們總是在說傳統(tǒng)防火墻已經(jīng)不能滿足用戶需求���,但它仍然是一種無可替代的基礎性訪問控制手段���。
六元組屬性:網(wǎng)御提供了一個全網(wǎng)絡視圖的六元組安全策略,其與以往的五元組相比�,最大的優(yōu)勢在于可使得管理員能夠基于實時情況、應用ID定義安全策略����。同時,此策略還可以辨別出來自同一網(wǎng)站的不同應用并且可以啟用服務質量選項為這些應用優(yōu)先分配帶寬�����。在訪問控制基礎上取得了質的飛躍。
云防御屬性:云安全防御技術融合了并行處理�、網(wǎng)格計算、未知病毒行為判斷等新興技術和概念���,通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測���,獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息����,傳送到服務器端進行自動分析和處理�,再把病毒和木馬的解決方案分發(fā)到每一個客戶端,實現(xiàn)立體全面的防護�����。
應用感控屬性:NGFW必須具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進行應用識別的能力�����,并執(zhí)行訪問控制策略�����。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進行語音視頻聊天�����,或者允許使用WebMail收發(fā)郵件但不允許附加文件等����。應用識別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況,保證關鍵業(yè)務的暢通���。雖然嚴格意義上來講應用流量優(yōu)化(俗稱應用QoS)不是一個屬于安全范疇的特性��,但P2P下載����、在線視頻等網(wǎng)絡濫用確實會導致業(yè)務中斷等嚴重安全事件��。
智能聯(lián)動屬性:獲取來自“防火墻外面”的信息���,做出更合理的訪問控制�����,例如從域控制器上獲取用戶身份信息����,將權限與訪問控制策略聯(lián)系起來,或是來自URL Filter判定的惡意地址的流量直接由防火墻去阻擋��,而不再浪費IPS或其他產(chǎn)品的資源去判定���。我們理解這個“外面”也可以是NGFW+本體內的其他安全業(yè)務���,它們應該像之前提到的IPS那樣與防火墻形成緊密的耦合關系,實現(xiàn)自動聯(lián)動的效果���。
二�、NGFW直面UTM
需要注意的是��,不同機構對NGFW做出的定義都是最小化的功能集合��。站在廠商的角度��,勢必要根據(jù)自身技術積累的情況��,在產(chǎn)品上集成更多的安全功能���。這導致不同廠商的NGFW產(chǎn)品在功能上可能存在差異��,同時更像一個大而全的集中化解決方案��,給用戶造成了很混亂的印象�����。用戶大多數(shù)會產(chǎn)生同一個疑問:NGFW是不是相當于一個加強型的UTM���?
實際上,這里提到的NGFW和UTM都是對廠商包裝后的產(chǎn)品的認知���,已經(jīng)脫離了最原始的定義���。市場分析咨詢機構IDC曾經(jīng)這樣定義UTM:這是一類集成了常用安全功能的設備,必須包括傳統(tǒng)防火墻�����、網(wǎng)絡入侵檢測與防護和網(wǎng)關防病毒功能�����,并且可能會集成其他一些安全或網(wǎng)絡特性�����。它簡單明了,讓人易于接受并容易做出判斷���。而安全業(yè)務的集成化��,也確實符合當時的市場需求���。有了這樣一個寬泛的準入條件,UTM的概念一經(jīng)推出便受到廠商與用戶到一致認同���,市場份額迅速擴大����,成長為目前安全市場上的主流產(chǎn)品�����。
Gartner在其市場分析報告中對NGFW產(chǎn)品形態(tài)則有著更為細致的描述�。該機構在調研后認為�����,除了傳統(tǒng)防火墻、VPN�����,NGFW至少還應該具有APP�����、User�����、URL過濾和內容過濾的能力�,并且要支持反惡意軟件(包括病毒��、木馬���、間諜軟件等)范疇���;作為邊緣網(wǎng)關�,NGFW必須滿足時延敏感型應用的需求�����,與之有悖的功能不適合出現(xiàn)在NGFW上。
