“智能”遇上“NGFW” 下一代智能防火墙详解

原创
安全
6月18日,山石网科发布下一代智能安全,将“智能”与“防火墙”相结合,向外界展现出其“智能安全”思路,并推出第一阶段成果——下一代智能防火墙Intelligent Next-Generation Firewall(以下简称iNGFW)。

今天,高级威胁和0day攻击正变得肆无忌惮,因为他们能高度规避检测,传统的基于特征的防护渐渐力不从心,安全防护思路和架构的转变已是大势所趋,从基于已知威胁的防御转变为基于未知风险的预防,这一转变需要更加智能的安全思路才能实现。安全智能在今年的RSA信息安全大会上也是炙手可热的一个词,不过,业界却依然疑惑,“智能”虽好,实现却难。

6月18日,山石网科发布下一代智能安全,将“智能”与“防火墙”相结合,向外界展现出其“智能安全”思路,并推出第一阶段成果——下一代智能防火墙Intelligent Next-Generation Firewall(以下简称iNGFW)。

[[75403]]

解读一:为什么需要智能安全——APT、0day攻击让未知威胁检测需求升温 

在IT应用迅速变革的今天,一分钟之内可以发生多少事情?在QQ空间上有14万图片被下载,在新浪微博上有9.54万次微博被发出,在淘宝网上有8300次交易在进行,在朋友网上有6000对朋友相识。令人担忧的是,随之而来的危机无处不在。今年5月,雅虎2200万用户的信息被窃取,4月,有一个恶意病毒让一家个石油公司的记录全部消除,在花旗银行已经发生过36万帐户被窃取。

[[75404]]

今天的种种攻击事件,越来越多地与隐蔽的、持续的高级威胁(APT)相关,它们对攻击目标造成损失是令人难以承受的。而随着这一类攻击的扩散,传统的基于威胁的安全模式不再有效。在传统的基于威胁的安全模式下,是先确定需要防范的威胁类型再有针对性地去防范:对病毒和木马文件传输,有防病毒解决方案;对基于网络的应用层攻击,有IDS/IPS解决方案方案;针对新的攻击类型,则通过向检测规则数据库中添加IPS规则。

然而,面对由APT威胁和0day攻击带来的未知风险,你根本无从先行判断攻击是什么,就更别谈对其进行防御。这样一来,从流量中查找行为特征来判断攻击发生与否的新技术渐行渐近,安全模式也开始从被动的、基于威胁的模式(仅关注威胁,处理已知威胁)转向主动的、基于风险的模式(将资产、威胁及漏洞都纳入考虑范围,能处理未知威胁)。

在这种以风险管控为核心的安全模式中,实时监控和早期检测变得非常的重要,安全界需要更加智能的新技术,能够在网络正常进行时也能实时检测到变化,从这些变化中发现潜在威胁并在威胁真正发生之前阻止它。#p#

解读二:下一代智能防火墙的设计思路——基于风险的主动预防而非基于威胁的被动防御

什么样的安全产品才称得上智能?在山石网科产品副总裁王钟看来,智能安全产品的特性可以概括为:对于网络状态,要有学习能力;对于网络产生的数据,要有挖掘能力;对于网络的安全威胁,要能做到预警;对于安全事件,要能做到可视化管理。

[[75405]]

智能安全如何实现?山石网科的做法是将智能与防火墙相结合,实现产品化。山石网科市场副总裁张凌龄称,智能防火墙不再只是“一堵墙”而是一个平台,它在网络的核心节点上监控着网络、用户和应用的健康状况,而山石网科下一代智能防火墙就是在准确、深度辨识用户身份、服务器和应用的基础上,对其进行长期监控。其设计思路是:分别以全网健康指数(NHI)对网络健康状态打分,以行为信誉指数(BRI) 对用户及服务器状态打分,然后对“高危”人员或者“高危”服务器实行相应的预警或有效的控制。有了这样的信誉评分制,管理员就可以根据用户的信誉分数来动态调整策略,决定是否让其进入网络。这个思路的重要意义在于:将“信誉”作为第八元组引入防火墙的控制,使防火墙在原有的防护基础上增加了对于网络风险的控制。

一直以来,所有安全设备所扮演的角色都是执行者。那么,安全管理策略制定的依据又是什么呢?安全管理员需要相关的建议。未来,下一代智能防火墙将具备这样的建议能力,把自己从一个单纯的执行者,变成一个建设性的执行者。#p#

解读三:下一代智能防火墙发展路线——全网健康指数、行为信誉指数、基于信誉的访问控制

下一代智能防火墙的长远设计理念是:在网络中建立起信誉体系,再通过这个信誉体系规范网络行为。山石网科下一代智能防火墙的技术愿景是一个宏伟的蓝图,将分为三个阶段完成,第一阶段以实现全网的健康状态的检测和监控为核心;第二阶段可实现对用户、服务器及服务的行为信誉监控,并且通过关联分析对僵尸网络、异常行为及APT攻击做预警和报告;第三阶段将在监控和报告的基础上,实现动态的策略调整和控制。

[[75406]]

