東軟NISG:后發(fā)先至 為應(yīng)用而生
11月6日,東軟集團在其2009解決方案論壇的信息安全分論壇上,宣布推出一款具有行業(yè)標桿意義的新產(chǎn)品NISG集成安全網(wǎng)關(guān),在今年信息安全領(lǐng)域新品乏善可陳的時候,這一發(fā)布可謂意義重大。
ISG(Integration Security Gateway)可以稱之為集成安全網(wǎng)關(guān),想來在安全領(lǐng)域,已經(jīng)不是什么新鮮的概念。畢竟早先的安全網(wǎng)關(guān),包括防火墻、VPN網(wǎng)關(guān)、IPS、防病毒網(wǎng)關(guān)、防垃圾郵件網(wǎng)關(guān)、抗DDoS網(wǎng)關(guān)等各種類型,經(jīng)過市場需求的千錘百煉,已經(jīng)邁向集中、和諧統(tǒng)一的趨勢,如此就誕生了集成安全網(wǎng)關(guān)的概念。
而UTM概念的普及,很好的印證了集成安全網(wǎng)關(guān)的生命力。
然而,由于UTM背負著太多的使命,同時在出現(xiàn)伊始就被賦予了“萬能”的光環(huán),導(dǎo)致該產(chǎn)品在一種非正常的環(huán)境下“努力”成長的狀態(tài)。
因此,我們必須重新審視安全集成網(wǎng)關(guān),重新回歸理性的思考,重新探索集成安全網(wǎng)關(guān)的發(fā)展方向。
為什么關(guān)注NISG?
NISG中的N,一般可以理解成NEW ,意譯為新一代。但是在東軟的解釋中,N這個字母含義頗豐,N既是東軟Neusoft的開頭字母,也是安全子品牌NetEye開頭字母。同時也包含了Next的含義,表示了東軟集團對東軟下一代集成安全網(wǎng)關(guān)寄予了厚望。對于新品,東軟安全希望從用戶業(yè)務(wù)應(yīng)用的實際需求出發(fā),通過相應(yīng)的功能,真正保障用戶各種各樣的業(yè)務(wù)應(yīng)用安全,而不是一味的比拼性能、比拼功能種類,而是有的放矢,打有準備的仗,即后發(fā)先至、一招制敵!
毫無疑問,人們賴以生存的網(wǎng)絡(luò),將會從“路由器為核心”的轉(zhuǎn)發(fā)型網(wǎng)絡(luò)向以“服務(wù)和數(shù)據(jù)為核心”的應(yīng)用網(wǎng)絡(luò)轉(zhuǎn)變,因此未來網(wǎng)絡(luò)攻擊會有一些明顯的需求特征:
1.傳統(tǒng)4層防火墻的普遍應(yīng)用,使得攻擊技術(shù)會轉(zhuǎn)而面向傳統(tǒng)安全網(wǎng)關(guān)的盲區(qū)——應(yīng)用安全,針對某些應(yīng)用的專項攻擊、或者利用某些應(yīng)用作為攻擊通道將會成為主流;
2.視頻、語音等大數(shù)據(jù)業(yè)務(wù)會決定網(wǎng)絡(luò)帶寬繼續(xù)擴大,對安全網(wǎng)關(guān)轉(zhuǎn)發(fā)性能的需求是持續(xù)的;
3.電子商務(wù)、網(wǎng)上銀行、投資理財、虛擬交易等應(yīng)用會使網(wǎng)絡(luò)攻擊更加具有吸引力,攻擊頻率會加大,攻擊方式也會多樣化;
4.傳統(tǒng)局域網(wǎng)內(nèi)網(wǎng)的擴大和復(fù)雜,使得網(wǎng)絡(luò)內(nèi)部攻擊和泄密更加嚴重;
5.3G的普及指日可待,對應(yīng)移動終端應(yīng)用需求的網(wǎng)關(guān)安全問題也將爆發(fā)。
因此,NISG是面向這些網(wǎng)絡(luò)威脅新趨勢,定位于應(yīng)用層防護、專注有針對性功能的集成安全網(wǎng)關(guān),它具有一系列特點,以適應(yīng)未來3~5年的網(wǎng)絡(luò)威脅防護發(fā)展趨勢。
所謂應(yīng)用層防護,包括針對WEB服務(wù)、電子郵件、數(shù)據(jù)服務(wù)器、電子商務(wù)、VoIP和視頻會議的抗DDoS攻擊、P2P的監(jiān)控、IM的監(jiān)控,內(nèi)容審計等等,這些都會是未來應(yīng)用安全防護的重點,而相對于TCP/IP協(xié)議的整齊劃一,應(yīng)用協(xié)議最大特點是應(yīng)用協(xié)議多樣性、多變性。
而有針對性的功能策略,則是指根據(jù)特定的用戶環(huán)境,根據(jù)多變的應(yīng)用協(xié)議,在成本控制(包括資金投入、管理難易度、性能需求)的前提下,提供相應(yīng)的功能需求解決方案,最大程度的保障用戶的業(yè)務(wù)應(yīng)用。
東軟NISG將三層交換技術(shù)和NEL技術(shù)完美融合應(yīng)對多變的應(yīng)用協(xié)議?
