作為中國網絡安全可視化技術的中堅力量和實踐專家，安博通產品經理在2017年RSA大會正式開展第一天著重走訪和調研了國際網絡安全可視化的主要參展廠商。經過初步整理和分析，在這里為大家奉上網絡安全可視化界的第一手新鮮資料，包括三個維度、七個趨勢、六家參展廠商以及未來發展預測。

網絡安全可視化的三個觀察維度

安博通產品經理認為，網絡安全可視化產品主要從以下三個維度對業務進行觀察：

1 整網路徑分析可視

在此維度上，產品重點功能以呈現由大量網絡與安全設備構成的企業網絡拓撲為基礎，以安全域的概念對網絡進行劃分，通過復雜的計算快速給出安全域到安全域節點到節點的訪問路徑，并在此基礎上疊加策略分析、流量分析、漏洞分析和威脅分析等多種服務。

要進行整網路徑分析，需要具備以下兩個主要技術能力：首先是兼容多樣性，產品需要通過讀取網絡信息進行路徑計算，如果需要完成安全域到安全域的業務路徑計算，其中可能包含大量節點間關系，僅讀取路由節點的信息是遠遠不夠的，還需要同時具備讀取網絡設備、安全網關設備、應用層安全設備、負載均衡設備等幾乎所有節點信息的能力，這對產品的性能也同時提出了很高要求;第二是產品的圖形計算能力，當處理安全域到安全域的業務流，而不是節點到節點簡單拓撲計算時，其運算量呈幾何級數增加，對數據庫和前臺呈現能力都帶來了極大的考驗，一旦出現計算問題將無法快速和直觀地進行圖形展現。

在所有調研廠商中，提問是否支持安全域到安全域的業務路徑分析與展示時，僅有Redseal一家答復支持，而其他廠商人員均直接答復無法支持，僅能支持節點到節點功能，且圖形化展示能力和返回時間相比Redseal存在一定差距。由此可見，在大規模跨地域廣域網或大型內網的場景下，Redseal適用性最佳，體現出其技術實力和積累。

[[183661]]

2 設備運維管理可視

在此維度上，產品主要關注基于設備及設備組的運維問題，而運維的靈魂就在于策略落地，圍繞著單機或全局防火墻設備的安全策略進行各種各樣的服務和操作，例如策略評分、策略遷移、策略清理等等，其核心目的還是幫助網絡管理員或IT manager進行快速高效可靠的運維工作。

說到組織的運維，自然離不開組織架構的概念，業界頂尖的IT運維工具都繞不開組織架構這個復雜而重要的需求。在運維方面，Tufin具備較強的優勢，Tufin產品可根據組織架構方便地創建多級嵌套關系的設備組，并基于不同層次的設備組給與不同的策略動作。面對復雜的組織架構時，“基于架構下策略”要比“基于策略套架構”更加高效，同時前者也比后者的實現難度高許多，可見Tufin在此種場景下的高適應度。尤其通過筆者與會場人員確認，在最新版本中，Tufin與Palo Alto設備組進行聯合開發，推出策略組解決方案，可適應龐大組織架構，配合Tufin優勢的工作流特性，更能提高兩者共同使用時的運維效率。

3 安全策略路徑可視

在此維度上，產品似乎稍顯遠離組織架構和整體網絡，而是緊緊抓住安全策略和用戶業務這兩個靈魂和重點提供服務，更加適合作為專門的策略管理工具出現，處理訪問關系特別復雜而且業務經常需要變更的組織。

而說到策略管理維度，FireMon無疑是更加老牌和資深的玩家，在其最新V8版本中，主要新增特性仍然圍繞著策略，包括：策略變更管理(全網策略和單一設備策略、策略健康度評分機制、策略評估報表和歷史記錄查詢等)、策略清理(基于安全域/節點的策略查詢、策略效率評估等)、策略合規檢查(基線檢查、策略白名單等)。可以說，從安全策略層面觀察，FireMon幾乎可以幫助一個IT manager做到所有想做的事情。

而對于安全策略的基本操作和呈現，則在五家參展廠商的產品中均提供類似功能，例如計算和查看路徑上的安全策略，或者基于某些安全威脅日志查看對應的安全策略，又或是基于節點查詢所有相關的安全策略。在安全策略路徑維度大書特書成為了所有人的共識，大家在此處也似乎無法通過一些特性拉開差距，在2017年的RSA大會上沒有看到基于策略的突破性技術革新，也不能不說是種遺憾。

網絡安全可視化的七個共同趨勢

筆者在走訪各個廠商的展臺時，均向工作人員提問在過去一年的開發工作中有何重大進展，也即在2017年新品種有哪些新增的功能，各廠商的回答存在驚人的相似，可見多家廠商的思路在獨創特色的同時，也因為業界必然趨勢而逐漸趨同。

