未來的攻擊目標(biāo)和層面正在逐漸轉(zhuǎn)移到七層的應(yīng)用層上，這就給網(wǎng)絡(luò)安全提出了新的嚴(yán)峻挑戰(zhàn)——如何在四層防護(hù)的基礎(chǔ)上，完成對(duì)新型應(yīng)用攻擊的防護(hù)，從而保障網(wǎng)絡(luò)用戶免受威脅之苦。

為了真正解決應(yīng)用時(shí)代的安全問題，以七層防護(hù)為核心的下一代安全網(wǎng)關(guān)(NGSG，Next Generation Security Gateway)出現(xiàn)了。下一代安全網(wǎng)關(guān)是在傳統(tǒng)安全網(wǎng)關(guān)四層靜態(tài)防護(hù)基礎(chǔ)上發(fā)展起來的新一代安全網(wǎng)關(guān)，它利用多種檢測(cè)技術(shù)滿足從鏈路層到應(yīng)用層的全面檢測(cè)，實(shí)現(xiàn)應(yīng)用級(jí)的安全防護(hù);利用多核處理器等新技術(shù)，解決在復(fù)雜檢測(cè)防護(hù)技術(shù)下的應(yīng)用層性能問題;它采用了統(tǒng)一防護(hù)策略，將應(yīng)用層復(fù)雜的防護(hù)功能融合起來，作為一個(gè)整體實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全方位防護(hù)。

下一代智能檢測(cè)技術(shù)

下一代安全網(wǎng)關(guān)NGSG采用三種核心檢測(cè)引擎：狀態(tài)檢測(cè)、智能協(xié)議識(shí)別、智能內(nèi)容識(shí)別三個(gè)檢測(cè)引擎，作為安全威脅二~七層全面檢測(cè)的核心技術(shù)。

在網(wǎng)絡(luò)數(shù)據(jù)經(jīng)過端口物理處理芯片后，再經(jīng)過網(wǎng)絡(luò)專用引擎做基本的包解析重組和分流，進(jìn)入到NGSG的核心——多層檢測(cè)引擎中，在這里，主要包含三個(gè)檢測(cè)技術(shù)：

1. 狀態(tài)檢測(cè)。狀態(tài)檢測(cè)即利用四層TCP/IP的連接握手信息，建立狀態(tài)表項(xiàng)，利用表項(xiàng)信息監(jiān)控不同區(qū)域訪問的數(shù)據(jù)情況，并依照規(guī)則進(jìn)行數(shù)據(jù)包阻斷等安全保護(hù)措施。

利用狀態(tài)檢測(cè)技術(shù)，以及該模塊包含的相關(guān)的其他檢測(cè)方式——例如包過濾技術(shù)，NGSG可以完成對(duì)2~4層數(shù)據(jù)的基本檢測(cè)。

2. 智能協(xié)議識(shí)別。智能協(xié)議識(shí)別屬于動(dòng)態(tài)識(shí)別技術(shù)，也是下一代安全網(wǎng)關(guān)NGSG同傳統(tǒng)安全網(wǎng)關(guān)的一個(gè)重要區(qū)別，智能協(xié)議識(shí)別是利用了協(xié)議端口分析技術(shù)、協(xié)議特征判斷、協(xié)議行為分析技術(shù)，并借用可以動(dòng)態(tài)升級(jí)的應(yīng)用協(xié)議特征庫(kù) 、協(xié)議行為特征庫(kù)，來完成對(duì)復(fù)雜多變的鏈路層到應(yīng)用層各種協(xié)議的識(shí)別判斷和處理。

