東軟NISG:后發先至 為應用而生
11月6日,東軟集團在其2009解決方案論壇的信息安全分論壇上,宣布推出一款具有行業標桿意義的新產品NISG集成安全網關,在今年信息安全領域新品乏善可陳的時候,這一發布可謂意義重大。
ISG(Integration Security Gateway)可以稱之為集成安全網關,想來在安全領域,已經不是什么新鮮的概念。畢竟早先的安全網關,包括防火墻、VPN網關、IPS、防病毒網關、防垃圾郵件網關、抗DDoS網關等各種類型,經過市場需求的千錘百煉,已經邁向集中、和諧統一的趨勢,如此就誕生了集成安全網關的概念。
而UTM概念的普及,很好的印證了集成安全網關的生命力。
然而,由于UTM背負著太多的使命,同時在出現伊始就被賦予了“萬能”的光環,導致該產品在一種非正常的環境下“努力”成長的狀態。
因此,我們必須重新審視安全集成網關,重新回歸理性的思考,重新探索集成安全網關的發展方向。
為什么關注NISG?
NISG中的N,一般可以理解成NEW ,意譯為新一代。但是在東軟的解釋中,N這個字母含義頗豐,N既是東軟Neusoft的開頭字母,也是安全子品牌NetEye開頭字母。同時也包含了Next的含義,表示了東軟集團對東軟下一代集成安全網關寄予了厚望。對于新品,東軟安全希望從用戶業務應用的實際需求出發,通過相應的功能,真正保障用戶各種各樣的業務應用安全,而不是一味的比拼性能、比拼功能種類,而是有的放矢,打有準備的仗,即后發先至、一招制敵!
毫無疑問,人們賴以生存的網絡,將會從“路由器為核心”的轉發型網絡向以“服務和數據為核心”的應用網絡轉變,因此未來網絡攻擊會有一些明顯的需求特征:
1.傳統4層防火墻的普遍應用,使得攻擊技術會轉而面向傳統安全網關的盲區——應用安全,針對某些應用的專項攻擊、或者利用某些應用作為攻擊通道將會成為主流;
2.視頻、語音等大數據業務會決定網絡帶寬繼續擴大,對安全網關轉發性能的需求是持續的;
3.電子商務、網上銀行、投資理財、虛擬交易等應用會使網絡攻擊更加具有吸引力,攻擊頻率會加大,攻擊方式也會多樣化;
4.傳統局域網內網的擴大和復雜,使得網絡內部攻擊和泄密更加嚴重;
5.3G的普及指日可待,對應移動終端應用需求的網關安全問題也將爆發。
因此,NISG是面向這些網絡威脅新趨勢,定位于應用層防護、專注有針對性功能的集成安全網關,它具有一系列特點,以適應未來3~5年的網絡威脅防護發展趨勢。
所謂應用層防護,包括針對WEB服務、電子郵件、數據服務器、電子商務、VoIP和視頻會議的抗DDoS攻擊、P2P的監控、IM的監控,內容審計等等,這些都會是未來應用安全防護的重點,而相對于TCP/IP協議的整齊劃一,應用協議最大特點是應用協議多樣性、多變性。
而有針對性的功能策略,則是指根據特定的用戶環境,根據多變的應用協議,在成本控制(包括資金投入、管理難易度、性能需求)的前提下,提供相應的功能需求解決方案,最大程度的保障用戶的業務應用。
東軟NISG將三層交換技術和NEL技術完美融合應對多變的應用協議?
基于應用協議的多樣性、多變性,東軟研究人員一直在研究對策,其中主要關注在引擎研制、協議分析和攻擊數據的檢測,同時這三個方面的復合工作能力也是很關鍵的克敵籌碼。例如,針對CVE-2001-0009漏洞(使用URL“http://target/.nsf/../winnt/win.ini”將導致win.ini文件內容被返回給發出URL請求的客戶端),我們是否可以只對協議指定范圍的位置進行查找,無需再去整個網頁中的其他位置查找,這既增加了檢查的效率,又避免了其它位置存在關鍵特征字符導致的誤報。再舉例而言,針對TERADROP攻擊,我們可以對前后緊鄰的數據包進行排序分析,從而準確識別此類攻擊,而同時,我們也做到了第一時間快速檢測出風險并進行阻斷。
通過多年的技術研發,東軟目前擁有國際領先的NEL專利核心技術。該技術可將引擎、協議分析和攻擊檢測數據通過NEL技術快速融合。NEL增加了檢測技術的兼容性,檢測粒度非常精細,從而提高檢測的效率,提高快速防御功能,提升用戶的網絡安全性。
同時,NISG采用了先進的三層交換技術增加了產品在復雜網絡中的適應性,帶來了極大的部署和配置的靈活性。該技術將二層交換和三層路由的優勢結合成為一個有機的整體,實現了“一次路由、后續二次轉發”的快速包轉發技術,并實現了VLAN與接口融合的密切耦合。該技術的采用使得VLAN、Trunk、Channel等技術能夠很方便地在NISG上實施,減輕了管理員配置維護的工作負擔。
如何最大限度發揮安全網關的能力?