1 云服務支持

在2016年，云上服務給世界帶來的變革毋庸贅言，云計算環境下的網絡安全服務也日漸成熟，網絡安全可視化方面也別無二致。所有廠商均提出在新版本中提供對Amazon Web Services(AWS)和其他云計算環境的支持，對Virtual Private Cloud(VPC)的部署和變更進行及時響應，提供基于云環境的可視化分析。

在各廠商的產品中，已經可以支持對VPC的識別和策略分析：

2 虛擬化支持

同樣成為各家相同關注點的是虛擬化環境中的vFirewall支持，各家廠商均能有效支持VMWARE NSX平臺以及主流虛擬化平臺，提供Software Defined Data Center(SDDC)的安全能力，這幾乎已經成為網絡安全可視化界的入門門檻，中國廠商如果想要進入可視化領域，還需要多多修煉虛擬化功力。

3 安全路徑呈現

在2016年的版本中，FireMon、Tufin以及Algosec三家公司沒有提供網絡路徑呈現功能，似乎他們更加關注于單個設備或設備組的安全策略，而非安全路徑。但在2017年的版本中，五家攻擊均提供了安全路徑計算和呈現功能，使其已經成為一種標配，足見此功能的用戶需求之迫切。盡管后來者在努力追趕，但基于前文說明，只有Redseal能提供安全域之間的路徑分析，而其他廠商依然停留在節點之間的層面。期待在2018年的RSA大會上，我們可以看到各家廠商對安全域路徑分析的支持。

4 與大數據領域展開合作

在與廠商溝通中，大家不約而同地提到了與大數據公司或多或少的合作，其中Redseal和Algosec均已經發布與Splunk合作的解決方案，兩者彼此調用使用處理漏洞和威脅數據，對發生的威脅做及時響應，再與路徑進行關聯。這也為中國安全可視化廠商提供了與大數據巨頭進行合作的新思路。

5 漏洞引入和比對

Redseal和Skybox兩家廠商具備較好的路徑計算和呈現能力，兩家廠商均將最新的漏洞信息導入到系統中，并與路徑上的威脅信息進行并對，從而確認威脅是否正在發生在關鍵路徑上，并能實時查詢漏洞的詳細信息，以便及時進行補救和處理。同時，Algosec也在其產品中提供漏洞處理功能。

6 Html 5頁面化

在最新發布版本中，多家廠商表示在前臺對瀏覽器進行更好的支持，以便于用戶使用瀏覽器代替原有的專用程序進行管理，甚至使用移動終端進行管理。與國內不同的是，網絡安全可視化在美國并非新興領域，幾家參展廠商已經有十年的歷史，當時還普遍使用JAVA Swing技術，不足以支撐如此復雜的數據和交互。而隨著Web技術發展和移動終端的普及，通過瀏覽器管理軟件已經成為現實，網絡管理員使用手機躺在沙發上進行策略管理已經是非常容易的事情。

7 功能疊加呈現

在過去幾年時間里，各個廠商選擇了具有各自特色的方向進行發展：Redseal深耕路徑，FireMon精于策略，Tufin關注運維。而在2017年RSA會議上，我們看到Redseal努力在路徑上疊加漏洞威脅分析和端點安全監測，FireMon做起了路徑呈現，Tulfin在策略遷移上下了大功夫。大家在彼此的優勢基礎上，不斷疊加其他功能并進行統一呈現，未來的安全可視化產品，必將更加高度集成統一化，將運維人員、IT經理或合規管理者統統納入目標用戶群，也必將因為趨同而產生更加直接和激烈的競爭。

六家參展廠商的橫向分析

1 Redseal

Redseal在整網路徑計算方面具備優勢，如果你有復雜的安全域配置和訪問關系而又需要經常查詢路徑是否合規，那么Redseal將是最佳也可能是唯一的選擇。同時Redseal與Splunk、Forescout和Rapid7進行深度合作，在各個領域疊加功能，其產品特性較為豐富。

值得一提的是，在漏洞處理方面，redseal提出了漏洞評級的概念，系統得到漏洞信息后會根據以下維度對漏洞進行重要性評估并給出漏洞評級，以便管理人員可以優先處理那些高優先級漏洞：漏洞主機是否可以從一個不被信任的網絡進行利用，漏洞主機是否存在可以通往資產或重要節點的路徑，漏洞可達路徑上的資產的重要性。例如，當漏洞主機存在路徑可以到達核心服務器或互聯網出口設備時，盡管此漏洞本身威脅性不高，但其依然應該被判定為高級漏洞，這就是“漏洞再高危與我無關，漏洞出現在我家才與我有關”概念的體現，可以幫助運維者擺脫傳統基于漏洞高危程度對海量日志做判定的錯誤。

