眾所周知,防火墻產(chǎn)品從上世紀九十年代至今�,歷經(jīng)系統(tǒng)架構和軟件形態(tài)的多次革新,從最早的基于包過濾的防火墻到狀態(tài)監(jiān)測防火墻�����,到今天我們見證下一代防火墻(NGFW)的崛起���。NGFW代表著用戶對防火墻產(chǎn)品提出的更高要求���,企業(yè)IT負責人希望他們所選擇的防火墻能夠根據(jù)不斷變化的業(yè)務需求和新生的安全威脅在保持高性能的同時進行動態(tài)的自我調(diào)節(jié)。
山石網(wǎng)科給下一代防火墻打上的標簽是“智能”����,山石網(wǎng)科產(chǎn)品副總裁王鐘認為,“一直以來����,所有的安全設備扮演的角色����,都是執(zhí)行者����。如今,安全技術正在經(jīng)歷著一個根本的變革����,從被動的以威脅為核心的技術向主動的以風險為核心的方向轉變。而下一代防火墻應該從一個單純的執(zhí)行者���,變成一個建設性的執(zhí)行者����。企業(yè)面臨的不再是毫無頭緒的結果�,而是一種貼心的安全建議,這是下一代防火墻所具備的能力�。”
下一代的NGFW:智能
防火墻演進到下一代,那下一代的下一代是什么?在山石網(wǎng)科眼中是“智能”�。之所以是下一代智能防火墻,是因為NGFW存在一些問題���,NGFW無法根據(jù)行為調(diào)整安全策略����。
山石網(wǎng)科認為���,NGFW不會將用戶行為關聯(lián)到用戶對流量的使用和其他事件上�。具體來講�,NGFW無法從時間維度上分析收到的信息,因此只能對用戶指定特定的訪問級別�����,而無法進行動態(tài)的調(diào)整���,但實際上用戶可能需要根據(jù)感知到的風險改變訪問策略��。
NGFW不會關注流量中的異常��,包括與其他類似用戶或系統(tǒng)所關聯(lián)出的異����;螂S時間顯現(xiàn)出的異常����。例如�,長時間沒有太多行為的用戶突然變得活躍�,或web服務器的響應時間和速度大幅度降低,這些都是應該調(diào)查的可疑事件����。
下一代智能防火墻能給我們帶來的是什么?王鐘指出,它降低了安全管理的風險���,同時降低了安全管理的運維費用和成本���。當具備智能能力的時候,某個安全事件的防范會變成一個主動的防范����。同時,對于安全事件的分析來說�,之前所有的分析都是單獨的分析,需要人工去挖掘�����。有了智能以后���,這個安全事件的分析�,就變成一種智能的分析、相關的分析和主動的分析�����。
另外�����,下一代智能防火墻能夠對安全和流量數(shù)據(jù)進行深度的數(shù)據(jù)分析����,并進行主動監(jiān)測��,這樣可以為用戶提供基于風險的安全保障����。管理員可以基于感知到的風險進行安全管控,在事發(fā)之前防范安全問題或系統(tǒng)網(wǎng)絡中斷�����。
在王鐘看來����,具備了智能特性以后�,安全不再是從攻擊出發(fā)��,因為很多攻擊是年復一年��、日復一日持續(xù)進行的攻擊��。安全也不是從規(guī)則出發(fā)�,因為規(guī)則只是一個手段。其實應該從數(shù)據(jù)出發(fā)�,從多個維度進行設備當前狀態(tài)和歷史狀態(tài)的數(shù)據(jù)分析,幫助管理員實時掌握網(wǎng)絡當前狀態(tài)��,并且能夠快速通過關聯(lián)操作進行相關控制�。
雙指數(shù)打分 反映網(wǎng)絡和威脅狀態(tài)
既然說到智能,對于最終用戶又是如何體現(xiàn)的呢?山石網(wǎng)科發(fā)布的下一代智能防火墻�,對于管理員來說可以基于感知到的風險進行安全管控,在事發(fā)之前防范安全問題或系統(tǒng)網(wǎng)絡中斷��。并允許用戶全局總覽網(wǎng)絡�����、用戶和應用�,并動態(tài)控制策略。
