2013-07-03 14:28:11 来源:赛迪网
近日,山石网科发布的T系列下一代智能防火墙,引起了业界的广泛关注,媒体和业界分别给与了不同维度的解读,那么,山石网科下一代智能防火墙与传统的防火墙有哪些不同?又具有哪些全新的特点?
基于威胁的安全转变为基于风险控制的安全
在防火墙的进化史中,无论是基于包过滤,状态监测,UTM,还是下一代防火墙(NGFW),都是采用基于威胁的安全理念,通过机械的功能堆加和被动的安全防御,尽量创造安全的网络环境。下一代智能防火墙最根本的改变在于由传统的基于威胁的安全转变为基于风险控制的安全。
山石网科CTO刘向明说, 基于威胁的安全模式是先确定需要对哪些威胁类型进行防范,设备再进行有针对性的防范。过去,对于病毒和木马文件传输,有防病毒解决方案;对于基于网络的应用层攻击,有IDS/IPS解决方案。为了防范新的攻击类型,需要向检测规则数据库中添加IPS规则。这种方法的问题在于只有在充分理解了攻击的前提条件下才能进行有效防御。随着0-day攻击和APT的扩散,这种方法的效果越来越小。
基于威胁的解决方案仅关注已知的威胁方面,很多解决方案仅能处理已知的威胁。基于风险的安全模型指的是对风险进行分析从而对IT基础设施和资产所实施的设备安全保护措施。基于风险的解决方案处理的是信息资产,将对资产已知和未知的威胁以及资产的漏洞都纳入到考虑范围。
在基于风险的安全模型中,企业可以根据基于风险的安全方法论在安全事件发生之前评估风险,并根据所需保护资产的价值以及系统被入侵后可能导致的破坏程度进行安全保护投资。
对于贵重资产以及威胁和漏洞的重灾区,可以通过增加防御手段主动实施安全措施。如果新发现的威胁和漏洞导致风险级别发生变化,可以动态调整安全策略以确保安全。
主动检测与关联分析
下一代智能防火墙,首次应用主动检测技术,为提前预判安全风险提供了充分的条件,可以及时发现安全威胁并给与管理员弥补漏洞的时间。
刘向明说,下一代智能防火墙保护应用可用性和保持业务连续性的一个方法是主动监控。防火墙通过定期探测监控网络中的应用、服务器和关键节点和资源消耗,并关联分析探测结果以总体评估网络的健康情况和服务的可用性。在运行状况开始恶化时,全网健康指数(NHI)将会在服务完全不可用之前发出预警。出现问题后,系统还会提供每个检测单元的完整健康报告,这有助于用户进行故障排查并缩短确定故障所需的时间。
同时,网络计算和大数据技术的突飞猛进使得实时获取并分析大量系统日志、安全日志、会话信息、抓包文件等安全数据成为可能。防火墙部署于网络中不同安全区域之间的关键位置,可以检测对安全策略和监控有重要意义的所有流量,并将这些数据用于可视化。DPI技术可以将流量具体分析为应用和用户。有了这些信息,再加之以强大的硬件,防火墙可以近乎实时的分析数据,并根据网络中的变化动态调整安全策略。
增强的智能流量管理
智能流量管理(iQoS)实现了更加细粒度的控制用户和应用流量,保障关键业务应用的可用性,是下一代智能防火墙的又一特点。
iQoS是在传统QoS基础上增加了如下功能:两层八级的管道嵌套、管道监控、基于优先级进行差分服务及剩余带宽分配功能。iQoS可以通过细粒度流量划分和两层八级QoS管道嵌套技术实现基于应用和用户的增强的智能流量管理;通过即时配置调整,可以实时查看流量控制的效果。同时凭借基于优先级的分类,优先处理高优先级别的应用,实现灵活的带宽管理,对消耗大量带宽资源的应用,保障用户网络中关键业务的畅通,同时可以更充分的利用现有网络带宽,方便灵活地利于管理员进行配置。
总之,下一代智能防火墙是基于风险控制的安全解决方案,通过持续监控、收集和分析流量及可用性数据,它可以主动查找可能影响网络运行的异常行为和潜在网络问题,可以帮助管理员降低企业网络和服务的运营风险。
www.ciotimes.com/safety/aqrj/81564.html
www.ciotimes.com/safety/aqrj/81561.html
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。