眾所周知�����,防火墻產(chǎn)品從上世紀(jì)九十年代至今����,歷經(jīng)系統(tǒng)架構(gòu)和軟件形態(tài)的多次革新���,從最早的基于包過濾的防火墻到狀態(tài)監(jiān)測防火墻,到今天我們見證下一代防火墻(NGFW)的崛起�����。NGFW代表著用戶對防火墻產(chǎn)品提出的更高要求�����,企業(yè)IT負責(zé)人希望他們所選擇的防火墻能夠根據(jù)不斷變化的業(yè)務(wù)需求和新生的安全威脅在保持高性能的同時進行動態(tài)的自我調(diào)節(jié)���。
山石網(wǎng)科給下一代防火墻打上的標(biāo)簽是“智能”���,山石網(wǎng)科產(chǎn)品副總裁王鐘認(rèn)為,“一直以來����,所有的安全設(shè)備扮演的角色�����,都是執(zhí)行者����。如今�,安全技術(shù)正在經(jīng)歷著一個根本的變革,從被動的以威脅為核心的技術(shù)向主動的以風(fēng)險為核心的方向轉(zhuǎn)變�����。而下一代防火墻應(yīng)該從一個單純的執(zhí)行者�����,變成一個建設(shè)性的執(zhí)行者����。企業(yè)面臨的不再是毫無頭緒的結(jié)果,而是一種貼心的安全建議��,這是下一代防火墻所具備的能力�。”
下一代的NGFW:智能
防火墻演進到下一代�,那下一代的下一代是什么?在山石網(wǎng)科眼中是“智能”����。之所以是下一代智能防火墻,是因為NGFW存在一些問題���,NGFW無法根據(jù)行為調(diào)整安全策略�����。
山石網(wǎng)科認(rèn)為�,NGFW不會將用戶行為關(guān)聯(lián)到用戶對流量的使用和其他事件上����。具體來講�����,NGFW無法從時間維度上分析收到的信息�����,因此只能對用戶指定特定的訪問級別��,而無法進行動態(tài)的調(diào)整,但實際上用戶可能需要根據(jù)感知到的風(fēng)險改變訪問策略���。
NGFW不會關(guān)注流量中的異常�����,包括與其他類似用戶或系統(tǒng)所關(guān)聯(lián)出的異��;螂S時間顯現(xiàn)出的異常����。例如�����,長時間沒有太多行為的用戶突然變得活躍�,或web服務(wù)器的響應(yīng)時間和速度大幅度降低,這些都是應(yīng)該調(diào)查的可疑事件�。
下一代智能防火墻能給我們帶來的是什么?王鐘指出,它降低了安全管理的風(fēng)險��,同時降低了安全管理的運維費用和成本�。當(dāng)具備智能能力的時候,某個安全事件的防范會變成一個主動的防范���。同時�����,對于安全事件的分析來說��,之前所有的分析都是單獨的分析����,需要人工去挖掘。有了智能以后�����,這個安全事件的分析����,就變成一種智能的分析�����、相關(guān)的分析和主動的分析��。
另外�����,下一代智能防火墻能夠?qū)Π踩土髁繑?shù)據(jù)進行深度的數(shù)據(jù)分析,并進行主動監(jiān)測�����,這樣可以為用戶提供基于風(fēng)險的安全保障�。管理員可以基于感知到的風(fēng)險進行安全管控,在事發(fā)之前防范安全問題或系統(tǒng)網(wǎng)絡(luò)中斷�����。
在王鐘看來�,具備了智能特性以后,安全不再是從攻擊出發(fā)����,因為很多攻擊是年復(fù)一年、日復(fù)一日持續(xù)進行的攻擊����。安全也不是從規(guī)則出發(fā),因為規(guī)則只是一個手段�。其實應(yīng)該從數(shù)據(jù)出發(fā),從多個維度進行設(shè)備當(dāng)前狀態(tài)和歷史狀態(tài)的數(shù)據(jù)分析��,幫助管理員實時掌握網(wǎng)絡(luò)當(dāng)前狀態(tài),并且能夠快速通過關(guān)聯(lián)操作進行相關(guān)控制��。
雙指數(shù)打分 反映網(wǎng)絡(luò)和威脅狀態(tài)
既然說到智能�����,對于最終用戶又是如何體現(xiàn)的呢?山石網(wǎng)科發(fā)布的下一代智能防火墻�����,對于管理員來說可以基于感知到的風(fēng)險進行安全管控�,在事發(fā)之前防范安全問題或系統(tǒng)網(wǎng)絡(luò)中斷。并允許用戶全局總覽網(wǎng)絡(luò)��、用戶和應(yīng)用����,并動態(tài)控制策略。
