服務熱線:400-960-2998
新聞中心  NEWS
您當前的位置:首頁 > 新聞中心> 技術支持

技術支持

下一代防火墻 突破于威脅可視化

      知名咨詢機構IDC下一代防火墻NGFW)定義了五方面的核心安全能力:對應用、用戶、內容的精細化識別與管控,一體化安全引擎,外部智能,全網可視化和高性能架構。其中可視化可能是最容易被廠商和用戶誤讀的一項能力,因為從英文visibility翻譯過來的這個詞,很容易被跑偏的理解到同樣被翻譯為可視化visualization這個詞上。


Visualization這個詞談起


      從字面理解,visualization指的是將抽象的事物清晰的呈現出來。具體到NGFW上,將海量的日志等原始數據信息以易懂的圖形化報表形式呈現出來確實是必備的基本能力之一。確切的說,僅僅簡單的將事件日志等數據信息粗暴的呈現給用戶的產品還不能稱為商業化產品;但即使做到了日志數據的圖形化呈現,與真正意義上的可視化仍相距甚遠——幾乎所有的技術人員在面對由傳統安全設備輸出的單調、重復、難懂的日志和報表時,都在為如何將它們與安全風險相掛鉤而面露難色。


      近年來一些廠商將越來越炫酷的UI界面或各類TOP 10排名灌之以深度可視化的名頭,這是典型的將visualization理解成了visibility。可視化不是簡單的將數據圖形化呈現,不是日志信息的簡單分類和歸集,而是深度挖掘這些原始數據素材之后的內在關聯,以全局視角幫助網絡管理者看清各種威脅,看清攻擊事件的全貌,幫助了解攻擊者的真正意圖和目標。從這個意義上講,visibility的準確翻譯應該是看得見的能力而非可視化


可視化的三重境界


      看得清是可視化的初級境界,也是對NGFW的最基本要求。


      在網絡應用高速發展的今天,超過90%的網絡應用運行在HTTP 80443端口上,大量應用可以進行端口復用和IP地址修改,導致IP地址不等于用戶、端口號不等于應用。在這樣的大背景下,如果還向管理者呈現一條條IP、端口等流量日志無助于看清網絡中的應用,更不用說洞悉應用上所承載的內容。


      下一代防火墻的可視化技術,可以根據應用的行為和特征實現對應用的識別。如果能夠實現與多種認證系統(ADLDAP等)無縫對接的話,還可以進一步自動識別出應用和IP地址所對應的用戶信息,勾畫出人-內容-應用的立體畫像,滿足新一代安全的網絡管控要求。


      看得全是可視化的第二重境界。NGFW區別于傳統防火墻的最大特征是NGFW可以在應用層上構建安全,可以有效抵御應用層威脅。當今應用層攻擊的一個大趨勢,是從單一攻擊手段向復合式攻擊演進,一次攻擊事件可能會觸發AVIPS等多個安全模塊的告警。看的全不但要求NGFW能夠看清人、內容、應用,更要能夠將分散在不同安全模塊上看似割裂的安全事件進行多維度的管理分析,徹底改變以UTM為代表的傳統安全設備的信息孤島詬病,幫助管理者從單一的安全事件了解攻擊的完整過程。


      這一點看似簡單,實現起來并不容易。一體化引擎架構不僅通過單次解碼,并行檢測解決了多安全模塊檢測所帶來的性能瓶頸,更是多安全模塊智能數據聯動的基礎——各安全模塊產生的信息可實現全維度關聯,使NGFW具備強大的模塊間安全協同能力和威脅情報聚合能力,用戶無需進行人工挖掘和分析即可全面掌握威脅全貌。


      看得透是可視化的更高一層境界。這里所說的看得透,指的是NGFW的可視化能力應具備一定的智能分析能力,幫助管理者定位可疑行為以預測風險。通俗一點講,就是只有做到見你所未見,才能實現知你所不知


      過去,我們將太多的精力放在了基于安全策略的實時防御上面,但事實證明以策略為核心的防護體系無法完全擋住威脅。近年來占據了安全圈新聞頭條的是越來越多的網絡失陷事件。為此,業內有廠商提出了以預測為核心的新一代安全防護體系,即通過動態的檢測網絡異常對后續攻擊進行預測,為調整防御策略提供依據。


      要實現更準確的預測,除了企業自身的安全運營數據外,還應包括外部的威脅情報。隨著云計算、大數據技術的不斷成熟,將云端的海量威脅情報信息及大數據的高度智能用于判別日趨復雜的威脅,已成為業界公認的技術發展方向。NGFW應具有與外部威脅情報庫聯動的能力,并能夠利用大數據分析技術,通過威脅情報預測攻擊事件,看清威脅特征庫中并未收錄的未知威脅。


NGFW
,如何突破于可視化?


        NGFW
應具有的可視化能力,言簡意賅的講,指的是通過圖形化界面的呈現,從用戶、應用、威脅等多個維度,體現流量的狀況、變化趨勢等。這項技術是從傳統防火墻的日志、報表功能演變過來的,但與傳統防火墻相比NGFW的可視化有幾點明顯的突破:


1
)能夠看到基于應用的流量而不是IP、端口;


2
)能夠提供關聯的分析,而不是割裂的看到每一個功能模塊的日志;


3
)對于統計的數據,具備一定的分析能力,而不是簡單的呈現。

 

                                              blob.png

 

      當可視化這個傳統安全能力具備了以上下一代基因后,就賦能以NGFW實現了安全能力上的突破:對于管理范圍內任意一臺主機,NGFW都可以精準定位并實時追蹤其網絡應用使用情況及與之相關的安全事件,方便管理者清晰的認知網絡運行狀態。


      通過深入的數據挖掘能夠形成安全趨勢分析,以及各類圖形化的統計分析報告,從應用和用戶視角多層面的將網絡應用的狀態展現出來;通過引入外部威脅情報,實現安全態勢感知和風險預測功能,解決單機設備與生俱來的短板。


      看不見賊就抓不到賊。預測,是更高層面上的看見。

 


Copyright ? 廣東諾訊計算機科技有限公司 ?? 粵ICP備13005013號???免責聲明??
中國 · 東莞 · 南城