下一代防火墻(NGFW)能否代表下一代安全發(fā)展趨勢?據(jù)國際著名研究機(jī)構(gòu)Gartner的研究和分析稱，智能將成為未來網(wǎng)絡(luò)安全和硬件防火墻發(fā)展的趨勢。帶著對這個話題的各種疑問，作者研究了目前市場中唯一上市的“智能安全網(wǎng)絡(luò)設(shè)備”——山石網(wǎng)科的下一代智能防火墻，并將其與NGFW在實(shí)現(xiàn)技術(shù)上進(jìn)行了一番比較。

[[109024]]   

安全防御方式和理念不同——基于實(shí)時的流量數(shù)據(jù)分析與基于特征識別

基于特征的防御方式，是傳統(tǒng)防火墻和NGFW共同采用的安全機(jī)制，其原理主要是在發(fā)現(xiàn)新的攻擊后，系統(tǒng)監(jiān)控流量然后匹配特征中的模式，如果找到匹配項(xiàng)，會將流量標(biāo)記為可能的攻擊。它的優(yōu)點(diǎn)在于非常適合檢測未加密的已知攻擊，但缺陷也很明顯, 它對以多種形態(tài)出現(xiàn)的新型惡意軟件和攻擊類型、APT及0-day攻擊所帶來的威脅基本上無能為力。

iNGFW(下一代智能防火墻)在防御方式上彌補(bǔ)了這種缺陷，繼承性地發(fā)展和擴(kuò)展了NGFW 的7 元組理論，加入了網(wǎng)絡(luò)安全防護(hù)的第8 個新元素——行為信譽(yù)指數(shù)。并提出了基于風(fēng)險的安全管理以及基于數(shù)據(jù)分析的異常檢測理念。針對已知威脅的防護(hù)時，其繼承了傳統(tǒng)基于特征的防御方式，而針對未知的安全威脅，其基于實(shí)時的流量數(shù)據(jù)分析技術(shù)來檢測網(wǎng)絡(luò)中異常，原理是通過對網(wǎng)絡(luò)中的用戶、服務(wù)器等對象的實(shí)時流量的行為進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析，不斷自適應(yīng)學(xué)習(xí)和調(diào)整行為基線來檢測網(wǎng)絡(luò)中異常和未知威脅。同時iNGFW還會對網(wǎng)絡(luò)中異常流量和威脅進(jìn)行預(yù)警和提前防范，幫助管理者實(shí)時、直觀掌握網(wǎng)絡(luò)中威脅狀況。

網(wǎng)絡(luò)安全風(fēng)險的管理不同——基于主動檢測技術(shù)的全網(wǎng)健康指數(shù)與基于可視化的用戶與應(yīng)用

NGFW的基礎(chǔ)是應(yīng)用、用戶和內(nèi)容的識別，通過識別并結(jié)合監(jiān)控、日志、報表來實(shí)現(xiàn)用戶、應(yīng)用等可視化，從而調(diào)整安全策略來進(jìn)行安全風(fēng)險的管理。但是，其無法幫助管理者對整網(wǎng)運(yùn)行情況尤其是關(guān)鍵業(yè)務(wù)的可用性和連續(xù)性，包括服務(wù)器運(yùn)行狀況、網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)、用戶和應(yīng)用行為規(guī)律等等無法做到進(jìn)一步的了解。

相比較而言，iNGFW基于主動檢測技術(shù)的全網(wǎng)健康指數(shù)，通過定期分析監(jiān)控網(wǎng)絡(luò)中的設(shè)備資源、業(yè)務(wù)服務(wù)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)、安全威脅狀況，并關(guān)聯(lián)分析探測結(jié)果以總體評估網(wǎng)絡(luò)的健康情況和服務(wù)的可用性。在運(yùn)行狀況開始惡化時，全網(wǎng)健康指數(shù)將會在服務(wù)完全不可用之前發(fā)出預(yù)警。同時iNGFW向管理者提供了更全面的類似“個人體檢報告”的可視化界面，將網(wǎng)絡(luò)中存在的亞健康項(xiàng)、危險項(xiàng)一一提示，并直觀化地呈現(xiàn)在界面上，以幫助管理者更好地對網(wǎng)絡(luò)做深入了解。當(dāng)然，根據(jù)用戶至上的原則，iNGFW向管理者開放了根據(jù)各公司不同情況，自行配置“合理健康狀態(tài)”的設(shè)置項(xiàng)。

排查網(wǎng)絡(luò)故障的方式不同——人工排除與智能排除

為了持續(xù)保證安全性，眾多的使用者不斷調(diào)整防火墻策略。頻繁的變更導(dǎo)致防火墻策略數(shù)量不斷增加，產(chǎn)生大量冗余、無效的策略。NGFW也一樣面臨同樣的問題，在出現(xiàn)故障因?yàn)楣芾韱T很難判斷哪些策略有問題，有時不得不逐條查閱歷史策略，以便準(zhǔn)確判斷故障所在。

iNGFW在這點(diǎn)上則將查找故障所耗費(fèi)的時間降到了最低，通過數(shù)據(jù)包路徑檢測、全局故障點(diǎn)檢測等智能分析診斷工具，針對網(wǎng)絡(luò)故障可以通過多種方式一鍵查詢，可以幫助管理者快速定位故障點(diǎn)，并提示出故障的原因以及對應(yīng)的策略配置，簡單方便，一目了然。

流量管理的不同——智能流量管理與普通流量管理

包括NGFW在內(nèi)的傳統(tǒng)流控，可以根據(jù)用戶和應(yīng)用進(jìn)行帶寬的流量管理，但是大部分的傳統(tǒng)流控功能只能做到基于源IP地址，源端口，目的IP地址，目的端口和傳輸層協(xié)議號，也就是5元組的流量劃分。同時在包含關(guān)系的多級嵌套、流量精細(xì)劃分、業(yè)務(wù)優(yōu)先級、管理手段等方面也做得不夠細(xì)致。

iNGFW采用了兩層八級的智能流量控制，管理者可以在每一層中做到四級嵌套流量劃分，并提供一二層各級管道的流量排名及百分比等直觀各級管道實(shí)時流量管理視圖，規(guī)避了傳統(tǒng)流量控制無法區(qū)分復(fù)雜應(yīng)用和無法分析眾多非關(guān)鍵應(yīng)用的帶寬資源占用情況，并采用彈性帶寬分配機(jī)制。

從以上幾點(diǎn)對比來說，下一代智能防火墻創(chuàng)新的技術(shù)讓人眼前一亮，也讓人對“智能安全設(shè)備”的未來充滿希望。有消息說，山石網(wǎng)科將在今年推出其iNGFW的升級版和，讓我們期待在其新品中帶來更多驚喜。