山石網(wǎng)科市場副總裁張凌齡認(rèn)為����,在一個以風(fēng)險為核心的安全管理中����,監(jiān)控和檢測技術(shù)就顯得尤為重要����。首先早期的檢測很重要;其次我們不能只是依賴于攻擊特征庫��,攻擊特征庫對于首次出現(xiàn)的零日攻擊沒有作用��,并且現(xiàn)代先進的攻擊每一個都是“不同的”�,特征迥異,不容易判斷;而持續(xù)的攻擊讓基于時間軸的行為模式分析顯得異常重要�。這就需要一種技術(shù),能夠在正常的網(wǎng)絡(luò)活動中發(fā)現(xiàn)“變化”�,找到攻擊或者入侵的早期征兆,從而實現(xiàn)“防范于未然”�。
山石網(wǎng)科認(rèn)為防火墻不應(yīng)該只是“一堵墻”,智能的防火墻是一個平臺���,它在網(wǎng)絡(luò)的核心節(jié)點上監(jiān)控著網(wǎng)絡(luò)����、用戶和應(yīng)用的健康狀況�。山石網(wǎng)科采用了一個全新的方法,通過兩個指數(shù)���,給重要的監(jiān)控目標(biāo)打分���,通過這樣的方法來直觀地反映網(wǎng)絡(luò)和威脅的狀態(tài)����。首先通過全網(wǎng)健康指數(shù)(NHI)來監(jiān)控網(wǎng)絡(luò)環(huán)境健康;然后通過行為信譽指數(shù)(BRI) 來對用戶���、應(yīng)用和服務(wù)主體打分����。有了這樣的一個信譽評分制�,管理員就可以根據(jù)用戶的信譽分?jǐn)?shù)來動態(tài)調(diào)整策略,決定是否讓他進入網(wǎng)絡(luò)��。張凌齡表示�����,這個方法的重要意義在于將“信譽”作為第八元組引入防火墻的控制�����,使防火墻在原有的防護基礎(chǔ)上增加了對于網(wǎng)絡(luò)風(fēng)險的控制��。
張凌齡指出�����,全網(wǎng)健康指數(shù)通過主動檢測的技術(shù)����,實時監(jiān)控網(wǎng)絡(luò)的聯(lián)通性。通����、堵還是斷了、設(shè)備資源的利用情況���,CPU/內(nèi)存的使用情況�、業(yè)務(wù)服務(wù)器響應(yīng)的延遲情況�,通過一個專利的算法,形成網(wǎng)絡(luò)整體的健康指數(shù)�,供管理員參考。如果業(yè)務(wù)服務(wù)延遲大于正常��,在我們的算法中認(rèn)為整網(wǎng)健康都有危險���,對管理員會做響應(yīng)的預(yù)警�����。
行為信譽度以用戶為例����,比如說發(fā)現(xiàn)某一用戶有大量非法下載,使用網(wǎng)絡(luò)掃描工具��,并且多次重試服務(wù)器密碼等行為���,這些關(guān)聯(lián)的事件會影響該用戶在網(wǎng)絡(luò)中的信譽分?jǐn)?shù)����。他的這些行為會引起管理員的警覺��。
“總結(jié)起來���,山石網(wǎng)科下一代智能防火墻就是在準(zhǔn)確��、深度辨識用戶身份����、服務(wù)器和應(yīng)用的基礎(chǔ)上��,對其進行長期監(jiān)控;分別以全網(wǎng)健康指數(shù)對網(wǎng)絡(luò)健康狀態(tài)打分;以行為信譽指數(shù)對用戶及服務(wù)器狀態(tài)打分,然后對“高危”人員或者“高危”服務(wù)器實行相應(yīng)的預(yù)警或者有效的控制�����。”張凌齡說�����。
王鐘強調(diào)��,雖然這兩個指數(shù)呈現(xiàn)出來的只是一個數(shù)字�����,但數(shù)據(jù)背后是大量的數(shù)據(jù)挖掘和分析來做決策的支撐���。兩個指數(shù)背后的是智能,呈現(xiàn)給用戶的是簡單����,是因為我們把復(fù)雜的東西隱藏在簡單背后。
據(jù)悉�,山石網(wǎng)科下一代智能防火墻的技術(shù)愿景將分為三個階段完成,T5060的發(fā)布是分享其理念和第一階段的成果��。第一階段以實現(xiàn)全網(wǎng)的健康狀態(tài)的檢測和監(jiān)控為核心;第二階段,實現(xiàn)對用戶���、服務(wù)器及服務(wù)的行為信譽監(jiān)控�,并且通過關(guān)聯(lián)分析對僵尸網(wǎng)絡(luò)�����、異常行為及APT攻擊做預(yù)警和報告;第三階段��,將在監(jiān)控和報告的基礎(chǔ)上�����,實現(xiàn)動態(tài)的策略調(diào)整和控制�����。