基于應(yīng)用協(xié)議的多樣性、多變性,東軟研究人員一直在研究對策,其中主要關(guān)注在引擎研制、協(xié)議分析和攻擊數(shù)據(jù)的檢測,同時這三個方面的復(fù)合工作能力也是很關(guān)鍵的克敵籌碼。例如,針對CVE-2001-0009漏洞(使用URL“http://target/.nsf/../winnt/win.ini”將導(dǎo)致win.ini文件內(nèi)容被返回給發(fā)出URL請求的客戶端),我們是否可以只對協(xié)議指定范圍的位置進行查找,無需再去整個網(wǎng)頁中的其他位置查找,這既增加了檢查的效率,又避免了其它位置存在關(guān)鍵特征字符導(dǎo)致的誤報。再舉例而言,針對TERADROP攻擊,我們可以對前后緊鄰的數(shù)據(jù)包進行排序分析,從而準確識別此類攻擊,而同時,我們也做到了第一時間快速檢測出風(fēng)險并進行阻斷。
通過多年的技術(shù)研發(fā),東軟目前擁有國際領(lǐng)先的NEL專利核心技術(shù)。該技術(shù)可將引擎、協(xié)議分析和攻擊檢測數(shù)據(jù)通過NEL技術(shù)快速融合。NEL增加了檢測技術(shù)的兼容性,檢測粒度非常精細,從而提高檢測的效率,提高快速防御功能,提升用戶的網(wǎng)絡(luò)安全性。
同時,NISG采用了先進的三層交換技術(shù)增加了產(chǎn)品在復(fù)雜網(wǎng)絡(luò)中的適應(yīng)性,帶來了極大的部署和配置的靈活性。該技術(shù)將二層交換和三層路由的優(yōu)勢結(jié)合成為一個有機的整體,實現(xiàn)了“一次路由、后續(xù)二次轉(zhuǎn)發(fā)”的快速包轉(zhuǎn)發(fā)技術(shù),并實現(xiàn)了VLAN與接口融合的密切耦合。該技術(shù)的采用使得VLAN、Trunk、Channel等技術(shù)能夠很方便地在NISG上實施,減輕了管理員配置維護的工作負擔(dān)。
如何最大限度發(fā)揮安全網(wǎng)關(guān)的能力?