具体而言,全网健康指数(NHI)的打分方法是:通过主动检测的技术,实时监控网络的连通性、设备资源的利用情况、CPU/内存的使用情况、业务服务器响应的延迟情况,通过一个专利算法,形成网络整体健康指数,供管理员参考。

“行为信誉度”指数 (BRI)可基于行为分析出内网对象的风险级别。通过集中关注具有最高风险的目标及相关行为,管理员可专心处理系统中最严重的问题。对象信誉可能取决于多个因素,如:对象当前行为、对象的历史行为、与同类对象的行为对比、对象行为的历史变化。

内网对象和子网可以根据全网健康指数和行为信誉指数分为三种健康:健康、亚健康、危险。在第三阶段,企业可利用基于信誉的访问控制为处于不同健康状态的用户设计不同策略,如:对危险状态用户进行隔离等措施;对亚健康用户,则可禁止其访问网络中敏感的或高度保密的资源。

目前,下一代智能安全已经实现了第一阶段目标,新推出的首款下一代智能防火墙产品Hillstone T5060即可对全网健康指数进行打分。第二阶段目标预计将于明年实现。#p#

解读四:“智能”为何要与防火墙结合——在防火墙中集成数据分析,可在一台设备内形成控制闭环

在今天的安全界,“智能”其实已经不是什么新鲜的词了。而谈到智能安全,一个明显的趋势是:一些安全厂商都把大数据分析方法运用到安全分析上来。张凌龄表示,山石网科智能安全道路的创新在于:将大数据分析用到了防火墙中,并和其他的安全控制实现了联动。将大数据关联分析的手段用在防火墙平台上,可以充分发挥防火墙兼具检测、监控和控制能力于一体的优势,更好地实现联动并实时控制风险,在一台设备上就可实现有效的控制闭环,节省客户投资。通过防火墙流量数据分析降低网络安全风险既简单、经济,又十分有效。

[[75407]]

利用大数据分析技术分析大量不同类型的安全数据,可轻松识别流量中的异常行为模式,有助于对网络用户和系统的风险评估。因此,越来越多企业喜欢上安全信息和事件管理(SIEM)系统。SIEM可接受多个设备的数据并跨网络关联数据,但它只能在事后进行分析,也不能对安全策略进行反馈和调整。在山石网科 CTO刘向明看来,在防火墙中集成数据分析解决方案能提供最佳的响应能力,如:可缩短0day攻击从攻击开始到被检测出来的时间,它还使得大量数据可在本地进行处理,无需在设备间进行二次传输。#p#

解读五:iNGFW与NGFW的显著区别——NGFW无法根据行为调整安全策略,iNGFW可以

在2013年年初的媒体沟通会上,在被问到何时出NGFW的问题时,山石网科就透露出要在年内推出类似beyond NGFW的产品。时隔几个月,当iNGFW终于问世时,山石网科没有将关注点放在NGFW,而是在“i”(Intelligent,智能)上。那么,对比NGFW,iNGFW有何不同,又有何特别之处?

[[75408]]

NGFW的基础是应用、用户和内容的识别,它根据识别结果实施安全控制。防火墙上配置的策略能确定是否允许特定用户使用特定应用。然而,其他因素也可能影响用户的访问控制级别,其中一个因素就是用户风险级别,即:“信誉”。用户信誉会随时间变化,在某个时间点使用应用被接受,在另一个时间点可能就不能被接受,因此访问级别也应随之变化。

NGFW并不会从时间维度上分析收集到的信息,无法进行动态调整,但实际上,用户可能需要根据感知到的风险动态改变访问策略。NGFW也不会关注流量中的异常,包括与其他类似用户或系统所关联出的异常或随时间显现出的异常。

与NGFW不同,iNGFW的增强型NGFW功能让用户可以全局总览网络、用户和应用,动态控制策略。它使用数据分析技术和机器学习技术可查找出有问题的行为和模式,如:网络和系统使用情况是否符合公司的相关规定;与历史数据比较得出的正常网络和系统使用情况;与同类对象比较得出的异常网络和系统使用情况;关联事件日志和流量特征进行僵尸网络检测。

iNGFW的自学习机制可以使分析更准确,每一次分析都有一个基线,用以确定某个特定时间点上某个用户某个应用的正常模式。打个比方,从来没有在非洲消费记录的信用卡,突然有一笔在非洲的消费会被当作异常行为,但同样的金额,在常刷卡的欧洲刷出来可能就是正常行为。

 

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2013-06-27 11:21:17

2013-06-19 10:38:58

下一代防火墙下一代智能防火墙山石网科

2014-05-16 09:35:50

2011-06-15 13:20:33

2012-12-12 10:29:57

2011-06-30 11:02:22

2011-06-27 13:31:21

2012-12-10 16:15:43

下一代防火墙NGWF

2010-12-08 09:27:02

2013-04-09 17:43:33

2010-12-10 10:16:54

下一代防火墙

2014-08-06 11:46:53

2011-12-08 10:16:53

2012-12-12 09:53:20

下一代防火墙

2010-09-29 11:01:46

2013-09-11 20:09:08

下一代防火墙NGFW

2010-12-06 16:45:32

下一代防火墙

2014-10-11 10:47:50

2010-12-08 09:02:24

2013-02-21 10:25:57

点赞
收藏

51CTO技术栈公众号