下一代防火墙 突破于威胁可视化

知名咨询机构IDC对下一代防火墙(NGFW)定义了五方面的核心安全能力:对应用、用户、内容的精细化识别与管控,一体化安全引擎,外部智能,全网可视化和高性能架构。其中可视化可能是最容易被厂商和用户误读的一项能力,因为从英文visibility翻译过来的这个词,很容易被“跑偏”的理解到同样被翻译为“可视化”的visualization这个词上。

从Visualization这个词谈起

从字面理解,visualization指的是将抽象的事物清晰的呈现出来。具体到NGFW上,将海量的日志等原始数据信息以易懂的图形化报表形式呈现出来确实是必备的基本能力之一。确切的说,仅仅简单的将事件日志等数据信息粗暴的呈现给用户的产品还不能称为商业化产品;但即使做到了日志数据的图形化呈现,与真正意义上的可视化仍相距甚远——几乎所有的技术人员在面对由传统安全设备输出的单调、重复、难懂的日志和报表时,都在为如何将它们与安全风险相挂钩而面露难色。

近年来一些厂商将越来越炫酷的UI界面或各类TOP
10排名灌之以深度可视化的名头,这是典型的将visualization理解成了visibility。可视化不是简单的将数据图形化呈现,不是日志信息的简单分类和归集,而是深度挖掘这些原始数据素材之后的内在关联,以全局视角帮助网络管理者看清各种威胁,看清攻击事件的全貌,帮助了解攻击者的真正意图和目标。从这个意义上讲,visibility的准确翻译应该是“看得见的能力”而非“可视化”。

可视化的三重境界

看得清是可视化的初级境界,也是对NGFW的最基本要求。

在网络应用高速发展的今天,超过90%的网络应用运行在HTTP
80和443端口上,大量应用可以进行端口复用和IP地址修改,导致IP地址不等于用户、端口号不等于应用。在这样的大背景下,如果还向管理者呈现一条条IP、端口等流量日志无助于看清网络中的应用,更不用说洞悉应用上所承载的内容。

下一代防火墙的可视化技术,可以根据应用的行为和特征实现对应用的识别。如果能够实现与多种认证系统(AD、LDAP等)无缝对接的话,还可以进一步自动识别出应用和IP地址所对应的用户信息,勾画出人-内容-应用的立体画像,满足新一代安全的网络管控要求。

看得全是可视化的第二重境界。NGFW区别于传统防火墙的最大特征是NGFW可以在应用层上构建安全,可以有效抵御应用层威胁。当今应用层攻击的一个大趋势,是从单一攻击手段向复合式攻击演进,一次攻击事件可能会触发AV、IPS等多个安全模块的告警。看的全不但要求NGFW能够看清人、内容、应用,更要能够将分散在不同安全模块上看似割裂的安全事件进行多维度的管理分析,彻底改变以UTM为代表的传统安全设备的信息孤岛诟病,帮助管理者从单一的安全事件了解攻击的完整过程。

这一点看似简单,实现起来并不容易。一体化引擎架构不仅通过“单次解码,并行检测”解决了多安全模块检测所带来的性能瓶颈,更是多安全模块智能数据联动的基础——各安全模块产生的信息可实现全维度关联,使NGFW具备强大的模块间安全协同能力和威胁情报聚合能力,用户无需进行人工挖掘和分析即可全面掌握威胁全貌。

看得透是可视化的更高一层境界。这里所说的“看得透”,指的是NGFW的可视化能力应具备一定的智能分析能力,帮助管理者定位可疑行为以预测风险。通俗一点讲,就是只有做到“见你所未见”,才能实现“知你所不知”。

过去,我们将太多的精力放在了基于安全策略的实时防御上面,但事实证明以策略为核心的防护体系无法完全挡住威胁。近年来占据了安全圈新闻头条的是越来越多的网络失陷事件。为此,业内有厂商提出了以预测为核心的新一代安全防护体系,即通过动态的检测网络异常对后续攻击进行预测,为调整防御策略提供依据。

要实现更准确的预测,除了企业自身的安全运营数据外,还应包括外部的威胁情报。随着云计算、大数据技术的不断成熟,将云端的海量威胁情报信息及大数据的高度智能用于判别日趋复杂的威胁,已成为业界公认的技术发展方向。NGFW应具有与外部威胁情报库联动的能力,并能够利用大数据分析技术,通过威胁情报预测攻击事件,看清威胁特征库中并未收录的未知威胁。

NGFW,如何突破于可视化?