對(duì)于復(fù)雜的應(yīng)用，智能協(xié)議識(shí)別技術(shù)NIPR引擎按照如下順序進(jìn)行協(xié)議掃描，首先智能協(xié)議識(shí)別引擎對(duì)數(shù)據(jù)包的協(xié)議端口進(jìn)行判斷，并按照不同的協(xié)議加以分組，區(qū)分為靜態(tài)端口應(yīng)用(HTTP、POP3等)、動(dòng)態(tài)端口應(yīng)用(如某些P2P軟件)，以及特殊協(xié)議類型(如某些病毒，或者部分黑客工具)。之后，進(jìn)入?yún)f(xié)議特征判斷，利用“應(yīng)用協(xié)議特征庫(kù)”，對(duì)超過500種的協(xié)議進(jìn)行特征匹配，并明確判斷靜態(tài)端口應(yīng)用、動(dòng)態(tài)端口應(yīng)用，并可對(duì)部分特殊協(xié)議類型進(jìn)行準(zhǔn)確判斷。對(duì)于上兩步?jīng)]有完成的協(xié)議識(shí)別，進(jìn)入?yún)f(xié)議行為特征識(shí)別階段，對(duì)攻擊的行為特征庫(kù)信息進(jìn)行判斷。

由于該引擎的核心數(shù)據(jù)信息——應(yīng)用協(xié)議特征庫(kù)、協(xié)議行為特征庫(kù)可以實(shí)現(xiàn)動(dòng)態(tài)升級(jí)，對(duì)于日益增多和變化的應(yīng)用協(xié)議可以基本做到實(shí)時(shí)跟進(jìn)，從而達(dá)到對(duì)各種應(yīng)用協(xié)議的準(zhǔn)確判斷。

3. 智能內(nèi)容識(shí)別。在NGSG的動(dòng)態(tài)識(shí)別技術(shù)中，另一個(gè)重點(diǎn)即智能內(nèi)容識(shí)別。智能內(nèi)容識(shí)別的主要作用是在智能協(xié)議識(shí)別的基礎(chǔ)上，對(duì)協(xié)議內(nèi)的數(shù)據(jù)內(nèi)容進(jìn)行監(jiān)控識(shí)別。在智能內(nèi)容識(shí)別中，最重要的是識(shí)別算法的處理效率，從而確保整個(gè)NGSG以較高性能分析應(yīng)用層的數(shù)據(jù)。

智能內(nèi)容識(shí)別的第一個(gè)特點(diǎn)是基于流的掃描技術(shù)，在整個(gè)應(yīng)用層內(nèi)容的掃描識(shí)別過程中，不是將整個(gè)應(yīng)用信息完全還原后才開始進(jìn)行識(shí)別處理，而是在初期若干應(yīng)用報(bào)文進(jìn)入安全網(wǎng)關(guān)后就開始啟動(dòng)掃描識(shí)別和判斷，并在檢測(cè)部分?jǐn)?shù)據(jù)后就開始對(duì)外發(fā)送數(shù)據(jù)。相對(duì)于基于文件的檢測(cè)技術(shù)(完全接收完數(shù)據(jù)再繼續(xù)檢測(cè)，檢測(cè)完畢后再繼續(xù)發(fā)送)，可以節(jié)省大量的檢測(cè)時(shí)間，提高智能內(nèi)容識(shí)別的檢測(cè)效率。

在智能內(nèi)容識(shí)別中的另一項(xiàng)技術(shù)則是內(nèi)容解碼，應(yīng)用中的內(nèi)容有可能發(fā)生了壓縮、編碼以及各種變形處理，在這里由內(nèi)容解碼進(jìn)行處理，之后進(jìn)入智能內(nèi)容識(shí)別的核心階段——和各動(dòng)態(tài)庫(kù)或人工規(guī)則進(jìn)行高效內(nèi)容匹配階段。

在內(nèi)容匹配階段，主要可以根據(jù)惡意URL庫(kù)、病毒庫(kù)、攻擊規(guī)則庫(kù)三個(gè)安全庫(kù)，或者根據(jù)網(wǎng)管人員設(shè)定的內(nèi)容檢測(cè)規(guī)則，對(duì)通過安全網(wǎng)關(guān)的數(shù)據(jù)流進(jìn)行匹配，判斷各種攻擊、病毒或者非法URL，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)內(nèi)容中包含的威脅進(jìn)行識(shí)別。

