山石网科:下一代的NGFW是智能

众所周知,防火墙产品从上世纪九十年代至今,历经系统架构和软件形态的多次革新,从最早的基于包过滤的防火墙到状态监测防火墙,到今天我们见证下一代防火墙(NGFW)的崛起。NGFW代表着用户对防火墙产品提出的更高要求,企业IT负责人希望他们所选择的防火墙能够根据不断变化的业务需求和新生的安全威胁在保持高性能的同时进行动态的自我调节。

山石网科给下一代防火墙打上的标签是“智能”,山石网科产品副总裁王钟认为,“一直以来,所有的安全设备扮演的角色,都是执行者。如今,安全技术正在经历着一个根本的变革,从被动的以威胁为核心的技术向主动的以风险为核心的方向转变。而下一代防火墙应该从一个单纯的执行者,变成一个建设性的执行者。企业面临的不再是毫无头绪的结果,而是一种贴心的安全建议,这是下一代防火墙所具备的能力。”

下一代的NGFW:智能

防火墙演进到下一代,那下一代的下一代是什么?在山石网科眼中是“智能”。之所以是下一代智能防火墙,是因为NGFW存在一些问题,NGFW无法根据行为调整安全策略。

山石网科认为,NGFW不会将用户行为关联到用户对流量的使用和其他事件上。具体来讲,NGFW无法从时间维度上分析收到的信息,因此只能对用户指定特定的访问级别,而无法进行动态的调整,但实际上用户可能需要根据感知到的风险改变访问策略。

NGFW不会关注流量中的异常,包括与其他类似用户或系统所关联出的异常或随时间显现出的异常。例如,长时间没有太多行为的用户突然变得活跃,或web服务器的响应时间和速度大幅度降低,这些都是应该调查的可疑事件。

下一代智能防火墙能给我们带来的是什么?王钟指出,它降低了安全管理的风险,同时降低了安全管理的运维费用和成本。当具备智能能力的时候,某个安全事件的防范会变成一个主动的防范。同时,对于安全事件的分析来说,之前所有的分析都是单独的分析,需要人工去挖掘。有了智能以后,这个安全事件的分析,就变成一种智能的分析、相关的分析和主动的分析。

另外,下一代智能防火墙能够对安全和流量数据进行深度的数据分析,并进行主动监测,这样可以为用户提供基于风险的安全保障。管理员可以基于感知到的风险进行安全管控,在事发之前防范安全问题或系统网络中断。

在王钟看来,具备了智能特性以后,安全不再是从攻击出发,因为很多攻击是年复一年、日复一日持续进行的攻击。安全也不是从规则出发,因为规则只是一个手段。其实应该从数据出发,从多个维度进行设备当前状态和历史状态的数据分析,帮助管理员实时掌握网络当前状态,并且能够快速通过关联操作进行相关控制。

双指数打分 反映网络和威胁状态

既然说到智能,对于最终用户又是如何体现的呢?山石网科发布的下一代智能防火墙,对于管理员来说可以基于感知到的风险进行安全管控,在事发之前防范安全问题或系统网络中断。并允许用户全局总览网络、用户和应用,并动态控制策略。

山石网科市场副总裁张凌龄认为,在一个以风险为核心的安全管理中,监控和检测技术就显得尤为重要。首先早期的检测很重要;其次我们不能只是依赖于攻击特征库,攻击特征库对于首次出现的零日攻击没有作用,并且现代先进的攻击每一个都是“不同的”,特征迥异,不容易判断;而持续的攻击让基于时间轴的行为模式分析显得异常重要。这就需要一种技术,能够在正常的网络活动中发现“变化”,找到攻击或者入侵的早期征兆,从而实现“防范于未然”。

山石网科认为防火墙不应该只是“一堵墙”,智能的防火墙是一个平台,它在网络的核心节点上监控着网络、用户和应用的健康状况。山石网科采用了一个全新的方法,通过两个指数,给重要的监控目标打分,通过这样的方法来直观地反映网络和威胁的状态。首先通过全网健康指数(NHI)来监控网络环境健康;然后通过行为信誉指数(BRI) 来对用户、应用和服务主体打分。有了这样的一个信誉评分制,管理员就可以根据用户的信誉分数来动态调整策略,决定是否让他进入网络。张凌龄表示,这个方法的重要意义在于将“信誉”作为第八元组引入防火墙的控制,使防火墙在原有的防护基础上增加了对于网络风险的控制。

张凌龄指出,全网健康指数通过主动检测的技术,实时监控网络的联通性。通、堵还是断了、设备资源的利用情况,CPU/内存的使用情况、业务服务器响应的延迟情况,通过一个专利的算法,形成网络整体的健康指数,供管理员参考。如果业务服务延迟大于正常,在我们的算法中认为整网健康都有危险,对管理员会做响应的预警。

行为信誉度以用户为例,比如说发现某一用户有大量非法下载,使用网络扫描工具,并且多次重试服务器密码等行为,这些关联的事件会影响该用户在网络中的信誉分数。他的这些行为会引起管理员的警觉。

“总结起来,山石网科下一代智能防火墙就是在准确、深度辨识用户身份、服务器和应用的基础上,对其进行长期监控;分别以全网健康指数对网络健康状态打分;以行为信誉指数对用户及服务器状态打分,然后对“高危”人员或者“高危”服务器实行相应的预警或者有效的控制。”张凌龄说。

王钟强调,虽然这两个指数呈现出来的只是一个数字,但数据背后是大量的数据挖掘和分析来做决策的支撑。两个指数背后的是智能,呈现给用户的是简单,是因为我们把复杂的东西隐藏在简单背后。

据悉,山石网科下一代智能防火墙的技术愿景将分为三个阶段完成,T5060的发布是分享其理念和第一阶段的成果。第一阶段以实现全网的健康状态的检测和监控为核心;第二阶段,实现对用户、服务器及服务的行为信誉监控,并且通过关联分析对僵尸网络、异常行为及APT攻击做预警和报告;第三阶段,将在监控和报告的基础上,实现动态的策略调整和控制。