NGFW应具有的可视化能力,言简意赅的讲,指的是通过图形化界面的呈现,从用户、应用、威胁等多个维度,体现流量的状况、变化趋势等。这项技术是从传统防火墙的日志、报表功能演变过来的,但与传统防火墙相比NGFW的可视化有几点明显的突破:

1)能够看到基于应用的流量而不是IP、端口;

2)能够提供关联的分析,而不是割裂的看到每一个功能模块的日志;

3)对于统计的数据,具备一定的分析能力,而不是简单的呈现。

当可视化这个传统安全能力具备了以上“下一代”基因后,就赋能以NGFW实现了安全能力上的突破:对于管理范围内任意一台主机,NGFW都可以精准定位并实时追踪其网络应用使用情况及与之相关的安全事件,方便管理者清晰的认知网络运行状态。

通过深入的数据挖掘能够形成安全趋势分析,以及各类图形化的统计分析报告,从应用和用户视角多层面的将网络应用的状态展现出来;通过引入外部威胁情报,实现安全态势感知和风险预测功能,解决单机设备与生俱来的短板。

看不见贼就抓不到贼。预测,是更高层面上的看见。

本文转自d1net(转载)

时间: 2024-09-19 23:58:23

下一代防火墙 突破于威胁可视化的相关文章

既然要买防火墙,为什么不选择“下一代”防火墙呢?

前些日子,跟一个客户谈一笔防火墙生意,一切进展顺利.会议快结束时候,随口问了一句:您为什么要选择购买下一代防火墙?在提这个问题时候,我设想了几种客户可能会给的答案,类似性价比高,安全性高,性能强--但是客户最终的回答却出乎我意料:既然要买防火墙,为什么不选择"下一代"防火墙呢?客户这个反问式的回答出乎我意料,做一个简单类比就是如果你现在选择够买苹果手机,新版iPhone SE来了,你还会去选择买一个4S吗?这个逻辑看似简简单明了,但问题是如何购买一款真正下一代防火墙? 尤其是这几年,国

山石网科发布智能下一代防火墙新版本 应对未知威胁

2月5日北京,民族网络安全领导厂商山石网科发布智能下一代防火墙新版本,总裁兼CEO罗东平亲自分享了山石网科在未知威胁防护方面取得的新成果:智能下一代防火墙将通过基于威胁行为的分析技术识别未知威胁,帮助客户解决目前市场中下一代防火墙和"沙箱技术"不能发现的0-DAY.APT.变种恶意软件等未知威胁,提前排除内网的安全隐患,在未知威胁产生破坏前减少损失. 罗东平表示:山石网科本次发布的新版本,首次采用的"未知威胁检测引擎"和"异常行为检测引擎"两大智

为什么下一代防火墙防不住下一代威胁?

有客户抱怨,给下一代防火墙修改一条规则,跟遭一场天灾似的.企业内部设置的规程,让防火墙规则的修改相当不易.如今,企业纷纷在内网部署下一代防火墙进行访问控制和数据泄露预防.但这一解决方案,最好的情况下,作用也是有限的.这些防火墙检测不出数据泄露,也阻止不了内部威胁. 主要原因有三: 策略是静态的,适应不了动态威胁 无法学习和特征化用户行为 威胁响应能力缺乏粒度 首先,下一代防火墙在区分好坏上是非常确定的.我们知道,内部威胁和安全违规的特点是,恶意攻击者模拟合法用户的行为--通常通过盗取凭证来实现.

