未來的攻擊目標(biāo)和層面正在逐漸轉(zhuǎn)移到七層的應(yīng)用層上，這就給網(wǎng)絡(luò)安全提出了新的嚴(yán)峻挑戰(zhàn)——如何在四層防護(hù)的基礎(chǔ)上，完成對新型應(yīng)用攻擊的防護(hù)，從而保障網(wǎng)絡(luò)用戶免受威脅之苦。

為了真正解決應(yīng)用時代的安全問題，以七層防護(hù)為核心的下一代安全網(wǎng)關(guān)(NGSG，Next Generation Security Gateway)出現(xiàn)了。下一代安全網(wǎng)關(guān)是在傳統(tǒng)安全網(wǎng)關(guān)四層靜態(tài)防護(hù)基礎(chǔ)上發(fā)展起來的新一代安全網(wǎng)關(guān)，它利用多種檢測技術(shù)滿足從鏈路層到應(yīng)用層的全面檢測，實(shí)現(xiàn)應(yīng)用級的安全防護(hù);利用多核處理器等新技術(shù)，解決在復(fù)雜檢測防護(hù)技術(shù)下的應(yīng)用層性能問題;它采用了統(tǒng)一防護(hù)策略，將應(yīng)用層復(fù)雜的防護(hù)功能融合起來，作為一個整體實(shí)現(xiàn)對網(wǎng)絡(luò)的全方位防護(hù)。

下一代智能檢測技術(shù)

下一代安全網(wǎng)關(guān)NGSG采用三種核心檢測引擎：狀態(tài)檢測、智能協(xié)議識別、智能內(nèi)容識別三個檢測引擎，作為安全威脅二~七層全面檢測的核心技術(shù)。

在網(wǎng)絡(luò)數(shù)據(jù)經(jīng)過端口物理處理芯片后，再經(jīng)過網(wǎng)絡(luò)專用引擎做基本的包解析重組和分流，進(jìn)入到NGSG的核心——多層檢測引擎中，在這里，主要包含三個檢測技術(shù)：

1. 狀態(tài)檢測。狀態(tài)檢測即利用四層TCP/IP的連接握手信息，建立狀態(tài)表項，利用表項信息監(jiān)控不同區(qū)域訪問的數(shù)據(jù)情況，并依照規(guī)則進(jìn)行數(shù)據(jù)包阻斷等安全保護(hù)措施。

利用狀態(tài)檢測技術(shù)，以及該模塊包含的相關(guān)的其他檢測方式——例如包過濾技術(shù)，NGSG可以完成對2~4層數(shù)據(jù)的基本檢測。

2. 智能協(xié)議識別。智能協(xié)議識別屬于動態(tài)識別技術(shù)，也是下一代安全網(wǎng)關(guān)NGSG同傳統(tǒng)安全網(wǎng)關(guān)的一個重要區(qū)別，智能協(xié)議識別是利用了協(xié)議端口分析技術(shù)、協(xié)議特征判斷、協(xié)議行為分析技術(shù)，并借用可以動態(tài)升級的應(yīng)用協(xié)議特征庫 、協(xié)議行為特征庫，來完成對復(fù)雜多變的鏈路層到應(yīng)用層各種協(xié)議的識別判斷和處理。

對于復(fù)雜的應(yīng)用，智能協(xié)議識別技術(shù)NIPR引擎按照如下順序進(jìn)行協(xié)議掃描，首先智能協(xié)議識別引擎對數(shù)據(jù)包的協(xié)議端口進(jìn)行判斷，并按照不同的協(xié)議加以分組，區(qū)分為靜態(tài)端口應(yīng)用(HTTP、POP3等)、動態(tài)端口應(yīng)用(如某些P2P軟件)，以及特殊協(xié)議類型(如某些病毒，或者部分黑客工具)。之后，進(jìn)入?yún)f(xié)議特征判斷，利用“應(yīng)用協(xié)議特征庫”，對超過500種的協(xié)議進(jìn)行特征匹配，并明確判斷靜態(tài)端口應(yīng)用、動態(tài)端口應(yīng)用，并可對部分特殊協(xié)議類型進(jìn)行準(zhǔn)確判斷。對于上兩步?jīng)]有完成的協(xié)議識別，進(jìn)入?yún)f(xié)議行為特征識別階段，對攻擊的行為特征庫信息進(jìn)行判斷。

由于該引擎的核心數(shù)據(jù)信息——應(yīng)用協(xié)議特征庫、協(xié)議行為特征庫可以實(shí)現(xiàn)動態(tài)升級，對于日益增多和變化的應(yīng)用協(xié)議可以基本做到實(shí)時跟進(jìn)，從而達(dá)到對各種應(yīng)用協(xié)議的準(zhǔn)確判斷。

3. 智能內(nèi)容識別。在NGSG的動態(tài)識別技術(shù)中，另一個重點(diǎn)即智能內(nèi)容識別。智能內(nèi)容識別的主要作用是在智能協(xié)議識別的基礎(chǔ)上，對協(xié)議內(nèi)的數(shù)據(jù)內(nèi)容進(jìn)行監(jiān)控識別。在智能內(nèi)容識別中，最重要的是識別算法的處理效率，從而確保整個NGSG以較高性能分析應(yīng)用層的數(shù)據(jù)。