2 Skybox

說到Skybox，似乎是Redseal與FireMon的結合，既在整網路徑方面和漏洞感知方面提供能力，也可以用于基于策略的運維，但在兩個方面均存在些許差距。在界面呈現方面略顯粗糙，讀取海量日志信息時缺乏有效的窗口工具，對于可視化產品來講，頁面的美觀呈現應該是核心競爭力。

如果用戶對路徑分析和策略管理同時存在需求，則Skybox提供的解決方案將會比較適用，其對虛擬環境和云環境的支持也已十分完善。

3 FireMon

FireMon依然在策略管理的細節上追求精益求精，從最新版本的改進內容大部分圍繞著安全策略就可見一斑，且將基于policy的產品進一步細分為Policy Optimizer和Policy Planner。同時，FireMon在展會上重點宣傳了新推出的風險分析產品安全管理產品，其核心功能也是基于對安全策略的處理，可以說在Firewall policy細分領域精耕細作，具備技術領先性。當筆者提問到相比同類產品最大的優勢時，FireMon工作人員的答復是性能：使用FireMon可以同時處理上千臺防火墻設備的網絡，但其他廠商的規格大約在百臺數量級。

FireMon的產品可以更貼切地被歸類為Firewall Policy manager，非常適合對防火墻策略存在重大需求的用戶。

4 Tufin

從工作流角度看，tufin是最先擁有workflow功能的廠商，已經可以處理SDN & 云環境，相比FireMon新推出的Policy Planner更為成熟和豐富。

Tufin對于用戶以一個專業的運維工具形象出現，可以讓用戶更高效地規劃和處理網絡、安全設施甚至IT系統。當被問到相比FireMon最大的優勢時，Tufin的答復是其他人與他們相比并不知道“設備組”和“策略組”的概念，Tufin最新與Palo Alto合作即在此方面。對于用戶數量眾多、組織架構特別復雜的組織機構，可以使用Tufin基于用戶組嵌套的策略特性，有助于解決紛繁復雜的運維問題。

5 Algosec

談到Algosec，其主打功能也是圍繞安全策略，尤其是當用戶使用Fortinet和CheckPoint防火墻時，Algo產品可以方便地在兩者間進行轉換，對于策略的翻譯和遷移更有效率。在設備運維和策略管理方面，Algosec提供與競爭對手類似的能力，在整網路徑方面，同樣僅能支持節點到節點的計算。

6 安博通

與以上參展廠商對比，來自國內的安博通安全策略可視化自適應分析平臺產品結合Redseal和FireMon的特性，已經具備整網路徑分析、工作流以及安全策略統一梳理功能，且支持本土化常見的防火墻和三層設備，適用于等級保護測評、內網安全運維、安全策略遷移等多個領域。

在最新展示的產品規劃中，安博通將自己擅長的流量分析能力與漏洞威脅分析能力疊加到可視化平臺中。當用戶計算路徑后，可即時查看路徑上的流量構成并確認是否存在安全威脅。相比其他參展廠商不對流量進行分析的做法，安博通憑借良好的應用識別功底，使用探針將流量進行解析和呈現，幫助用戶更好地了解自己的網絡流量模型，從而更有效地進行運維和處理威脅。

網絡安全可視化的未來發展預測

通過對2017 RSA大會上網絡安全可視化廠商的分析，我們不難得出結論，網絡安全可視化產品的未來必將走向云化、虛擬化、功能疊加化的方向;同時，在安全策略梳理、頁面可視化呈現、組織架構嵌套、安全域路徑計算等強技術“內功”領域，能夠提供最佳能力者將會取得市場的青睞;通過觀察業界領先者，我們發現產品在被區分和細化，產品系列將會逐漸豐富，不同功能將會分散到不同產品中被更加深入將成為趨勢，而非功能特性大集中;網絡安全可視化產品功能和規劃逐漸趨同，產品獨有特色正在消失，在安全策略管理方面似乎遇到創新瓶頸，從業者更多地對功能進行深入挖掘和用戶體驗的提升。

安博通作為網絡安全可視化技術的領軍廠商，提供對虛擬化環境的部署支持，并與中天翼云、數夢云、太極云等云計算巨頭進行深度合作，實現云化和虛擬化;在路徑計算、安全基線和策略統一梳理方面，安博通正集成越來越多國內外安全和網絡設備，提供更好的計算能力;在功能疊加方面，安博通規劃網絡流量分析與漏洞分析兩個模塊，在路徑上展示流量詳情和威脅詳情，幫助用戶打造真正的網絡安全作戰地圖。相信在不久的將來，安博通安全策略可視化自適應分析平臺必將走上舞臺，幫助更多用戶看透安全本質，體驗可視價值。