11月6日,东软集团在其2009解决方案论坛的信息安全分论坛上,宣布推出一款具有行业标杆意义的新产品NISG集成安全网关,在今年信息安全领域新品乏善可陈的时候,这一发布可谓意义重大。
ISG(Integration Security Gateway)可以称之为集成安全网关,想来在安全领域,已经不是什么新鲜的概念。毕竟早先的安全网关,包括防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种类型,经过市场需求的千锤百炼,已经迈向集中、和谐统一的趋势,如此就诞生了集成安全网关的概念。
而UTM概念的普及,很好的印证了集成安全网关的生命力。
然而,由于UTM背负着太多的使命,同时在出现伊始就被赋予了“万能”的光环,导致该产品在一种非正常的环境下“努力”成长的状态。
因此,我们必须重新审视安全集成网关,重新回归理性的思考,重新探索集成安全网关的发展方向。
为什么关注NISG?
NISG中的N,一般可以理解成NEW ,意译为新一代。但是在东软的解释中,N这个字母含义颇丰,N既是东软Neusoft的开头字母,也是安全子品牌NetEye开头字母。同时也包含了Next的含义,表示了东软集团对东软下一代集成安全网关寄予了厚望。对于新品,东软安全希望从用户业务应用的实际需求出发,通过相应的功能,真正保障用户各种各样的业务应用安全,而不是一味的比拼性能、比拼功能种类,而是有的放矢,打有准备的仗,即后发先至、一招制敌!
毫无疑问,人们赖以生存的网络,将会从“路由器为核心”的转发型网络向以“服务和数据为核心”的应用网络转变,因此未来网络攻击会有一些明显的需求特征:
1.传统4层防火墙的普遍应用,使得攻击技术会转而面向传统安全网关的盲区——应用安全,针对某些应用的专项攻击、或者利用某些应用作为攻击通道将会成为主流;
2.视频、语音等大数据业务会决定网络带宽继续扩大,对安全网关转发性能的需求是持续的;
3.电子商务、网上银行、投资理财、虚拟交易等应用会使网络攻击更加具有吸引力,攻击频率会加大,攻击方式也会多样化;
4.传统局域网内网的扩大和复杂,使得网络内部攻击和泄密更加严重;
5.3G的普及指日可待,对应移动终端应用需求的网关安全问题也将爆发。
因此,NISG是面向这些网络威胁新趋势,定位于应用层防护、专注有针对性功能的集成安全网关,它具有一系列特点,以适应未来3~5年的网络威胁防护发展趋势。
所谓应用层防护,包括针对WEB服务、电子邮件、数据服务器、电子商务、VoIP和视频会议的抗DDoS攻击、P2P的监控、IM的监控,内容审计等等,这些都会是未来应用安全防护的重点,而相对于TCP/IP协议的整齐划一,应用协议最大特点是应用协议多样性、多变性。
而有针对性的功能策略,则是指根据特定的用户环境,根据多变的应用协议,在成本控制(包括资金投入、管理难易度、性能需求)的前提下,提供相应的功能需求解决方案,最大程度的保障用户的业务应用。
东软NISG将三层交换技术和NEL技术完美融合应对多变的应用协议?
基于应用协议的多样性、多变性,东软研究人员一直在研究对策,其中主要关注在引擎研制、协议分析和攻击数据的检测,同时这三个方面的复合工作能力也是很关键的克敌筹码。例如,针对CVE-2001-0009漏洞(使用URL“http://target/.nsf/../winnt/win.ini”将导致win.ini文件内容被返回给发出URL请求的客户端),我们是否可以只对协议指定范围的位置进行查找,无需再去整个网页中的其他位置查找,这既增加了检查的效率,又避免了其它位置存在关键特征字符导致的误报。再举例而言,针对TERADROP攻击,我们可以对前后紧邻的数据包进行排序分析,从而准确识别此类攻击,而同时,我们也做到了第一时间快速检测出风险并进行阻断。
通过多年的技术研发,东软目前拥有国际领先的NEL专利核心技术。该技术可将引擎、协议分析和攻击检测数据通过NEL技术快速融合。NEL增加了检测技术的兼容性,检测粒度非常精细,从而提高检测的效率,提高快速防御功能,提升用户的网络安全性。
同时,NISG采用了先进的三层交换技术增加了产品在复杂网络中的适应性,带来了极大的部署和配置的灵活性。该技术将二层交换和三层路由的优势结合成为一个有机的整体,实现了“一次路由、后续二次转发”的快速包转发技术,并实现了VLAN与接口融合的密切耦合。该技术的采用使得VLAN、Trunk、Channel等技术能够很方便地在NISG上实施,减轻了管理员配置维护的工作负担。
如何最大限度发挥安全网关的能力?
