- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
網御星云打造中國信息安全新的長城 |
| 發布時間: 2012/8/15 10:26:19 |
|
新邊界安全中所定義的新邊界包括網絡安全邊界、應用安全邊界、數據安全邊界、內容安全邊界以及云計算安全邊界五大部分。其中,網絡安全邊界已逐步向應用安全邊界發酵并轉化,傳統的防火墻也在逐步向應用級智能防火墻發展。在Gartner看來,NGFW是一個線速(Wire-Speed)網絡安全處理平臺,定位于企業網絡防火墻(Enterprise Network Firewall,Firewall指宏觀意義上的防火墻)市場。在網御星云看來,NGFW+則是一個高性能多線程專用平臺,通過應用感控技術進行識別,同時能進行智能流量控制的綜合型下一代防火墻,定位于政府、行業以及電信級防火墻(Government、Industry、Telecom)市場。 一、市場NGFW屬性 傳統FW屬性:NGFW必須擁有傳統防火墻所提供的所有功能,如基于連接狀態的訪問控制、NAT、VPN、HA等等。雖然我們總是在說傳統防火墻已經不能滿足用戶需求,但它仍然是一種無可替代的基礎性訪問控制手段。 六元組屬性:網御提供了一個全網絡視圖的六元組安全策略,其與以往的五元組相比,最大的優勢在于可使得管理員能夠基于實時情況、應用ID定義安全策略。同時,此策略還可以辨別出來自同一網站的不同應用并且可以啟用服務質量選項為這些應用優先分配帶寬。在訪問控制基礎上取得了質的飛躍。 云防御屬性:云安全防御技術融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,傳送到服務器端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端,實現立體全面的防護。 應用感控屬性:NGFW必須具有與傳統的基于端口和IP協議不同的方式進行應用識別的能力,并執行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進行語音視頻聊天,或者允許使用WebMail收發郵件但不允許附加文件等。應用識別帶來的額外好處是可以合理優化帶寬的使用情況,保證關鍵業務的暢通。雖然嚴格意義上來講應用流量優化(俗稱應用QoS)不是一個屬于安全范疇的特性,但P2P下載、在線視頻等網絡濫用確實會導致業務中斷等嚴重安全事件。 智能聯動屬性:獲取來自“防火墻外面”的信息,做出更合理的訪問控制,例如從域控制器上獲取用戶身份信息,將權限與訪問控制策略聯系起來,或是來自URL Filter判定的惡意地址的流量直接由防火墻去阻擋,而不再浪費IPS或其他產品的資源去判定。我們理解這個“外面”也可以是NGFW+本體內的其他安全業務,它們應該像之前提到的IPS那樣與防火墻形成緊密的耦合關系,實現自動聯動的效果。 二、NGFW直面UTM 需要注意的是,不同機構對NGFW做出的定義都是最小化的功能集合。站在廠商的角度,勢必要根據自身技術積累的情況,在產品上集成更多的安全功能。這導致不同廠商的NGFW產品在功能上可能存在差異,同時更像一個大而全的集中化解決方案,給用戶造成了很混亂的印象。用戶大多數會產生同一個疑問:NGFW是不是相當于一個加強型的UTM? 實際上,這里提到的NGFW和UTM都是對廠商包裝后的產品的認知,已經脫離了最原始的定義。市場分析咨詢機構IDC曾經這樣定義UTM:這是一類集成了常用安全功能的設備,必須包括傳統防火墻、網絡入侵檢測與防護和網關防病毒功能,并且可能會集成其他一些安全或網絡特性。它簡單明了,讓人易于接受并容易做出判斷。而安全業務的集成化,也確實符合當時的市場需求。有了這樣一個寬泛的準入條件,UTM的概念一經推出便受到廠商與用戶到一致認同,市場份額迅速擴大,成長為目前安全市場上的主流產品。 Gartner在其市場分析報告中對NGFW產品形態則有著更為細致的描述。該機構在調研后認為,除了傳統防火墻、VPN,NGFW至少還應該具有APP、User、URL過濾和內容過濾的能力,并且要支持反惡意軟件(包括病毒、木馬、間諜軟件等)范疇;作為邊緣網關,NGFW必須滿足時延敏感型應用的需求,與之有悖的功能不適合出現在NGFW上。 通過上面的分析,我們可以得出明確的結論:UTM和NGFW只是針對不同級別用戶的需求,對宏觀意義上的防火墻的功能進行了更有針對性的歸納總結,是互為補充的關系。