通過上面的分析��,我們可以得出明確的結論:UTM和NGFW只是針對不同級別用戶的需求�,對宏觀意義上的防火墻的功能進行了更有針對性的歸納總結,是互為補充的關系��。無論從產(chǎn)品與技術發(fā)展角度還是市場角度看�����,它們與IDC定義的UTM一樣����,都是不同時間情況下對邊緣網(wǎng)關集成多種安全業(yè)務的階段性描述,其出發(fā)點就是用戶需求變化產(chǎn)生的牽引力�����。
三����、NGFW產(chǎn)品現(xiàn)狀
目前,在國內安全市場�����,各安全廠商也在為自己的NGFW產(chǎn)品造勢��,但基本上都是處于宣傳階段�����,無實際產(chǎn)品正式發(fā)布����,NGFW的市場前景會進一步擴大化,國內安全廠商將在更細化的區(qū)域進行白刃PK����。網(wǎng)御星云公司則早在2010年初就已立項啟動下一代智能感控防火墻的研發(fā),當前正經(jīng)歷臨床試驗階段���,其功能包括所有NGFW的特質���,并融合網(wǎng)御的云防御理念,預計2011年下半年將全面上市��。
四����、如何評估NGFW
NGFW屬于新生產(chǎn)品�����,目前業(yè)界對其還沒有一個公認的測試標準����,甚至獨立的測試報告都寥寥無幾��。隨著網(wǎng)絡應用的增加以及云計算的發(fā)展����,對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)�����。另外�����,在以后幾年里�,多媒體應用將會越來越普遍,它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小��,所以如何判斷下一代防火墻好壞應從以下幾個方面綜合評估:
硬件架構方面:在近幾年,一些防火墻制造商開發(fā)了基于ASIC的防火墻��,從執(zhí)行速度的角度看來�,基于加上芯片的防火墻也是取決于軟件的解決方案���,它需要在很大程度上依賴于軟件的性能����,雖然這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務的引擎��,能減輕CPU的負擔�����,性能要比傳統(tǒng)防火墻的性能好許多�,但這也存在很多問題,ASIC主要處理網(wǎng)絡層數(shù)據(jù)����,而當今應用層已經(jīng)占據(jù)半壁江山,雖然起到加速作用��,但效果甚微���,另一方面�,由于ASIC對新建并發(fā)、最大并發(fā)連接并不起多大作用�,防火墻的并發(fā)瓶頸并未得到真正解決,人們更多的傾向于多核MIPS技術�,所以,多核多線程并行處理技術既能解決高并發(fā)的問題����,也能處理應用層協(xié)議,這一方向得到了多數(shù)安全廠商的認可���。
易用界面方面:管理界面的易用性也是不容忽視的評估要素����。雖然用戶識別/控制和統(tǒng)一的策略框架不是NGFW定義中的強制功能���,但根據(jù)用戶的實際需求出發(fā)��,在該領域應做出更加深入的用戶體驗改善���。用戶應當考察NGFW產(chǎn)品是否可以通過獲取域控制器信息或Web認證等手段,做到IP與用戶身份的綁定����,再通過統(tǒng)一的策略框架進行更加直觀�����、簡單的權限定義�����,以達到“允許市場部門的所有員工從任何位置訪問新浪微博”、“只允許IT部門員工從特定位置使用SSH���、Telnet���、遠程桌面應用”等以用戶、應用為核心元素的訪問控制策略配置模式�。易用性的另一個重要體現(xiàn)是設備是否提供中文的WebUI、報表系統(tǒng)�����、端點套件和集中管理系統(tǒng)�����。