業內人士通常都會清楚,銀行、電信、電力等大型行業用戶的數據中心通常部署著數十臺甚至數百臺網絡服務器,分屬于數十個不同的業務部門。這些服務器都有安全防護的需求,在部署安全網關對服務器進行安全防護時,每個業務部門都會有一些個性化需求,而且隨著業務系統的建設和調整也需要安全網關的安全策略相應調整。因此,采用以前單一安全網關對整個內部服務器群進行防護,很難同時滿足不同業務部門服務器的實際安全需求,并且一個部門的安全策略的改變可能導致整體的網絡安全策略和網絡結構都要進行相應的調整,增加了管理維護的復雜性和難度。如果為每個部門采購獨立的安全網關設備,又會帶來安全投資的增加,占用緊張的機架空間,而且使網絡中的故障點增多。
另外,以往單一安全網關部署中也存在性能浪費的情況。大多數網絡環境中網絡利用率不到20%,即使在峰值的時候通常也不會超過40%,而企業對安全產品采購的標準通常都是以其處理性能遠高于峰值來確定的,這無疑造成了性能在使用周期內的浪費。對于一些比較重要的業務部門,如財務部或總經理辦公室,出于加強內控的考慮,企業往往會采購一臺單獨的安全網關進行安全防護,而這些部門的流量往往很小,大多數情況下部署的單一安全網關發揮出的性能不到10%。因此,在部署多臺單一的網絡環境中,由于存在性能上的浪費,在解決管理獨立性的前提下,單一安全網關的數量完全可以壓縮而對網絡和應用性能不產生任何影響。
那么,有沒有一種辦法,既可以充分利用國際目前先進的虛擬技術,在保證管理的獨立性下,又可以降低單一安全網關的數量和采購投資呢?虛擬集成安全網關技術給出了很好的解決辦法。虛擬集成安全網關技術可以在充分發揮安全網關性能的同時,大幅降低用戶的以往單一安全網關類產品購置成本和整體擁有成本(TCO),己成為安全網關領域的一個主流技術。
虛擬集成安全網關技術——東軟NISG必殺技
虛擬集成安全網關技術就是將一臺東軟NISG在邏輯上劃分成多臺虛擬的NISG,每個虛擬系統都可以被看成是一臺完全獨立的NISG設備。虛擬系統在電信、電力調度、金融等行業得到了廣泛的應用。其中,在IDC(互聯網數據中心)提供的安全保障服務中,虛擬系統在降低安全建設投資和運行維護成本,滿足用戶安全防護的個性化需求方面,起到了重要的作用。
該技術可以將一臺物理上的安全網關設備劃分成多臺邏輯上的虛擬集成安全網關,針對不同的應用采用不同的安全策略,如下圖所示:
針對郵件服務器,可以采用VNISG#1中的ANTISPAM模塊;針對WEB服務器,可以采用VNISG#2中的WEB防護模塊;針對VNISG#3中的數據庫服務器,可以采用IPS模塊。另外,在從系統資源上對三個虛擬集成安全網關進行劃分,根據業務情況分配合理的帶寬及并發連接資源。不同的安全防護策略配合合理的資源劃分,可以保證NISG有效的對服務器進行安全防護,同時,即便某個虛擬集成安全網關由于受到攻擊而無法響應新的請求,也不會影響其他虛擬集成安全網關對其他服務器的防御效果。
東軟NISG集成安全網關,是東軟安全基于全球安全威脅防護的需求分析,充分考慮用戶應用需求之后研發的一款新產品。 NISG 依靠東軟自主原創的實力及產品強大且先進的功能將成為一條非常重要的產品線,相比之前東軟 NetEye系列防火墻、IDS、IPS、SOC、NTARS、NTPG等“專業醫院”而言,NISG這類“綜合醫院”產品具有劃時代的意義。
【編輯推薦】