無論從產品與技術發展角度還是市場角度看,它們與IDC定義的UTM一樣,都是不同時間情況下對邊緣網關集成多種安全業務的階段性描述,其出發點就是用戶需求變化產生的牽引力。 三、NGFW產品現狀 目前,在國內安全市場,各安全廠商也在為自己的NGFW產品造勢,但基本上都是處于宣傳階段,無實際產品正式發布,NGFW的市場前景會進一步擴大化,國內安全廠商將在更細化的區域進行白刃PK。網御星云公司則早在2010年初就已立項啟動下一代智能感控防火墻的研發,當前正經歷臨床試驗階段,其功能包括所有NGFW的特質,并融合網御的云防御理念,預計2011年下半年將全面上市。 四、如何評估NGFW NGFW屬于新生產品,目前業界對其還沒有一個公認的測試標準,甚至獨立的測試報告都寥寥無幾。隨著網絡應用的增加以及云計算的發展,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外,在以后幾年里,多媒體應用將會越來越普遍,它要求數據穿過防火墻所帶來的延遲要足夠小,所以如何判斷下一代防火墻好壞應從以下幾個方面綜合評估: 硬件架構方面:在近幾年,一些防火墻制造商開發了基于ASIC的防火墻,從執行速度的角度看來,基于加上芯片的防火墻也是取決于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,雖然這類防火墻中有一些專門用于處理數據層面任務的引擎,能減輕CPU的負擔,性能要比傳統防火墻的性能好許多,但這也存在很多問題,ASIC主要處理網絡層數據,而當今應用層已經占據半壁江山,雖然起到加速作用,但效果甚微,另一方面,由于ASIC對新建并發、最大并發連接并不起多大作用,防火墻的并發瓶頸并未得到真正解決,人們更多的傾向于多核MIPS技術,所以,多核多線程并行處理技術既能解決高并發的問題,也能處理應用層協議,這一方向得到了多數安全廠商的認可。 易用界面方面:管理界面的易用性也是不容忽視的評估要素。雖然用戶識別/控制和統一的策略框架不是NGFW定義中的強制功能,但根據用戶的實際需求出發,在該領域應做出更加深入的用戶體驗改善。用戶應當考察NGFW產品是否可以通過獲取域控制器信息或Web認證等手段,做到IP與用戶身份的綁定,再通過統一的策略框架進行更加直觀、簡單的權限定義,以達到“允許市場部門的所有員工從任何位置訪問新浪微博”、“只允許IT部門員工從特定位置使用SSH、Telnet、遠程桌面應用”等以用戶、應用為核心元素的訪問控制策略配置模式。易用性的另一個重要體現是設備是否提供中文的WebUI、報表系統、端點套件和集中管理系統。 性能測試方面:許多用戶都知道針對傳統防火墻有RFC2544、RFC3511、GB/T 20281-2006這樣公認的測試規范。這類產品的業務模型比較單一,有經驗的測試人員或管理員會依照規范測得的結果,甚至可以憑經驗去預估防火墻在某個特定場景中的性能衰減幅度。而當網關設備使用的訪問控制技術走進應用層感控時代開始,實驗室環境中進行的標準化測試就失去了原有的指導意義。而NGFW產品在進行性能評估時會更復雜,用戶必須根據自身的業務需求,抽象出與之吻合的流量模型,進行細致的、有針對性的測試工作,才能得到有價值的評估依據。并且在測試過程中,應時刻以“尋找最差性能”的目標,方可在未來的實際使用中規避性能瓶頸。 五、網御NGFW+產品 網御星云公司早在2010年初就已立項啟動下一代智能感控防火墻的研發,當前正經歷臨床試驗階段,功能包括所有NGFW的特質,并融合網御的云防御理念的NGFW+新生代產品,預計2011年下半年將全面上市,其產品特點及核心技術有以下幾點: 5.1、應用感控 應用感控技術不同于傳統的基于端口和協議的狀態包過濾技術,這種技術能通過流量識別網絡上的應用程序,基于應用ID進行智能識別與控制,同時,可以辨別出來自同一網站的不同應用并且可以啟用服務質量選項為這些應用優先分配帶寬。達到了六元組的新型智能應用過濾技術,既可以進行應用識別,也可以做到對應用的細粒度控制。 5.2、云安全防御 云安全防御技術融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,傳送到服務器端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。實現立體全面的防護。 