未来的攻击目标和层面正在逐渐转移到七层的应用层上,这就给网络安全提出了新的严峻挑战——如何在四层防护的基础上,完成对新型应用攻击的防护,从而保障网络用户免受威胁之苦。
为了真正解决应用时代的安全问题,以七层防护为核心的下一代安全网关(NGSG,Next Generation Security Gateway)出现了。下一代安全网关是在传统安全网关四层静态防护基础上发展起来的新一代安全网关,它利用多种检测技术满足从链路层到应用层的全面检测,实现应用级的安全防护;利用多核处理器等新技术,解决在复杂检测防护技术下的应用层性能问题;它采用了统一防护策略,将应用层复杂的防护功能融合起来,作为一个整体实现对网络的全方位防护。
下一代智能检测技术
下一代安全网关NGSG采用三种核心检测引擎:状态检测、智能协议识别、智能内容识别三个检测引擎,作为安全威胁二~七层全面检测的核心技术。
在网络数据经过端口物理处理芯片后,再经过网络专用引擎做基本的包解析重组和分流,进入到NGSG的核心——多层检测引擎中,在这里,主要包含三个检测技术:
1. 状态检测。状态检测即利用四层TCP/IP的连接握手信息,建立状态表项,利用表项信息监控不同区域访问的数据情况,并依照规则进行数据包阻断等安全保护措施。
利用状态检测技术,以及该模块包含的相关的其他检测方式——例如包过滤技术,NGSG可以完成对2~4层数据的基本检测。
2. 智能协议识别。智能协议识别属于动态识别技术,也是下一代安全网关NGSG同传统安全网关的一个重要区别,智能协议识别是利用了协议端口分析技术、协议特征判断、协议行为分析技术,并借用可以动态升级的应用协议特征库 、协议行为特征库,来完成对复杂多变的链路层到应用层各种协议的识别判断和处理。
对于复杂的应用,智能协议识别技术NIPR引擎按照如下顺序进行协议扫描,首先智能协议识别引擎对数据包的协议端口进行判断,并按照不同的协议加以分组,区分为静态端口应用(HTTP、POP3等)、动态端口应用(如某些P2P软件),以及特殊协议类型(如某些病毒,或者部分黑客工具)。之后,进入协议特征判断,利用“应用协议特征库”,对超过500种的协议进行特征匹配,并明确判断静态端口应用、动态端口应用,并可对部分特殊协议类型进行准确判断。对于上两步没有完成的协议识别,进入协议行为特征识别阶段,对攻击的行为特征库信息进行判断。
由于该引擎的核心数据信息——应用协议特征库、协议行为特征库可以实现动态升级,对于日益增多和变化的应用协议可以基本做到实时跟进,从而达到对各种应用协议的准确判断。
3. 智能内容识别。在NGSG的动态识别技术中,另一个重点即智能内容识别。智能内容识别的主要作用是在智能协议识别的基础上,对协议内的数据内容进行监控识别。在智能内容识别中,最重要的是识别算法的处理效率,从而确保整个NGSG以较高性能分析应用层的数据。
智能内容识别的第一个特点是基于流的扫描技术,在整个应用层内容的扫描识别过程中,不是将整个应用信息完全还原后才开始进行识别处理,而是在初期若干应用报文进入安全网关后就开始启动扫描识别和判断,并在检测部分数据后就开始对外发送数据。相对于基于文件的检测技术(完全接收完数据再继续检测,检测完毕后再继续发送),可以节省大量的检测时间,提高智能内容识别的检测效率。
在智能内容识别中的另一项技术则是内容解码,应用中的内容有可能发生了压缩、编码以及各种变形处理,在这里由内容解码进行处理,之后进入智能内容识别的核心阶段——和各动态库或人工规则进行高效内容匹配阶段。
在内容匹配阶段,主要可以根据恶意URL库、病毒库、攻击规则库三个安全库,或者根据网管人员设定的内容检测规则,对通过安全网关的数据流进行匹配,判断各种攻击、病毒或者非法URL,从而实现对数据内容中包含的威胁进行识别。
在保障上述三大检测引擎的高效算法的基础上,下一代安全网关NGSG对智能协议识别和智能内容识别应用到的五个安全库(应用协议特征库 、协议行为特征库、恶意URL库、病毒库、攻击规则库)进行了优化,在更新制作安全库时,可以根据不同库的应用算法,对数据库内的信息进行预编译预优化处理,从而提高检索查询时的效率。
借助云安全
对于下一代安全网关来说,需要解决的一个重要的安全问题就是应用威胁的快速多变。NGSG引入云安全,是利用云计算加强和加速防御的安全机制,是解决当前安全需要快速反应的重要手段。
云安全系统的NGSG,最大的一个优势是安全库的快速全面。在云安全系统中,核心是安全专家团队和由服务器组成的中央服务器群,核心系统对各种安全威胁进行扫描,例如对于挂马的网站进行实时全面扫描,并立刻形成不可信URL数据库更新,在各个政府、企业出口部署的NGSG获取到这些最新的实时数据,对用户的上网进行控制,从而使用户免受这些挂马网站的侵害。
高效的硬件体系构架
为了解决应用级安全防护的问题,除了有一套高效、动态的检测机制外,还需要有足够强劲的硬件引擎和体系构架。从某种程度上说,多核CPU其实是NP的升级版,很多工业级多核CPU就是在保留NP多微引擎转发能力的基础上,强化其计算能力,从而可以满足二~七层各个级别处理的计算需求。
多核CPU可以对数据流量进行多流并行处理,并利用类集群计算的原理,实现多核的统一分析,最终大幅提升7层应用级防护效率。实验室测试表明,对于一个外部带宽充足,内部总线、RAM等不构成能力瓶颈的一个硬件系统,更换不同的多核CPU,系统应用级性能会有大幅的提升,CPU的核数增加一倍,安全网关系统总转发处理性能可以提升40%~80%(这主要依赖于具体是何种应用的防护,以及相应的算法的并行性情况而定)。但这也从一方面说明了多核CPU在提升应用级防护中的效果。
【编辑推荐】