業(yè)內(nèi)人士通常都會清楚,銀行、電信、電力等大型行業(yè)用戶的數(shù)據(jù)中心通常部署著數(shù)十臺甚至數(shù)百臺網(wǎng)絡(luò)服務(wù)器,分屬于數(shù)十個不同的業(yè)務(wù)部門。這些服務(wù)器都有安全防護的需求,在部署安全網(wǎng)關(guān)對服務(wù)器進行安全防護時,每個業(yè)務(wù)部門都會有一些個性化需求,而且隨著業(yè)務(wù)系統(tǒng)的建設(shè)和調(diào)整也需要安全網(wǎng)關(guān)的安全策略相應(yīng)調(diào)整。因此,采用以前單一安全網(wǎng)關(guān)對整個內(nèi)部服務(wù)器群進行防護,很難同時滿足不同業(yè)務(wù)部門服務(wù)器的實際安全需求,并且一個部門的安全策略的改變可能導(dǎo)致整體的網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)結(jié)構(gòu)都要進行相應(yīng)的調(diào)整,增加了管理維護的復(fù)雜性和難度。如果為每個部門采購獨立的安全網(wǎng)關(guān)設(shè)備,又會帶來安全投資的增加,占用緊張的機架空間,而且使網(wǎng)絡(luò)中的故障點增多。
另外,以往單一安全網(wǎng)關(guān)部署中也存在性能浪費的情況。大多數(shù)網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)利用率不到20%,即使在峰值的時候通常也不會超過40%,而企業(yè)對安全產(chǎn)品采購的標準通常都是以其處理性能遠高于峰值來確定的,這無疑造成了性能在使用周期內(nèi)的浪費。對于一些比較重要的業(yè)務(wù)部門,如財務(wù)部或總經(jīng)理辦公室,出于加強內(nèi)控的考慮,企業(yè)往往會采購一臺單獨的安全網(wǎng)關(guān)進行安全防護,而這些部門的流量往往很小,大多數(shù)情況下部署的單一安全網(wǎng)關(guān)發(fā)揮出的性能不到10%。因此,在部署多臺單一的網(wǎng)絡(luò)環(huán)境中,由于存在性能上的浪費,在解決管理獨立性的前提下,單一安全網(wǎng)關(guān)的數(shù)量完全可以壓縮而對網(wǎng)絡(luò)和應(yīng)用性能不產(chǎn)生任何影響。
那么,有沒有一種辦法,既可以充分利用國際目前先進的虛擬技術(shù),在保證管理的獨立性下,又可以降低單一安全網(wǎng)關(guān)的數(shù)量和采購?fù)顿Y呢?虛擬集成安全網(wǎng)關(guān)技術(shù)給出了很好的解決辦法。虛擬集成安全網(wǎng)關(guān)技術(shù)可以在充分發(fā)揮安全網(wǎng)關(guān)性能的同時,大幅降低用戶的以往單一安全網(wǎng)關(guān)類產(chǎn)品購置成本和整體擁有成本(TCO),己成為安全網(wǎng)關(guān)領(lǐng)域的一個主流技術(shù)。
虛擬集成安全網(wǎng)關(guān)技術(shù)——東軟NISG必殺技
虛擬集成安全網(wǎng)關(guān)技術(shù)就是將一臺東軟NISG在邏輯上劃分成多臺虛擬的NISG,每個虛擬系統(tǒng)都可以被看成是一臺完全獨立的NISG設(shè)備。虛擬系統(tǒng)在電信、電力調(diào)度、金融等行業(yè)得到了廣泛的應(yīng)用。其中,在IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)提供的安全保障服務(wù)中,虛擬系統(tǒng)在降低安全建設(shè)投資和運行維護成本,滿足用戶安全防護的個性化需求方面,起到了重要的作用。
該技術(shù)可以將一臺物理上的安全網(wǎng)關(guān)設(shè)備劃分成多臺邏輯上的虛擬集成安全網(wǎng)關(guān),針對不同的應(yīng)用采用不同的安全策略,如下圖所示:
針對郵件服務(wù)器,可以采用VNISG#1中的ANTISPAM模塊;針對WEB服務(wù)器,可以采用VNISG#2中的WEB防護模塊;針對VNISG#3中的數(shù)據(jù)庫服務(wù)器,可以采用IPS模塊。另外,在從系統(tǒng)資源上對三個虛擬集成安全網(wǎng)關(guān)進行劃分,根據(jù)業(yè)務(wù)情況分配合理的帶寬及并發(fā)連接資源。不同的安全防護策略配合合理的資源劃分,可以保證NISG有效的對服務(wù)器進行安全防護,同時,即便某個虛擬集成安全網(wǎng)關(guān)由于受到攻擊而無法響應(yīng)新的請求,也不會影響其他虛擬集成安全網(wǎng)關(guān)對其他服務(wù)器的防御效果。
東軟NISG集成安全網(wǎng)關(guān),是東軟安全基于全球安全威脅防護的需求分析,充分考慮用戶應(yīng)用需求之后研發(fā)的一款新產(chǎn)品。 NISG 依靠東軟自主原創(chuàng)的實力及產(chǎn)品強大且先進的功能將成為一條非常重要的產(chǎn)品線,相比之前東軟 NetEye系列防火墻、IDS、IPS、SOC、NTARS、NTPG等“專業(yè)醫(yī)院”而言,NISG這類“綜合醫(yī)院”產(chǎn)品具有劃時代的意義。
【編輯推薦】