5.3、WEB主動過濾 這種技術通常認為是在UTM上實現,但在下一代防火墻中,這種需求也越來越明顯,實際上Web過濾是指上網監控功能,具備內容過濾的安全網關通過多重過濾與保護,對內容和網址進行監控,對內容不良的網站實行過濾,從而實現對網絡內部人員上網進行監控URL的屏蔽列表。 5.4、IPv6網絡安全 雖然IPv6在網絡廠商應用較為廣泛,但在安全廠商中,支持IPv6的網絡安全產品(如防火墻、UTM、IPS等)還是較少,具體功能包括:IPv6環境下的狀態包過濾、靜態路由、OSPF動態路由、FTP、ALG等基本安全控制,以及IPv6/v4 雙協議棧功能;設備在同一信息安全網絡中同時支持 IPv4 和IPv6協議的安全控制日漸得到關注。 5.5、多核高性能 高性能多核技術為工程師們打開了另一扇門-它是把更多的CPU壓在一個芯片當中以提高整個芯片處理交易事務的能力。以8核為例,在一塊CPU基板上集成8個處理器核心,通過并行總線將各處理器核心連接起來,一般多核芯片都會集成一些針對比較耗費資源處理的硬件加速引擎。比如XLR內置的網絡加速器可以對從網絡接口進入XLR的數據包進行高速預處理。拿以太網包舉例,XLR的網絡加速器可以對以太網包2層、3層、4層的內容進行辨析,提取特征串,自動完成校驗和驗證,把包DMA(Direct Memory Access)到內存,構造以太網包描述符(Descriptor),然后可以基于多種策略把以太網描述符快速均衡的分流到指定的vCPU。這樣,既可以提升網絡層處理性能,也可以加速處理應用層檢測速率,小包性能以及并發數顯著提升,并且多核芯片內建應用加速安全引擎,在硬件層面上就可以支持AES,DES/3DES,SHA-1,SHA-256,MD5算法,最大可提供10Gbps的VPN加密解密運算能力。 5.6、NGFW+自身高安全 如果防火墻系統本身被攻擊者突破或迂回,對內部系統來說它就毫無意義。因此,保障防火墻自身的安全是實現系統安全的前提。一個防火墻要抵御黑客的攻擊必須具有嚴密的體系結構和安全的網絡結構。 不同類型的拒絕服務攻擊。理想情況下,防火墻應該采取直截了當的方式,比如將數據包打回或干脆關閉防火墻的方式。 六、網御NGFW+安全解決方案 網御下一代防火墻分為KingGuard萬兆系列、Super V高端系列、Power V中高端系列和Smart V低端系列,共計80余款,可為各種規模的企業和政府機構網絡系統提供相適應的產品。網御防火墻已在稅務、公安、政府、軍隊、能源、交通、電信、金融、制造等各行業中部署50000臺以上。KingGuard、Super V系列采用高性能的RSIC多核架構,并結合國內首創的WindRunner矩陣式并行處理技術,將多顆CPU排成矩陣,在對網絡數據流進行IPv4/IPv6雙協議棧的策略匹配、抗攻擊、內容過濾、加解密、QOS、日志等多項業務處理時,采用并行計算和流水線兩個維度進行并行處理,確保了高安全的前提下的高性能處理。Power V系列采用基于應用識別的綠色上網控制模塊,并在Power V-4000及3000系列集成了專用ASIC加速硬件芯片,使得小包高達10Gbps;Power V是已部署3萬多臺套的高可用多威脅統一管理的下一代防火墻系列。Smart V系列是集成防火墻、VPN、交換機、主動防御等功能于一身,可采用機架型和桌面型兩種設備部署方案,適合各類大集團的分支機構、區縣級政府機關、小型企業及SOHO用戶。 在應用感控與云安全技術方面,網御下一代防火墻結合VSP、USE、MRP等核心安全技術,通過智能感控技術收集攻擊檢測源和掛馬網站URL等特征,,與已部署的防病毒網關、IPS、UTM、Guard等設備聯合抓取病毒源、攻擊檢測源和掛馬網站URL等特征,匯集至云防御服務器定時收納合并,云防御服務器動態更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有網御安全網關設備中,使其他設備也具有防病毒、IPS、防掛馬等功能,同時使其具備更高的處理性能,共同形成整體可信架構云防御體系。網御公司提前部署可信架構“云防御”體系,主動防御未知威脅,網御下一代防火墻在不斷變化的威脅環境、不斷變化的業務IT流程、不斷更新的云威脅下,為用戶提供真正有價值的信息安全整體防護方案,使信息安全3.0時代提前到來。 本文出自:億恩科技【www.laynepeng.cn】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