业内人士通常都会清楚,银行、电信、电力等大型行业用户的数据中心通常部署着数十台甚至数百台网络服务器,分属于数十个不同的业务部门。这些服务器都有安全防护的需求,在部署安全网关对服务器进行安全防护时,每个业务部门都会有一些个性化需求,而且随着业务系统的建设和调整也需要安全网关的安全策略相应调整。因此,采用以前单一安全网关对整个内部服务器群进行防护,很难同时满足不同业务部门服务器的实际安全需求,并且一个部门的安全策略的改变可能导致整体的网络安全策略和网络结构都要进行相应的调整,增加了管理维护的复杂性和难度。如果为每个部门采购独立的安全网关设备,又会带来安全投资的增加,占用紧张的机架空间,而且使网络中的故障点增多。
另外,以往单一安全网关部署中也存在性能浪费的情况。大多数网络环境中网络利用率不到20%,即使在峰值的时候通常也不会超过40%,而企业对安全产品采购的标准通常都是以其处理性能远高于峰值来确定的,这无疑造成了性能在使用周期内的浪费。对于一些比较重要的业务部门,如财务部或总经理办公室,出于加强内控的考虑,企业往往会采购一台单独的安全网关进行安全防护,而这些部门的流量往往很小,大多数情况下部署的单一安全网关发挥出的性能不到10%。因此,在部署多台单一的网络环境中,由于存在性能上的浪费,在解决管理独立性的前提下,单一安全网关的数量完全可以压缩而对网络和应用性能不产生任何影响。
那么,有没有一种办法,既可以充分利用国际目前先进的虚拟技术,在保证管理的独立性下,又可以降低单一安全网关的数量和采购投资呢?虚拟集成安全网关技术给出了很好的解决办法。虚拟集成安全网关技术可以在充分发挥安全网关性能的同时,大幅降低用户的以往单一安全网关类产品购置成本和整体拥有成本(TCO),己成为安全网关领域的一个主流技术。
虚拟集成安全网关技术——东软NISG必杀技
虚拟集成安全网关技术就是将一台东软NISG在逻辑上划分成多台虚拟的NISG,每个虚拟系统都可以被看成是一台完全独立的NISG设备。虚拟系统在电信、电力调度、金融等行业得到了广泛的应用。其中,在IDC(互联网数据中心)提供的安全保障服务中,虚拟系统在降低安全建设投资和运行维护成本,满足用户安全防护的个性化需求方面,起到了重要的作用。
该技术可以将一台物理上的安全网关设备划分成多台逻辑上的虚拟集成安全网关,针对不同的应用采用不同的安全策略,如下图所示:
针对邮件服务器,可以采用VNISG#1中的ANTISPAM模块;针对WEB服务器,可以采用VNISG#2中的WEB防护模块;针对VNISG#3中的数据库服务器,可以采用IPS模块。另外,在从系统资源上对三个虚拟集成安全网关进行划分,根据业务情况分配合理的带宽及并发连接资源。不同的安全防护策略配合合理的资源划分,可以保证NISG有效的对服务器进行安全防护,同时,即便某个虚拟集成安全网关由于受到攻击而无法响应新的请求,也不会影响其他虚拟集成安全网关对其他服务器的防御效果。
东软NISG集成安全网关,是东软安全基于全球安全威胁防护的需求分析,充分考虑用户应用需求之后研发的一款新产品。 NISG 依靠东软自主原创的实力及产品强大且先进的功能将成为一条非常重要的产品线,相比之前东软 NetEye系列防火墙、IDS、IPS、SOC、NTARS、NTPG等“专业医院”而言,NISG这类“综合医院”产品具有划时代的意义。
【编辑推荐】