下一代防火墻(NGFW)能否代表下一代安全發(fā)展趨勢(shì)?據(jù)國(guó)際著名研究機(jī)構(gòu)Gartner的研究和分析稱，智能將成為未來(lái)網(wǎng)絡(luò)安全和硬件防火墻發(fā)展的趨勢(shì)。帶著對(duì)這個(gè)話題的各種疑問(wèn)，作者研究了目前市場(chǎng)中唯一上市的“智能安全網(wǎng)絡(luò)設(shè)備”——山石網(wǎng)科的下一代智能防火墻，并將其與NGFW在實(shí)現(xiàn)技術(shù)上進(jìn)行了一番比較。

[[109024]]   

安全防御方式和理念不同——基于實(shí)時(shí)的流量數(shù)據(jù)分析與基于特征識(shí)別

基于特征的防御方式，是傳統(tǒng)防火墻和NGFW共同采用的安全機(jī)制，其原理主要是在發(fā)現(xiàn)新的攻擊后，系統(tǒng)監(jiān)控流量然后匹配特征中的模式，如果找到匹配項(xiàng)，會(huì)將流量標(biāo)記為可能的攻擊。它的優(yōu)點(diǎn)在于非常適合檢測(cè)未加密的已知攻擊，但缺陷也很明顯, 它對(duì)以多種形態(tài)出現(xiàn)的新型惡意軟件和攻擊類型、APT及0-day攻擊所帶來(lái)的威脅基本上無(wú)能為力。

iNGFW(下一代智能防火墻)在防御方式上彌補(bǔ)了這種缺陷，繼承性地發(fā)展和擴(kuò)展了NGFW 的7 元組理論，加入了網(wǎng)絡(luò)安全防護(hù)的第8 個(gè)新元素——行為信譽(yù)指數(shù)。并提出了基于風(fēng)險(xiǎn)的安全管理以及基于數(shù)據(jù)分析的異常檢測(cè)理念。針對(duì)已知威脅的防護(hù)時(shí)，其繼承了傳統(tǒng)基于特征的防御方式，而針對(duì)未知的安全威脅，其基于實(shí)時(shí)的流量數(shù)據(jù)分析技術(shù)來(lái)檢測(cè)網(wǎng)絡(luò)中異常，原理是通過(guò)對(duì)網(wǎng)絡(luò)中的用戶、服務(wù)器等對(duì)象的實(shí)時(shí)流量的行為進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析，不斷自適應(yīng)學(xué)習(xí)和調(diào)整行為基線來(lái)檢測(cè)網(wǎng)絡(luò)中異常和未知威脅。同時(shí)iNGFW還會(huì)對(duì)網(wǎng)絡(luò)中異常流量和威脅進(jìn)行預(yù)警和提前防范，幫助管理者實(shí)時(shí)、直觀掌握網(wǎng)絡(luò)中威脅狀況。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理不同——基于主動(dòng)檢測(cè)技術(shù)的全網(wǎng)健康指數(shù)與基于可視化的用戶與應(yīng)用

NGFW的基礎(chǔ)是應(yīng)用、用戶和內(nèi)容的識(shí)別，通過(guò)識(shí)別并結(jié)合監(jiān)控、日志、報(bào)表來(lái)實(shí)現(xiàn)用戶、應(yīng)用等可視化，從而調(diào)整安全策略來(lái)進(jìn)行安全風(fēng)險(xiǎn)的管理。但是，其無(wú)法幫助管理者對(duì)整網(wǎng)運(yùn)行情況尤其是關(guān)鍵業(yè)務(wù)的可用性和連續(xù)性，包括服務(wù)器運(yùn)行狀況、網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)、用戶和應(yīng)用行為規(guī)律等等無(wú)法做到進(jìn)一步的了解。

相比較而言，iNGFW基于主動(dòng)檢測(cè)技術(shù)的全網(wǎng)健康指數(shù)，通過(guò)定期分析監(jiān)控網(wǎng)絡(luò)中的設(shè)備資源、業(yè)務(wù)服務(wù)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)、安全威脅狀況，并關(guān)聯(lián)分析探測(cè)結(jié)果以總體評(píng)估網(wǎng)絡(luò)的健康情況和服務(wù)的可用性。在運(yùn)行狀況開(kāi)始惡化時(shí)，全網(wǎng)健康指數(shù)將會(huì)在服務(wù)完全不可用之前發(fā)出預(yù)警。同時(shí)iNGFW向管理者提供了更全面的類似“個(gè)人體檢報(bào)告”的可視化界面，將網(wǎng)絡(luò)中存在的亞健康項(xiàng)、危險(xiǎn)項(xiàng)一一提示，并直觀化地呈現(xiàn)在界面上，以幫助管理者更好地對(duì)網(wǎng)絡(luò)做深入了解。當(dāng)然，根據(jù)用戶至上的原則，iNGFW向管理者開(kāi)放了根據(jù)各公司不同情況，自行配置“合理健康狀態(tài)”的設(shè)置項(xiàng)。

排查網(wǎng)絡(luò)故障的方式不同——人工排除與智能排除

為了持續(xù)保證安全性，眾多的使用者不斷調(diào)整防火墻策略。頻繁的變更導(dǎo)致防火墻策略數(shù)量不斷增加，產(chǎn)生大量冗余、無(wú)效的策略。NGFW也一樣面臨同樣的問(wèn)題，在出現(xiàn)故障因?yàn)楣芾韱T很難判斷哪些策略有問(wèn)題，有時(shí)不得不逐條查閱歷史策略，以便準(zhǔn)確判斷故障所在。

iNGFW在這點(diǎn)上則將查找故障所耗費(fèi)的時(shí)間降到了最低，通過(guò)數(shù)據(jù)包路徑檢測(cè)、全局故障點(diǎn)檢測(cè)等智能分析診斷工具，針對(duì)網(wǎng)絡(luò)故障可以通過(guò)多種方式一鍵查詢，可以幫助管理者快速定位故障點(diǎn)，并提示出故障的原因以及對(duì)應(yīng)的策略配置，簡(jiǎn)單方便，一目了然。

流量管理的不同——智能流量管理與普通流量管理

包括NGFW在內(nèi)的傳統(tǒng)流控，可以根據(jù)用戶和應(yīng)用進(jìn)行帶寬的流量管理，但是大部分的傳統(tǒng)流控功能只能做到基于源IP地址，源端口，目的IP地址，目的端口和傳輸層協(xié)議號(hào)，也就是5元組的流量劃分。同時(shí)在包含關(guān)系的多級(jí)嵌套、流量精細(xì)劃分、業(yè)務(wù)優(yōu)先級(jí)、管理手段等方面也做得不夠細(xì)致。

iNGFW采用了兩層八級(jí)的智能流量控制，管理者可以在每一層中做到四級(jí)嵌套流量劃分，并提供一二層各級(jí)管道的流量排名及百分比等直觀各級(jí)管道實(shí)時(shí)流量管理視圖，規(guī)避了傳統(tǒng)流量控制無(wú)法區(qū)分復(fù)雜應(yīng)用和無(wú)法分析眾多非關(guān)鍵應(yīng)用的帶寬資源占用情況，并采用彈性帶寬分配機(jī)制。

從以上幾點(diǎn)對(duì)比來(lái)說(shuō)，下一代智能防火墻創(chuàng)新的技術(shù)讓人眼前一亮，也讓人對(duì)“智能安全設(shè)備”的未來(lái)充滿希望。有消息說(shuō)，山石網(wǎng)科將在今年推出其iNGFW的升級(jí)版和，讓我們期待在其新品中帶來(lái)更多驚喜。