性能測試方面:許多用戶都知道針對傳統(tǒng)防火墻有RFC2544、RFC3511��、GB/T 20281-2006這樣公認的測試規(guī)范���。這類產(chǎn)品的業(yè)務模型比較單一�,有經(jīng)驗的測試人員或管理員會依照規(guī)范測得的結果�,甚至可以憑經(jīng)驗去預估防火墻在某個特定場景中的性能衰減幅度。而當網(wǎng)關設備使用的訪問控制技術走進應用層感控時代開始�����,實驗室環(huán)境中進行的標準化測試就失去了原有的指導意義����。而NGFW產(chǎn)品在進行性能評估時會更復雜,用戶必須根據(jù)自身的業(yè)務需求�,抽象出與之吻合的流量模型,進行細致的��、有針對性的測試工作�,才能得到有價值的評估依據(jù)。并且在測試過程中���,應時刻以“尋找最差性能”的目標��,方可在未來的實際使用中規(guī)避性能瓶頸��。
五�����、網(wǎng)御NGFW+產(chǎn)品
網(wǎng)御星云公司早在2010年初就已立項啟動下一代智能感控防火墻的研發(fā)����,當前正經(jīng)歷臨床試驗階段,功能包括所有NGFW的特質��,并融合網(wǎng)御的云防御理念的NGFW+新生代產(chǎn)品����,預計2011年下半年將全面上市��,其產(chǎn)品特點及核心技術有以下幾點:
5.1�����、應用感控
應用感控技術不同于傳統(tǒng)的基于端口和協(xié)議的狀態(tài)包過濾技術�����,這種技術能通過流量識別網(wǎng)絡上的應用程序,基于應用ID進行智能識別與控制����,同時,可以辨別出來自同一網(wǎng)站的不同應用并且可以啟用服務質量選項為這些應用優(yōu)先分配帶寬����。達到了六元組的新型智能應用過濾技術,既可以進行應用識別�����,也可以做到對應用的細粒度控制��。
5.2���、云安全防御
云安全防御技術融合了并行處理����、網(wǎng)格計算��、未知病毒行為判斷等新興技術和概念���,通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測���,獲取互聯(lián)網(wǎng)中木馬����、惡意程序的最新信息����,傳送到服務器端進行自動分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個客戶端����。實現(xiàn)立體全面的防護。
5.3��、WEB主動過濾
這種技術通常認為是在UTM上實現(xiàn)�,但在下一代防火墻中,這種需求也越來越明顯���,實際上Web過濾是指上網(wǎng)監(jiān)控功能,具備內容過濾的安全網(wǎng)關通過多重過濾與保護�,對內容和網(wǎng)址進行監(jiān)控,對內容不良的網(wǎng)站實行過濾����,從而實現(xiàn)對網(wǎng)絡內部人員上網(wǎng)進行監(jiān)控URL的屏蔽列表��。
5.4���、IPv6網(wǎng)絡安全
雖然IPv6在網(wǎng)絡廠商應用較為廣泛,但在安全廠商中�����,支持IPv6的網(wǎng)絡安全產(chǎn)品(如防火墻�、UTM、IPS等)還是較少���,具體功能包括:IPv6環(huán)境下的狀態(tài)包過濾�����、靜態(tài)路由���、OSPF動態(tài)路由、FTP���、ALG等基本安全控制���,以及IPv6/v4 雙協(xié)議棧功能��;設備在同一信息安全網(wǎng)絡中同時支持 IPv4 和IPv6協(xié)議的安全控制日漸得到關注�。
5.5��、多核高性能
高性能多核技術為工程師們打開了另一扇門-它是把更多的CPU壓在一個芯片當中以提高整個芯片處理交易事務的能力���。以8核為例��,在一塊CPU基板上集成8個處理器核心�����,通過并行總線將各處理器核心連接起來�����,一般多核芯片都會集成一些針對比較耗費資源處理的硬件加速引擎�。比如XLR內置的網(wǎng)絡加速器可以對從網(wǎng)絡接口進入XLR的數(shù)據(jù)包進行高速預處理����。