山石網(wǎng)科市場副總裁張凌齡認為,在一個以風險為核心的安全管理中��,監(jiān)控和檢測技術就顯得尤為重要�����。首先早期的檢測很重要;其次我們不能只是依賴于攻擊特征庫��,攻擊特征庫對于首次出現(xiàn)的零日攻擊沒有作用�,并且現(xiàn)代先進的攻擊每一個都是“不同的”���,特征迥異�����,不容易判斷;而持續(xù)的攻擊讓基于時間軸的行為模式分析顯得異常重要���。這就需要一種技術,能夠在正常的網(wǎng)絡活動中發(fā)現(xiàn)“變化”��,找到攻擊或者入侵的早期征兆�����,從而實現(xiàn)“防范于未然”。
山石網(wǎng)科認為防火墻不應該只是“一堵墻”�,智能的防火墻是一個平臺,它在網(wǎng)絡的核心節(jié)點上監(jiān)控著網(wǎng)絡�����、用戶和應用的健康狀況���。山石網(wǎng)科采用了一個全新的方法�����,通過兩個指數(shù)�����,給重要的監(jiān)控目標打分���,通過這樣的方法來直觀地反映網(wǎng)絡和威脅的狀態(tài)。首先通過全網(wǎng)健康指數(shù)(NHI)來監(jiān)控網(wǎng)絡環(huán)境健康;然后通過行為信譽指數(shù)(BRI) 來對用戶����、應用和服務主體打分。有了這樣的一個信譽評分制���,管理員就可以根據(jù)用戶的信譽分數(shù)來動態(tài)調(diào)整策略���,決定是否讓他進入網(wǎng)絡���。張凌齡表示,這個方法的重要意義在于將“信譽”作為第八元組引入防火墻的控制��,使防火墻在原有的防護基礎上增加了對于網(wǎng)絡風險的控制�����。
張凌齡指出�,全網(wǎng)健康指數(shù)通過主動檢測的技術����,實時監(jiān)控網(wǎng)絡的聯(lián)通性。通���、堵還是斷了��、設備資源的利用情況�����,CPU/內(nèi)存的使用情況���、業(yè)務服務器響應的延遲情況�,通過一個專利的算法�����,形成網(wǎng)絡整體的健康指數(shù)��,供管理員參考��。如果業(yè)務服務延遲大于正常�����,在我們的算法中認為整網(wǎng)健康都有危險����,對管理員會做響應的預警。
行為信譽度以用戶為例�����,比如說發(fā)現(xiàn)某一用戶有大量非法下載��,使用網(wǎng)絡掃描工具,并且多次重試服務器密碼等行為�,這些關聯(lián)的事件會影響該用戶在網(wǎng)絡中的信譽分數(shù)。他的這些行為會引起管理員的警覺�。
“總結起來,山石網(wǎng)科下一代智能防火墻就是在準確�、深度辨識用戶身份、服務器和應用的基礎上�,對其進行長期監(jiān)控;分別以全網(wǎng)健康指數(shù)對網(wǎng)絡健康狀態(tài)打分;以行為信譽指數(shù)對用戶及服務器狀態(tài)打分,然后對“高危”人員或者“高危”服務器實行相應的預警或者有效的控制�。”張凌齡說。
王鐘強調(diào)��,雖然這兩個指數(shù)呈現(xiàn)出來的只是一個數(shù)字���,但數(shù)據(jù)背后是大量的數(shù)據(jù)挖掘和分析來做決策的支撐。兩個指數(shù)背后的是智能��,呈現(xiàn)給用戶的是簡單��,是因為我們把復雜的東西隱藏在簡單背后�。
據(jù)悉,山石網(wǎng)科下一代智能防火墻的技術愿景將分為三個階段完成��,T5060的發(fā)布是分享其理念和第一階段的成果����。第一階段以實現(xiàn)全網(wǎng)的健康狀態(tài)的檢測和監(jiān)控為核心;第二階段��,實現(xiàn)對用戶�、服務器及服務的行為信譽監(jiān)控���,并且通過關聯(lián)分析對僵尸網(wǎng)絡���、異常行為及APT攻擊做預警和報告;第三階段,將在監(jiān)控和報告的基礎上�����,實現(xiàn)動態(tài)的策略調(diào)整和控制�。