智能內(nèi)容識別的第一個特點(diǎn)是基于流的掃描技術(shù)，在整個應(yīng)用層內(nèi)容的掃描識別過程中，不是將整個應(yīng)用信息完全還原后才開始進(jìn)行識別處理，而是在初期若干應(yīng)用報文進(jìn)入安全網(wǎng)關(guān)后就開始啟動掃描識別和判斷，并在檢測部分?jǐn)?shù)據(jù)后就開始對外發(fā)送數(shù)據(jù)。相對于基于文件的檢測技術(shù)(完全接收完數(shù)據(jù)再繼續(xù)檢測，檢測完畢后再繼續(xù)發(fā)送)，可以節(jié)省大量的檢測時間，提高智能內(nèi)容識別的檢測效率。

在智能內(nèi)容識別中的另一項技術(shù)則是內(nèi)容解碼，應(yīng)用中的內(nèi)容有可能發(fā)生了壓縮、編碼以及各種變形處理，在這里由內(nèi)容解碼進(jìn)行處理，之后進(jìn)入智能內(nèi)容識別的核心階段——和各動態(tài)庫或人工規(guī)則進(jìn)行高效內(nèi)容匹配階段。

在內(nèi)容匹配階段，主要可以根據(jù)惡意URL庫、病毒庫、攻擊規(guī)則庫三個安全庫，或者根據(jù)網(wǎng)管人員設(shè)定的內(nèi)容檢測規(guī)則，對通過安全網(wǎng)關(guān)的數(shù)據(jù)流進(jìn)行匹配，判斷各種攻擊、病毒或者非法URL，從而實(shí)現(xiàn)對數(shù)據(jù)內(nèi)容中包含的威脅進(jìn)行識別。

在保障上述三大檢測引擎的高效算法的基礎(chǔ)上，下一代安全網(wǎng)關(guān)NGSG對智能協(xié)議識別和智能內(nèi)容識別應(yīng)用到的五個安全庫(應(yīng)用協(xié)議特征庫 、協(xié)議行為特征庫、惡意URL庫、病毒庫、攻擊規(guī)則庫)進(jìn)行了優(yōu)化，在更新制作安全庫時，可以根據(jù)不同庫的應(yīng)用算法，對數(shù)據(jù)庫內(nèi)的信息進(jìn)行預(yù)編譯預(yù)優(yōu)化處理，從而提高檢索查詢時的效率。

借助云安全

對于下一代安全網(wǎng)關(guān)來說，需要解決的一個重要的安全問題就是應(yīng)用威脅的快速多變。NGSG引入云安全，是利用云計算加強(qiáng)和加速防御的安全機(jī)制，是解決當(dāng)前安全需要快速反應(yīng)的重要手段。

云安全系統(tǒng)的NGSG，最大的一個優(yōu)勢是安全庫的快速全面。在云安全系統(tǒng)中，核心是安全專家團(tuán)隊和由服務(wù)器組成的中央服務(wù)器群，核心系統(tǒng)對各種安全威脅進(jìn)行掃描，例如對于掛馬的網(wǎng)站進(jìn)行實(shí)時全面掃描，并立刻形成不可信URL數(shù)據(jù)庫更新，在各個政府、企業(yè)出口部署的NGSG獲取到這些最新的實(shí)時數(shù)據(jù)，對用戶的上網(wǎng)進(jìn)行控制，從而使用戶免受這些掛馬網(wǎng)站的侵害。

高效的硬件體系構(gòu)架

為了解決應(yīng)用級安全防護(hù)的問題，除了有一套高效、動態(tài)的檢測機(jī)制外，還需要有足夠強(qiáng)勁的硬件引擎和體系構(gòu)架。從某種程度上說，多核CPU其實(shí)是NP的升級版，很多工業(yè)級多核CPU就是在保留NP多微引擎轉(zhuǎn)發(fā)能力的基礎(chǔ)上，強(qiáng)化其計算能力，從而可以滿足二~七層各個級別處理的計算需求。

多核CPU可以對數(shù)據(jù)流量進(jìn)行多流并行處理，并利用類集群計算的原理，實(shí)現(xiàn)多核的統(tǒng)一分析，最終大幅提升7層應(yīng)用級防護(hù)效率。實(shí)驗室測試表明，對于一個外部帶寬充足，內(nèi)部總線、RAM等不構(gòu)成能力瓶頸的一個硬件系統(tǒng)，更換不同的多核CPU，系統(tǒng)應(yīng)用級性能會有大幅的提升，CPU的核數(shù)增加一倍，安全網(wǎng)關(guān)系統(tǒng)總轉(zhuǎn)發(fā)處理性能可以提升40%~80%(這主要依賴于具體是何種應(yīng)用的防護(hù)，以及相應(yīng)的算法的并行性情況而定)。但這也從一方面說明了多核CPU在提升應(yīng)用級防護(hù)中的效果。

【編輯推薦】

1. SINFOR UTM安全網(wǎng)關(guān)技術(shù)優(yōu)勢
2. Web安全呼喚“新型”安全網(wǎng)關(guān)
3. 聯(lián)想網(wǎng)御萬兆安全網(wǎng)關(guān)的節(jié)能省錢之道