拿以太網(wǎng)包舉例����,XLR的網(wǎng)絡加速器可以對以太網(wǎng)包2層�、3層���、4層的內容進行辨析�����,提取特征串��,自動完成校驗和驗證��,把包DMA(Direct Memory Access)到內存��,構造以太網(wǎng)包描述符(Descriptor)�,然后可以基于多種策略把以太網(wǎng)描述符快速均衡的分流到指定的vCPU�。這樣,既可以提升網(wǎng)絡層處理性能���,也可以加速處理應用層檢測速率��,小包性能以及并發(fā)數(shù)顯著提升���,并且多核芯片內建應用加速安全引擎����,在硬件層面上就可以支持AES����,DES/3DES,SHA-1,SHA-256,MD5算法,最大可提供10Gbps的VPN加密解密運算能力���。
5.6��、NGFW+自身高安全
如果防火墻系統(tǒng)本身被攻擊者突破或迂回���,對內部系統(tǒng)來說它就毫無意義。因此��,保障防火墻自身的安全是實現(xiàn)系統(tǒng)安全的前提�����。一個防火墻要抵御黑客的攻擊必須具有嚴密的體系結構和安全的網(wǎng)絡結構���。 不同類型的拒絕服務攻擊�。理想情況下�����,防火墻應該采取直截了當?shù)姆绞�,比如將?shù)據(jù)包打回或干脆關閉防火墻的方式。
六���、網(wǎng)御NGFW+安全解決方案
網(wǎng)御下一代防火墻分為KingGuard萬兆系列�、Super V高端系列�、Power V中高端系列和Smart V低端系列,共計80余款�,可為各種規(guī)模的企業(yè)和政府機構網(wǎng)絡系統(tǒng)提供相適應的產(chǎn)品。網(wǎng)御防火墻已在稅務���、公安�����、政府�、軍隊�、能源、交通��、電信����、金融�����、制造等各行業(yè)中部署50000臺以上��。KingGuard�����、Super V系列采用高性能的RSIC多核架構����,并結合國內首創(chuàng)的WindRunner矩陣式并行處理技術�,將多顆CPU排成矩陣,在對網(wǎng)絡數(shù)據(jù)流進行IPv4/IPv6雙協(xié)議棧的策略匹配��、抗攻擊�、內容過濾、加解密�、QOS、日志等多項業(yè)務處理時���,采用并行計算和流水線兩個維度進行并行處理��,確保了高安全的前提下的高性能處理���。Power V系列采用基于應用識別的綠色上網(wǎng)控制模塊����,并在Power V-4000及3000系列集成了專用ASIC加速硬件芯片����,使得小包高達10Gbps��;Power V是已部署3萬多臺套的高可用多威脅統(tǒng)一管理的下一代防火墻系列�。Smart V系列是集成防火墻、VPN���、交換機��、主動防御等功能于一身�����,可采用機架型和桌面型兩種設備部署方案�,適合各類大集團的分支機構����、區(qū)縣級政府機關���、小型企業(yè)及SOHO用戶。
在應用感控與云安全技術方面���,網(wǎng)御下一代防火墻結合VSP����、USE����、MRP等核心安全技術,通過智能感控技術收集攻擊檢測源和掛馬網(wǎng)站URL等特征�����,���,與已部署的防病毒網(wǎng)關�����、IPS��、UTM����、Guard等設備聯(lián)合抓取病毒源、攻擊檢測源和掛馬網(wǎng)站URL等特征����,匯集至云防御服務器定時收納合并,云防御服務器動態(tài)更新病毒庫��、攻擊特征庫�����、掛馬庫等并同步到所有網(wǎng)御安全網(wǎng)關設備中��,使其他設備也具有防病毒�����、IPS�、防掛馬等功能�,同時使其具備更高的處理性能,共同形成整體可信架構云防御體系���。網(wǎng)御公司提前部署可信架構“云防御”體系�����,主動防御未知威脅�,網(wǎng)御下一代防火墻在不斷變化的威脅環(huán)境、不斷變化的業(yè)務IT流程���、不斷更新的云威脅下�,為用戶提供真正有價值的信息安全整體防護方案��,使信息安全3.0時代提前到來�����。
本文出自:億恩科技【www.itdijia.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
