11月6日，東軟集團(tuán)在其2009解決方案論壇的信息安全分論壇上，宣布推出一款具有行業(yè)標(biāo)桿意義的新產(chǎn)品NISG集成安全網(wǎng)關(guān)，在今年信息安全領(lǐng)域新品乏善可陳的時(shí)候，這一發(fā)布可謂意義重大。

ISG（Integration Security Gateway）可以稱之為集成安全網(wǎng)關(guān)，想來(lái)在安全領(lǐng)域，已經(jīng)不是什么新鮮的概念。畢竟早先的安全網(wǎng)關(guān)，包括防火墻、VPN網(wǎng)關(guān)、IPS、防病毒網(wǎng)關(guān)、防垃圾郵件網(wǎng)關(guān)、抗DDoS網(wǎng)關(guān)等各種類型，經(jīng)過(guò)市場(chǎng)需求的千錘百煉，已經(jīng)邁向集中、和諧統(tǒng)一的趨勢(shì)，如此就誕生了集成安全網(wǎng)關(guān)的概念。
而UTM概念的普及，很好的印證了集成安全網(wǎng)關(guān)的生命力。

然而，由于UTM背負(fù)著太多的使命，同時(shí)在出現(xiàn)伊始就被賦予了“萬(wàn)能”的光環(huán)，導(dǎo)致該產(chǎn)品在一種非正常的環(huán)境下“努力”成長(zhǎng)的狀態(tài)。
因此，我們必須重新審視安全集成網(wǎng)關(guān)，重新回歸理性的思考，重新探索集成安全網(wǎng)關(guān)的發(fā)展方向。

為什么關(guān)注NISG？

NISG中的N，一般可以理解成NEW ，意譯為新一代。但是在東軟的解釋中，N這個(gè)字母含義頗豐，N既是東軟Neusoft的開(kāi)頭字母，也是安全子品牌NetEye開(kāi)頭字母。同時(shí)也包含了Next的含義，表示了東軟集團(tuán)對(duì)東軟下一代集成安全網(wǎng)關(guān)寄予了厚望。對(duì)于新品，東軟安全希望從用戶業(yè)務(wù)應(yīng)用的實(shí)際需求出發(fā)，通過(guò)相應(yīng)的功能，真正保障用戶各種各樣的業(yè)務(wù)應(yīng)用安全，而不是一味的比拼性能、比拼功能種類，而是有的放矢，打有準(zhǔn)備的仗，即后發(fā)先至、一招制敵！
毫無(wú)疑問(wèn)，人們賴以生存的網(wǎng)絡(luò)，將會(huì)從“路由器為核心”的轉(zhuǎn)發(fā)型網(wǎng)絡(luò)向以“服務(wù)和數(shù)據(jù)為核心”的應(yīng)用網(wǎng)絡(luò)轉(zhuǎn)變，因此未來(lái)網(wǎng)絡(luò)攻擊會(huì)有一些明顯的需求特征：

1．傳統(tǒng)4層防火墻的普遍應(yīng)用，使得攻擊技術(shù)會(huì)轉(zhuǎn)而面向傳統(tǒng)安全網(wǎng)關(guān)的盲區(qū)——應(yīng)用安全，針對(duì)某些應(yīng)用的專項(xiàng)攻擊、或者利用某些應(yīng)用作為攻擊通道將會(huì)成為主流；
2．視頻、語(yǔ)音等大數(shù)據(jù)業(yè)務(wù)會(huì)決定網(wǎng)絡(luò)帶寬繼續(xù)擴(kuò)大，對(duì)安全網(wǎng)關(guān)轉(zhuǎn)發(fā)性能的需求是持續(xù)的；
3．電子商務(wù)、網(wǎng)上銀行、投資理財(cái)、虛擬交易等應(yīng)用會(huì)使網(wǎng)絡(luò)攻擊更加具有吸引力，攻擊頻率會(huì)加大，攻擊方式也會(huì)多樣化；
4．傳統(tǒng)局域網(wǎng)內(nèi)網(wǎng)的擴(kuò)大和復(fù)雜，使得網(wǎng)絡(luò)內(nèi)部攻擊和泄密更加嚴(yán)重；
5．3G的普及指日可待，對(duì)應(yīng)移動(dòng)終端應(yīng)用需求的網(wǎng)關(guān)安全問(wèn)題也將爆發(fā)。

