|
網(wǎng)絡(luò)安全可視化的三重境界 |
| 作者:佚名 來(lái)源:網(wǎng)絡(luò) |
看得清是可視化的初級(jí)境界����,也是對(duì)NGFW的最基本要求����。在網(wǎng)絡(luò)應(yīng)用高速發(fā)展的今天,超過(guò)90%的網(wǎng)絡(luò)應(yīng)用運(yùn)行在HTTP 80和443端口上���,大量應(yīng)用可以進(jìn)行端口復(fù)用和IP地址修改���,導(dǎo)致IP地址不等于用戶、端口號(hào)不等于應(yīng)用���。在這樣的大背景下��,如果還向管理者呈現(xiàn)一條條IP�、端口等流量日志無(wú)助于看清網(wǎng)絡(luò)中的應(yīng)用�,更不用說(shuō)洞悉應(yīng)用上所承載的內(nèi)容。下一代防火墻的可視化技術(shù)��,可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別;如果能夠?qū)崿F(xiàn)與多種認(rèn)證系統(tǒng)(AD、LDAP等)無(wú)縫對(duì)接的話�,還可以進(jìn)一步自動(dòng)識(shí)別出應(yīng)用和IP地址所對(duì)應(yīng)的用戶信息,勾畫(huà)出人-內(nèi)容-應(yīng)用的立體畫(huà)像�,滿足新一代安全的網(wǎng)絡(luò)管控要求。
看得全是可視化的第二重境界��。NGFW區(qū)別于傳統(tǒng)防火墻的最大特征是NGFW可以在應(yīng)用層上構(gòu)建安全����,可以有效抵御應(yīng)用層威脅,而當(dāng)今應(yīng)用層攻擊的一個(gè)大趨勢(shì)��,是從單一攻擊手段向復(fù)合式攻擊演進(jìn)�����,一次攻擊事件可能會(huì)觸發(fā)AV���、IPS等多個(gè)安全模塊的告警����?吹娜坏驨GFW能夠看清人��、內(nèi)容�����、應(yīng)用����,更要能夠?qū)⒎稚⒃诓煌踩K上看似割裂的安全事件進(jìn)行多維度的管理分析,徹底改變以UTM為代表的傳統(tǒng)安全設(shè)備的信息孤島詬病���,幫助管理者從單一的安全事件了解攻擊的完整過(guò)程����。這一點(diǎn)看似簡(jiǎn)單�����,實(shí)現(xiàn)起來(lái)并不容易�����。一體化引擎架構(gòu)不僅通過(guò)“單次解碼�����,并行檢測(cè)”解決了多安全模塊檢測(cè)所帶來(lái)的性能瓶頸��,更是多安全模塊智能數(shù)據(jù)聯(lián)動(dòng)的基礎(chǔ) --- 各安全模塊產(chǎn)生的信息可實(shí)現(xiàn)全維度關(guān)聯(lián)����,使NGFW具備強(qiáng)大的模塊間安全協(xié)同能力和威脅情報(bào)聚合能力,用戶無(wú)需進(jìn)行人工挖掘和分析即可全面掌握威脅全貌����。
看得透是可視化的更高一層境界。這里所說(shuō)的“看得透”���,指的是NGFW的可視化能力應(yīng)具備一定的智能分析能力����,幫助管理者定位可疑行為以預(yù)測(cè)風(fēng)險(xiǎn)�����。通俗一點(diǎn)講���,就是只有做到“見(jiàn)你所未見(jiàn)”����,才能實(shí)現(xiàn)“知你所不知”�。過(guò)去�,我們將太多的精力放在了基于安全策略的實(shí)時(shí)防御上面�,但事實(shí)證明以策略為核心的防護(hù)體系無(wú)法完全擋住威脅,近年來(lái)占據(jù)了安全圈新聞?lì)^條的是越來(lái)越多的網(wǎng)絡(luò)失陷事件��。為此����,業(yè)內(nèi)有廠商提出了以預(yù)測(cè)為核心的新一代安全防護(hù)體系,即通過(guò)動(dòng)態(tài)的檢測(cè)網(wǎng)絡(luò)異常對(duì)后續(xù)攻擊進(jìn)行預(yù)測(cè)��,為調(diào)整防御策略提供依據(jù)����。要實(shí)現(xiàn)更準(zhǔn)確的預(yù)測(cè)�����,除了企業(yè)自身的安全運(yùn)營(yíng)數(shù)據(jù)外�,還應(yīng)包括外部的威脅情報(bào)。隨著云計(jì)算����、大數(shù)據(jù)技術(shù)的不斷成熟,將云端的海量威脅情報(bào)信息及大數(shù)據(jù)的高度智能用于判別日趨復(fù)雜的威脅���,已成為業(yè)界公認(rèn)的技術(shù)發(fā)展方向��。NGFW應(yīng)具有與外部威脅情報(bào)庫(kù)聯(lián)動(dòng)的能力�����,并能夠利用大數(shù)據(jù)分析技術(shù)�����,通過(guò)威脅情報(bào)預(yù)測(cè)攻擊事件��,看清威脅特征庫(kù)中并未收錄的未知威脅�。
NGFW,如何突破于可視化
NGFW所應(yīng)具有的可視化能力����,言簡(jiǎn)意賅的講,指的是通過(guò)圖形化界面的呈現(xiàn)����,從用戶、應(yīng)用���、威脅等多個(gè)維度���,體現(xiàn)流量的狀況�、變化趨勢(shì)等��。這項(xiàng)技術(shù)是從傳統(tǒng)防火墻的日志��、報(bào)表功能演變過(guò)來(lái)的��,但與傳統(tǒng)防火墻相比NGFW的可視化有幾點(diǎn)明顯的突破:
1)能夠看到基于應(yīng)用的流量而不是IP���、端口;
2)能夠提供關(guān)聯(lián)的分析�����,而不是割裂的看到每一個(gè)功能模塊的日志;
3)對(duì)于統(tǒng)計(jì)的數(shù)據(jù)��,具備一定的分析能力�,而不是簡(jiǎn)單的呈現(xiàn)����。..
|
|
