|
網(wǎng)絡(luò)安全可視化的三重境界 |
| 作者:佚名 來源:網(wǎng)絡(luò) |
看得清是可視化的初級境界����,也是對NGFW的最基本要求。在網(wǎng)絡(luò)應(yīng)用高速發(fā)展的今天���,超過90%的網(wǎng)絡(luò)應(yīng)用運(yùn)行在HTTP 80和443端口上����,大量應(yīng)用可以進(jìn)行端口復(fù)用和IP地址修改����,導(dǎo)致IP地址不等于用戶、端口號(hào)不等于應(yīng)用���。在這樣的大背景下���,如果還向管理者呈現(xiàn)一條條IP、端口等流量日志無助于看清網(wǎng)絡(luò)中的應(yīng)用���,更不用說洞悉應(yīng)用上所承載的內(nèi)容�。下一代防火墻的可視化技術(shù),可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對應(yīng)用的識(shí)別;如果能夠?qū)崿F(xiàn)與多種認(rèn)證系統(tǒng)(AD�、LDAP等)無縫對接的話,還可以進(jìn)一步自動(dòng)識(shí)別出應(yīng)用和IP地址所對應(yīng)的用戶信息����,勾畫出人-內(nèi)容-應(yīng)用的立體畫像,滿足新一代安全的網(wǎng)絡(luò)管控要求�����。
看得全是可視化的第二重境界�����。NGFW區(qū)別于傳統(tǒng)防火墻的最大特征是NGFW可以在應(yīng)用層上構(gòu)建安全��,可以有效抵御應(yīng)用層威脅�,而當(dāng)今應(yīng)用層攻擊的一個(gè)大趨勢,是從單一攻擊手段向復(fù)合式攻擊演進(jìn)���,一次攻擊事件可能會(huì)觸發(fā)AV�����、IPS等多個(gè)安全模塊的告警���。看的全不但要求NGFW能夠看清人�、內(nèi)容、應(yīng)用�,更要能夠?qū)⒎稚⒃诓煌踩K上看似割裂的安全事件進(jìn)行多維度的管理分析,徹底改變以UTM為代表的傳統(tǒng)安全設(shè)備的信息孤島詬病�,幫助管理者從單一的安全事件了解攻擊的完整過程。這一點(diǎn)看似簡單�,實(shí)現(xiàn)起來并不容易。一體化引擎架構(gòu)不僅通過“單次解碼�,并行檢測”解決了多安全模塊檢測所帶來的性能瓶頸,更是多安全模塊智能數(shù)據(jù)聯(lián)動(dòng)的基礎(chǔ) --- 各安全模塊產(chǎn)生的信息可實(shí)現(xiàn)全維度關(guān)聯(lián)�����,使NGFW具備強(qiáng)大的模塊間安全協(xié)同能力和威脅情報(bào)聚合能力��,用戶無需進(jìn)行人工挖掘和分析即可全面掌握威脅全貌����。
看得透是可視化的更高一層境界。這里所說的“看得透”��,指的是NGFW的可視化能力應(yīng)具備一定的智能分析能力,幫助管理者定位可疑行為以預(yù)測風(fēng)險(xiǎn)����。通俗一點(diǎn)講,就是只有做到“見你所未見”���,才能實(shí)現(xiàn)“知你所不知”���。過去,我們將太多的精力放在了基于安全策略的實(shí)時(shí)防御上面�,但事實(shí)證明以策略為核心的防護(hù)體系無法完全擋住威脅,近年來占據(jù)了安全圈新聞?lì)^條的是越來越多的網(wǎng)絡(luò)失陷事件�����。為此��,業(yè)內(nèi)有廠商提出了以預(yù)測為核心的新一代安全防護(hù)體系�����,即通過動(dòng)態(tài)的檢測網(wǎng)絡(luò)異常對后續(xù)攻擊進(jìn)行預(yù)測��,為調(diào)整防御策略提供依據(jù)��。要實(shí)現(xiàn)更準(zhǔn)確的預(yù)測,除了企業(yè)自身的安全運(yùn)營數(shù)據(jù)外���,還應(yīng)包括外部的威脅情報(bào)���。隨著云計(jì)算�、大數(shù)據(jù)技術(shù)的不斷成熟,將云端的海量威脅情報(bào)信息及大數(shù)據(jù)的高度智能用于判別日趨復(fù)雜的威脅��,已成為業(yè)界公認(rèn)的技術(shù)發(fā)展方向�����。NGFW應(yīng)具有與外部威脅情報(bào)庫聯(lián)動(dòng)的能力���,并能夠利用大數(shù)據(jù)分析技術(shù)��,通過威脅情報(bào)預(yù)測攻擊事件����,看清威脅特征庫中并未收錄的未知威脅���。
NGFW�����,如何突破于可視化
NGFW所應(yīng)具有的可視化能力�����,言簡意賅的講��,指的是通過圖形化界面的呈現(xiàn)���,從用戶�、應(yīng)用�、威脅等多個(gè)維度,體現(xiàn)流量的狀況���、變化趨勢等����。這項(xiàng)技術(shù)是從傳統(tǒng)防火墻的日志����、報(bào)表功能演變過來的,但與傳統(tǒng)防火墻相比NGFW的可視化有幾點(diǎn)明顯的突破:
1)能夠看到基于應(yīng)用的流量而不是IP���、端口;
2)能夠提供關(guān)聯(lián)的分析����,而不是割裂的看到每一個(gè)功能模塊的日志;
3)對于統(tǒng)計(jì)的數(shù)據(jù),具備一定的分析能力�,而不是簡單的呈現(xiàn)。..
|
|