因此，NISG是面向這些網(wǎng)絡(luò)威脅新趨勢(shì)，定位于應(yīng)用層防護(hù)、專注有針對(duì)性功能的集成安全網(wǎng)關(guān)，它具有一系列特點(diǎn)，以適應(yīng)未來(lái)3～5年的網(wǎng)絡(luò)威脅防護(hù)發(fā)展趨勢(shì)。
所謂應(yīng)用層防護(hù)，包括針對(duì)WEB服務(wù)、電子郵件、數(shù)據(jù)服務(wù)器、電子商務(wù)、VoIP和視頻會(huì)議的抗DDoS攻擊、P2P的監(jiān)控、IM的監(jiān)控，內(nèi)容審計(jì)等等，這些都會(huì)是未來(lái)應(yīng)用安全防護(hù)的重點(diǎn)，而相對(duì)于TCP/IP協(xié)議的整齊劃一，應(yīng)用協(xié)議最大特點(diǎn)是應(yīng)用協(xié)議多樣性、多變性。

而有針對(duì)性的功能策略，則是指根據(jù)特定的用戶環(huán)境，根據(jù)多變的應(yīng)用協(xié)議，在成本控制（包括資金投入、管理難易度、性能需求）的前提下，提供相應(yīng)的功能需求解決方案，最大程度的保障用戶的業(yè)務(wù)應(yīng)用。

東軟NISG將三層交換技術(shù)和NEL技術(shù)完美融合應(yīng)對(duì)多變的應(yīng)用協(xié)議？

基于應(yīng)用協(xié)議的多樣性、多變性，東軟研究人員一直在研究對(duì)策，其中主要關(guān)注在引擎研制、協(xié)議分析和攻擊數(shù)據(jù)的檢測(cè)，同時(shí)這三個(gè)方面的復(fù)合工作能力也是很關(guān)鍵的克敵籌碼。例如，針對(duì)CVE-2001-0009漏洞（使用URL“http://target/.nsf/../winnt/win.ini”將導(dǎo)致win.ini文件內(nèi)容被返回給發(fā)出URL請(qǐng)求的客戶端），我們是否可以只對(duì)協(xié)議指定范圍的位置進(jìn)行查找，無(wú)需再去整個(gè)網(wǎng)頁(yè)中的其他位置查找，這既增加了檢查的效率，又避免了其它位置存在關(guān)鍵特征字符導(dǎo)致的誤報(bào)。再舉例而言，針對(duì)TERADROP攻擊，我們可以對(duì)前后緊鄰的數(shù)據(jù)包進(jìn)行排序分析，從而準(zhǔn)確識(shí)別此類攻擊，而同時(shí)，我們也做到了第一時(shí)間快速檢測(cè)出風(fēng)險(xiǎn)并進(jìn)行阻斷。

通過(guò)多年的技術(shù)研發(fā)，東軟目前擁有國(guó)際領(lǐng)先的NEL專利核心技術(shù)。該技術(shù)可將引擎、協(xié)議分析和攻擊檢測(cè)數(shù)據(jù)通過(guò)NEL技術(shù)快速融合。NEL增加了檢測(cè)技術(shù)的兼容性，檢測(cè)粒度非常精細(xì)，從而提高檢測(cè)的效率，提高快速防御功能，提升用戶的網(wǎng)絡(luò)安全性。

