全网可视助下一代防火墙点亮安全之“灯”
信息来源:千龙网 发表日期:2013-07-10 17:37:18
人类对于黑暗的恐惧与生俱来,在伸手不见五指的封闭环境中,哪怕是一枚硬币坠落地面的微弱声响,都会令人顷刻间毛骨悚然,有研究表明,害怕黑暗从远古时期就是人类无法克服的难题,在当时的条件下,古人因无法在黑暗中防范猛兽的威胁而感到恐惧。心理学家认为,恐惧黑暗并不是什么疾病,而是人类在未知环境里缺乏安全感的本能反应,换言之,只有在一切皆可见的环境里,人们才会感到安全。
“看得见”才安全
一百多年前,闻名世界的发明家爱迪生制作了世界上具有实用价值的电灯,人类从此掌握了化黑暗为光明的技术,在现代文明的社会里,人们在追求“光明”的道路上从未停止过探索。军事领域使用雷达预警威胁,重要设施部署视频监控增强安保,就连我们每天驾驶的汽车上,也装配了倒车影像系统来确保行车安全。
“可视化”技术用于保障行车安全
我们看到,一项项帮助我们做到“看得见”的科技发明被广泛的用于生产和生活中以保障安全,其实,在快速变换的网络世界里,近年来兴起的“可视化”概念同样是一项用来促进网络安全的重要技术。
“看得见”更要“看得清”
网络安全领域流传一句老话,叫做“三分是技术、七分靠管理”,讲的是安全建设过程中,管理比技术上的控制更加重要,但在现实工作中,这句“名言”往往难以落到实处。专家认为,管理需要有技术手段提供强有力的支撑,但几乎所有的技术人员在面对由传统安全设备输出的单调、重复、难懂的日志和报表时,都在为如何将它们与安全风险相挂钩而面露难色。
我们已经不止一次的讨论过,在应用爆炸式发展的大背景下,IP地址不等于用户、协议端口也早已不是应用的代名词,当管理者看到一条条基于地址、协议、端口的流量日志时,根本无法看清网络中到底在传输着什么流量,更无法洞悉数据的内容,而安全事件就在这不经意间发生了。当今的安全可视化技术,应当以用户、位置、应用、内容为基本要素,让管理者轻松了解数据的每一次交互才能实现真正的安全。
IP地址、协议、端口能告诉我们什么?
“看得清”更要“看的全”
除了流量信息以外,作为一款安全设备,对于安全事件的可视,则更为重要。应用层威胁、复合型攻击,尽管越来越普遍,但并不是在今天才开始出现,早在很多年前,大型网络就开始使用串行部署防火墙、入侵防御、防毒墙等设备实现多种威胁检测,2004年IDC又定义了成本更低、更受中小型网络青睐的UTM产品。从理论上讲,无论采用何种形态的方案,都应具备各种威胁识别和可视的能力。
但传统方案在技术上的原理限制了安全的提升,各个功能简单叠加,相互割裂,为了看清安全事件,网络管理者要到防火墙日志里去寻找网络层攻击的信息,到入侵防御系统里去看漏洞入侵行为,进入防毒墙了解病毒扫描的情况。各自为战的多个设备或功能模块,就像一个个信息孤岛,很难以同一个连接、同一次动作作为安全事件分析的维度,在网络攻击日趋精细化、多样化的今天,纵使网络管理者在不同设备上看到了各种各样的威胁,却仍然无法看到攻击的全貌,更无法了解攻击者真正的意图和目标。
割裂的日志无法洞悉攻击全貌
“看的全”更要“看得透”
可视化技术的初衷是为了提供直观、简单的信息,为管理策略的调整提供技术支撑,传统网络安全设备输出的日志、报表,多以IP、连接、带宽为维度,纵使统计全面、数据充分,但仍然很难帮助网络管理者了解网络的变化趋势,让安全只能被少数既精通技术又了解业务的专家所读懂。
在网络攻击日趋频繁的当今,下一代安全应是属于大众和全民的安全,这要求可视化界面不但要直观的呈现全面的统计信息,还要具备一定的智能分析能力,帮助网络管理者清楚的了解网络的变化,从而定位可疑行为以预知风险。
网康NGFW提供了怎样的可视化
网康NGFW,是一款为应对当今网络威胁而推出的新一代安全设备,满足上述对可视化技术的所有要求。
首先,网康NGFW是一款完全基于应用层的安全设备,能够识别3000多种互联网应用,拥有几十种用户识别技术,能将IP地址与地理位置关联,可帮助网络管理者深入的看到数据传输中人、应用和内容的情况,做到“看得更清”。
其次,区别于安全功能的简单叠加,网康NGFW采用一体化多威胁检测引擎,一次拆包即可检测所有威胁,这样的处理机制保证各项安全功能紧密联动,能够以同一连接、动作为维度看到数据包的所有检测情况,让管理者“看的更全”。
最后,网康NGFW在对大量行为信息收集的基础之上,可在同一页面通过一系列的单次点击就完成数据的挖掘和钻取,并且提供了基线对比的方式,能够以时间、流量、威胁为维度,对比出当前与同一历史时间段的差异,帮助管理者了解网络的变化趋势,分析可疑行为,这无疑可以帮助管理员“看得更透”。
网康NGFW的可视化界面
可视化到底带来了什么价值
可视化到底为我们带来了什么价值?在回答这个问题之前,让我们先来看一个真实的案例。
通过可视化界面找到僵尸主机
在上面的案例中,网康NGFW部署于网络的Internet出口处,管理者例行登录设备管理界面查看网络状态,通过色块统计我们发现某一流量占比极高,进而分析该协议流量,内网的一个用户正在向外发起几百万条连接,目标地址数量极多且分属于8个不同的国家和地区,通过分析具体的流量我们惊人的发现,该主机正频繁访问外网的高危端口且每次发送的字节数均为固定大小。通过NGFW提供的其它的统计和分析,我们进一步确认该主机正在受到外网的控制,并向外网发送大量恶意连接,是一台典型的僵尸主机,最终,我们主动调整了防火墙策略,整网流量逐渐趋于正常。通过可视化技术,让我们通过几次简单地页面点击,就根据行为特征及时发现了隐蔽性极高的威胁,这在传统的网络安全设备里是不可想象的。
上述案例告诉我们,在先前,我们习惯了基于特征库检测的方式来识别和拦截威胁,但这种被动检测的方式,永远是在攻击发生后才开始研究攻击,在快速变种后就不再识别威胁,用“亡羊补牢”和“按图索骥”来形容再合适不过。尽管基于特征码检测的技术仍是迄今为止颇具效率的威胁防御方式,但在定制攻击、零日攻击、快速变种以及高隐蔽性攻击越来越普遍的今天,仅靠预防性的控制已不能提供完整的安全。下一代防火墙所极力倡导的“主动防御”概念,通过数据收集、数据挖掘、行为分析进而发现异常、定位威胁,并较终通过调整策略拦截威胁,使得预防性控制措施失效时,还能够通过依然可靠的检测性控制来弥补,而较大化的全网可视技术恰恰为我们提供了这种检测性控制的管理接口。
因此,如果说下一代防火墙带给我们的是安全管理理念上的巨大变革,那么可视化技术的运用无疑让安全变得更加简单、主动,为用户点亮安全的明灯。
千龙网:http://tech.qianlong.com/33443/2013/07/10/7144@8785884.htm