在保障上述三大檢測(cè)引擎的高效算法的基礎(chǔ)上，下一代安全網(wǎng)關(guān)NGSG對(duì)智能協(xié)議識(shí)別和智能內(nèi)容識(shí)別應(yīng)用到的五個(gè)安全庫(kù)(應(yīng)用協(xié)議特征庫(kù) 、協(xié)議行為特征庫(kù)、惡意URL庫(kù)、病毒庫(kù)、攻擊規(guī)則庫(kù))進(jìn)行了優(yōu)化，在更新制作安全庫(kù)時(shí)，可以根據(jù)不同庫(kù)的應(yīng)用算法，對(duì)數(shù)據(jù)庫(kù)內(nèi)的信息進(jìn)行預(yù)編譯預(yù)優(yōu)化處理，從而提高檢索查詢時(shí)的效率。

借助云安全

對(duì)于下一代安全網(wǎng)關(guān)來說，需要解決的一個(gè)重要的安全問題就是應(yīng)用威脅的快速多變。NGSG引入云安全，是利用云計(jì)算加強(qiáng)和加速防御的安全機(jī)制，是解決當(dāng)前安全需要快速反應(yīng)的重要手段。

云安全系統(tǒng)的NGSG，最大的一個(gè)優(yōu)勢(shì)是安全庫(kù)的快速全面。在云安全系統(tǒng)中，核心是安全專家團(tuán)隊(duì)和由服務(wù)器組成的中央服務(wù)器群，核心系統(tǒng)對(duì)各種安全威脅進(jìn)行掃描，例如對(duì)于掛馬的網(wǎng)站進(jìn)行實(shí)時(shí)全面掃描，并立刻形成不可信URL數(shù)據(jù)庫(kù)更新，在各個(gè)政府、企業(yè)出口部署的NGSG獲取到這些最新的實(shí)時(shí)數(shù)據(jù)，對(duì)用戶的上網(wǎng)進(jìn)行控制，從而使用戶免受這些掛馬網(wǎng)站的侵害。

高效的硬件體系構(gòu)架

為了解決應(yīng)用級(jí)安全防護(hù)的問題，除了有一套高效、動(dòng)態(tài)的檢測(cè)機(jī)制外，還需要有足夠強(qiáng)勁的硬件引擎和體系構(gòu)架。從某種程度上說，多核CPU其實(shí)是NP的升級(jí)版，很多工業(yè)級(jí)多核CPU就是在保留NP多微引擎轉(zhuǎn)發(fā)能力的基礎(chǔ)上，強(qiáng)化其計(jì)算能力，從而可以滿足二~七層各個(gè)級(jí)別處理的計(jì)算需求。

多核CPU可以對(duì)數(shù)據(jù)流量進(jìn)行多流并行處理，并利用類集群計(jì)算的原理，實(shí)現(xiàn)多核的統(tǒng)一分析，最終大幅提升7層應(yīng)用級(jí)防護(hù)效率。實(shí)驗(yàn)室測(cè)試表明，對(duì)于一個(gè)外部帶寬充足，內(nèi)部總線、RAM等不構(gòu)成能力瓶頸的一個(gè)硬件系統(tǒng)，更換不同的多核CPU，系統(tǒng)應(yīng)用級(jí)性能會(huì)有大幅的提升，CPU的核數(shù)增加一倍，安全網(wǎng)關(guān)系統(tǒng)總轉(zhuǎn)發(fā)處理性能可以提升40%~80%(這主要依賴于具體是何種應(yīng)用的防護(hù)，以及相應(yīng)的算法的并行性情況而定)。但這也從一方面說明了多核CPU在提升應(yīng)用級(jí)防護(hù)中的效果。

【編輯推薦】

1. SINFOR UTM安全網(wǎng)關(guān)技術(shù)優(yōu)勢(shì)
2. Web安全呼喚“新型”安全網(wǎng)關(guān)
3. 聯(lián)想網(wǎng)御萬兆安全網(wǎng)關(guān)的節(jié)能省錢之道