同時(shí)，NISG采用了先進(jìn)的三層交換技術(shù)增加了產(chǎn)品在復(fù)雜網(wǎng)絡(luò)中的適應(yīng)性，帶來(lái)了極大的部署和配置的靈活性。該技術(shù)將二層交換和三層路由的優(yōu)勢(shì)結(jié)合成為一個(gè)有機(jī)的整體，實(shí)現(xiàn)了“一次路由、后續(xù)二次轉(zhuǎn)發(fā)”的快速包轉(zhuǎn)發(fā)技術(shù)，并實(shí)現(xiàn)了VLAN與接口融合的密切耦合。該技術(shù)的采用使得VLAN、Trunk、Channel等技術(shù)能夠很方便地在NISG上實(shí)施，減輕了管理員配置維護(hù)的工作負(fù)擔(dān)。

如何最大限度發(fā)揮安全網(wǎng)關(guān)的能力？

業(yè)內(nèi)人士通常都會(huì)清楚，銀行、電信、電力等大型行業(yè)用戶的數(shù)據(jù)中心通常部署著數(shù)十臺(tái)甚至數(shù)百臺(tái)網(wǎng)絡(luò)服務(wù)器，分屬于數(shù)十個(gè)不同的業(yè)務(wù)部門(mén)。這些服務(wù)器都有安全防護(hù)的需求，在部署安全網(wǎng)關(guān)對(duì)服務(wù)器進(jìn)行安全防護(hù)時(shí)，每個(gè)業(yè)務(wù)部門(mén)都會(huì)有一些個(gè)性化需求，而且隨著業(yè)務(wù)系統(tǒng)的建設(shè)和調(diào)整也需要安全網(wǎng)關(guān)的安全策略相應(yīng)調(diào)整。因此，采用以前單一安全網(wǎng)關(guān)對(duì)整個(gè)內(nèi)部服務(wù)器群進(jìn)行防護(hù)，很難同時(shí)滿足不同業(yè)務(wù)部門(mén)服務(wù)器的實(shí)際安全需求，并且一個(gè)部門(mén)的安全策略的改變可能導(dǎo)致整體的網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)結(jié)構(gòu)都要進(jìn)行相應(yīng)的調(diào)整，增加了管理維護(hù)的復(fù)雜性和難度。如果為每個(gè)部門(mén)采購(gòu)獨(dú)立的安全網(wǎng)關(guān)設(shè)備，又會(huì)帶來(lái)安全投資的增加，占用緊張的機(jī)架空間，而且使網(wǎng)絡(luò)中的故障點(diǎn)增多。

另外，以往單一安全網(wǎng)關(guān)部署中也存在性能浪費(fèi)的情況。大多數(shù)網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)利用率不到20%，即使在峰值的時(shí)候通常也不會(huì)超過(guò)40%，而企業(yè)對(duì)安全產(chǎn)品采購(gòu)的標(biāo)準(zhǔn)通常都是以其處理性能遠(yuǎn)高于峰值來(lái)確定的，這無(wú)疑造成了性能在使用周期內(nèi)的浪費(fèi)。對(duì)于一些比較重要的業(yè)務(wù)部門(mén)，如財(cái)務(wù)部或總經(jīng)理辦公室，出于加強(qiáng)內(nèi)控的考慮，企業(yè)往往會(huì)采購(gòu)一臺(tái)單獨(dú)的安全網(wǎng)關(guān)進(jìn)行安全防護(hù)，而這些部門(mén)的流量往往很小，大多數(shù)情況下部署的單一安全網(wǎng)關(guān)發(fā)揮出的性能不到10%。因此，在部署多臺(tái)單一的網(wǎng)絡(luò)環(huán)境中，由于存在性能上的浪費(fèi)，在解決管理獨(dú)立性的前提下，單一安全網(wǎng)關(guān)的數(shù)量完全可以壓縮而對(duì)網(wǎng)絡(luò)和應(yīng)用性能不產(chǎn)生任何影響。

