i-NGFW與NGFW的四大不同
下一代防火墻(NGFW)能否代表下一代安全發展趨勢?據國際著名研究機構Gartner的研究和分析稱,智能將成為未來網絡安全和硬件防火墻發展的趨勢。帶著對這個話題的各種疑問,作者研究了目前市場中唯一上市的“智能安全網絡設備”——山石網科的下一代智能防火墻,并將其與NGFW在實現技術上進行了一番比較。
安全防御方式和理念不同——基于實時的流量數據分析與基于特征識別
基于特征的防御方式,是傳統防火墻和NGFW共同采用的安全機制,其原理主要是在發現新的攻擊后,系統監控流量然后匹配特征中的模式,如果找到匹配項,會將流量標記為可能的攻擊。它的優點在于非常適合檢測未加密的已知攻擊,但缺陷也很明顯, 它對以多種形態出現的新型惡意軟件和攻擊類型、APT及0-day攻擊所帶來的威脅基本上無能為力。
iNGFW(下一代智能防火墻)在防御方式上彌補了這種缺陷,繼承性地發展和擴展了NGFW 的7 元組理論,加入了網絡安全防護的第8 個新元素——行為信譽指數。并提出了基于風險的安全管理以及基于數據分析的異常檢測理念。針對已知威脅的防護時,其繼承了傳統基于特征的防御方式,而針對未知的安全威脅,其基于實時的流量數據分析技術來檢測網絡中異常,原理是通過對網絡中的用戶、服務器等對象的實時流量的行為進行數據關聯分析,不斷自適應學習和調整行為基線來檢測網絡中異常和未知威脅。同時iNGFW還會對網絡中異常流量和威脅進行預警和提前防范,幫助管理者實時、直觀掌握網絡中威脅狀況。
網絡安全風險的管理不同——基于主動檢測技術的全網健康指數與基于可視化的用戶與應用
NGFW的基礎是應用、用戶和內容的識別,通過識別并結合監控、日志、報表來實現用戶、應用等可視化,從而調整安全策略來進行安全風險的管理。但是,其無法幫助管理者對整網運行情況尤其是關鍵業務的可用性和連續性,包括服務器運行狀況、網絡關鍵節點、用戶和應用行為規律等等無法做到進一步的了解。
相比較而言,iNGFW基于主動檢測技術的全網健康指數,通過定期分析監控網絡中的設備資源、業務服務、關鍵網絡節點、安全威脅狀況,并關聯分析探測結果以總體評估網絡的健康情況和服務的可用性。在運行狀況開始惡化時,全網健康指數將會在服務完全不可用之前發出預警。同時iNGFW向管理者提供了更全面的類似“個人體檢報告”的可視化界面,將網絡中存在的亞健康項、危險項一一提示,并直觀化地呈現在界面上,以幫助管理者更好地對網絡做深入了解。當然,根據用戶至上的原則,iNGFW向管理者開放了根據各公司不同情況,自行配置“合理健康狀態”的設置項。
排查網絡故障的方式不同——人工排除與智能排除
為了持續保證安全性,眾多的使用者不斷調整防火墻策略。頻繁的變更導致防火墻策略數量不斷增加,產生大量冗余、無效的策略。NGFW也一樣面臨同樣的問題,在出現故障因為管理員很難判斷哪些策略有問題,有時不得不逐條查閱歷史策略,以便準確判斷故障所在。
iNGFW在這點上則將查找故障所耗費的時間降到了最低,通過數據包路徑檢測、全局故障點檢測等智能分析診斷工具,針對網絡故障可以通過多種方式一鍵查詢,可以幫助管理者快速定位故障點,并提示出故障的原因以及對應的策略配置,簡單方便,一目了然。
流量管理的不同——智能流量管理與普通流量管理
包括NGFW在內的傳統流控,可以根據用戶和應用進行帶寬的流量管理,但是大部分的傳統流控功能只能做到基于源IP地址,源端口,目的IP地址,目的端口和傳輸層協議號,也就是5元組的流量劃分。同時在包含關系的多級嵌套、流量精細劃分、業務優先級、管理手段等方面也做得不夠細致。
iNGFW采用了兩層八級的智能流量控制,管理者可以在每一層中做到四級嵌套流量劃分,并提供一二層各級管道的流量排名及百分比等直觀各級管道實時流量管理視圖,規避了傳統流量控制無法區分復雜應用和無法分析眾多非關鍵應用的帶寬資源占用情況,并采用彈性帶寬分配機制。
從以上幾點對比來說,下一代智能防火墻創新的技術讓人眼前一亮,也讓人對“智能安全設備”的未來充滿希望。有消息說,山石網科將在今年推出其iNGFW的升級版和,讓我們期待在其新品中帶來更多驚喜。