那么，有沒(méi)有一種辦法，既可以充分利用國(guó)際目前先進(jìn)的虛擬技術(shù)，在保證管理的獨(dú)立性下，又可以降低單一安全網(wǎng)關(guān)的數(shù)量和采購(gòu)?fù)顿Y呢？虛擬集成安全網(wǎng)關(guān)技術(shù)給出了很好的解決辦法。虛擬集成安全網(wǎng)關(guān)技術(shù)可以在充分發(fā)揮安全網(wǎng)關(guān)性能的同時(shí)，大幅降低用戶的以往單一安全網(wǎng)關(guān)類產(chǎn)品購(gòu)置成本和整體擁有成本（TCO），己成為安全網(wǎng)關(guān)領(lǐng)域的一個(gè)主流技術(shù)。

虛擬集成安全網(wǎng)關(guān)技術(shù)——東軟NISG必殺技

虛擬集成安全網(wǎng)關(guān)技術(shù)就是將一臺(tái)東軟NISG在邏輯上劃分成多臺(tái)虛擬的NISG，每個(gè)虛擬系統(tǒng)都可以被看成是一臺(tái)完全獨(dú)立的NISG設(shè)備。虛擬系統(tǒng)在電信、電力調(diào)度、金融等行業(yè)得到了廣泛的應(yīng)用。其中，在IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)提供的安全保障服務(wù)中，虛擬系統(tǒng)在降低安全建設(shè)投資和運(yùn)行維護(hù)成本，滿足用戶安全防護(hù)的個(gè)性化需求方面，起到了重要的作用。
該技術(shù)可以將一臺(tái)物理上的安全網(wǎng)關(guān)設(shè)備劃分成多臺(tái)邏輯上的虛擬集成安全網(wǎng)關(guān)，針對(duì)不同的應(yīng)用采用不同的安全策略，如下圖所示：
 

針對(duì)郵件服務(wù)器，可以采用VNISG#1中的ANTISPAM模塊；針對(duì)WEB服務(wù)器，可以采用VNISG#2中的WEB防護(hù)模塊；針對(duì)VNISG#3中的數(shù)據(jù)庫(kù)服務(wù)器，可以采用IPS模塊。另外，在從系統(tǒng)資源上對(duì)三個(gè)虛擬集成安全網(wǎng)關(guān)進(jìn)行劃分，根據(jù)業(yè)務(wù)情況分配合理的帶寬及并發(fā)連接資源。不同的安全防護(hù)策略配合合理的資源劃分，可以保證NISG有效的對(duì)服務(wù)器進(jìn)行安全防護(hù)，同時(shí)，即便某個(gè)虛擬集成安全網(wǎng)關(guān)由于受到攻擊而無(wú)法響應(yīng)新的請(qǐng)求，也不會(huì)影響其他虛擬集成安全網(wǎng)關(guān)對(duì)其他服務(wù)器的防御效果。

東軟NISG集成安全網(wǎng)關(guān)，是東軟安全基于全球安全威脅防護(hù)的需求分析，充分考慮用戶應(yīng)用需求之后研發(fā)的一款新產(chǎn)品。 NISG 依靠東軟自主原創(chuàng)的實(shí)力及產(chǎn)品強(qiáng)大且先進(jìn)的功能將成為一條非常重要的產(chǎn)品線，相比之前東軟 NetEye系列防火墻、IDS、IPS、SOC、NTARS、NTPG等“專業(yè)醫(yī)院”而言，NISG這類“綜合醫(yī)院”產(chǎn)品具有劃時(shí)代的意義。
 

【編輯推薦】

1. Websense助力東軟有效管理員工上網(wǎng)行為
2. 遭釣魚(yú)網(wǎng)站侵?jǐn)_ 京東商城三大舉措規(guī)范網(wǎng)購(gòu)
3. 東軟曹鵬：應(yīng)用業(yè)務(wù)系統(tǒng)安全中的問(wèn)題