教你选择合格的下一代防火墙

  随着网络活动的逐步上升,企业面临的威胁正在成倍增长.作为企业的IT管理人员,应该如何选择下一代防火墙.近三分之二的网络流量是基于Web的应 用程序,随着这类应用新的安全威胁以及占用的网络带宽的情形大幅增加.今天的网络流量需要下一代防火墙(NGFW)的适当控制. 据Gartner称,NGFW"是一个线速的综合网络平台,进行流量的深入检查和阻止攻击."一个合格的NGFW包括所有在第一代防火墙的标准功能(例如,网络地址转换,包过滤和状态包检测,以及其他通用的网络功能). 当你的防火墙和或

NSS Labs攻击防护测试面面观 —— RSA2016大会首日 NSS Labs为山石网科颁发下一代防火墙推荐级奖项

3月1日,在开幕首日的美国RSA大会现场,NSS Labs高管Garret Jones在现场来宾的见证下为山石网科颁发了下一代防火墙推荐级水晶授牌,山石网科凭借着下一代防火墙的卓越表现,成为了首家成功通过NSS Labs该项测试的中国企业.这一里程碑式的成就对于山石网科而言,无疑是极大的鼓舞,也开创了国内网络安全企业的先河. 山石网科的下一代防火墙在NSS Labs推出的价值象限中占据了近乎右上顶点的优异位置,能以最低的总体拥有成本及最高的安全防护级别为全球超过12000名用户提供全面保护.  

下一代防火墙 决胜于应用层

导读 本文讲的是 下一代防火墙 决胜于应用层,互联网+时代,海量应用隐藏亿万风险.网络失陷,也许只是源于一次网页浏览,或打开一封邮件.传统的包过滤型或状态检测型防火墙虽然可以有效防范各种网络层的攻击,但对于大多数利用Web应用漏洞进行的攻击却束手无策.面对新威胁.新挑战,下一代防火墙的核心安全能力体现在哪里? 几乎没有人怀疑防火墙在企业所有的安全设备采购中所占据的重要位置,但传统的防火墙并没有解决网络主要的安全问题.从实现技术来讲,传统的防火墙主要是包过滤防火墙,实现的是网络层控制 - 截获网络

下一代边界安全专家——绿盟科技下一代防火墙正式发布

2013年4月25日是绿盟科技成立十三周年的日子,也是绿盟科技下一代防火墙正式发布的日子.该产品结合绿盟科技十 三年攻防研究.产品研发与应用.客户服务经验,历时多载,汇聚近百位专业人士的智慧,精心打造完成.绿盟科技下一代防火墙产品以掌控应用风险,重塑边界安全为目标,在企业网络边界建立VIP式安全防护,即可视化应用安全(Visualization).一体化安全防护( Integration).高安全处理性能(Performance),通过智能化识别.精细化控制.一体化扫描等逐层递进方式实现用户/应

新华三的安全目标:下一代防火墙要争做国内领先

[51CTO.com原创稿件]防火墙自20世纪出现以来,广泛应用于全球各国及各个行业,在IT系统边界起到举足轻重的安全防护作用.伴随IT技术的快速发展,防火墙也在不断的革新演进.在企业数字化转型浪潮中,新的业务及应用为边界防御带来新的挑战,下一代防火墙应运而生. 近日,新华三集团在广州举行了下一代防火墙技术研讨会暨IDC技术白皮书发布会,与IDC共同发布了<下一代防火墙推动企业IT系统边界防御能力进入新高度>技术白皮书. 发布会上,新华三安全产品线产品管理部部长李彦宾介绍了新华三集团的安全发展

以用户的名义重新定义下一代防火墙

本文讲的是 :   以用户的名义重新定义下一代防火墙 , 随着国家建设网络强国战略的出台,我国信息安全产业已再次迎来蓬勃发展的春天.业内分析人士指出,在快步增长的中国信息安全市场中,安全硬件市场长期占据半壁江山,而扼守网络边界的防火墙产品则是安全硬件市场中的顶梁柱. 进不来.拿不走.读不懂是传统安全建设的基本原则,让攻击者进不来,是需考虑的首要问题.防火墙犹如企业网络的守门员,几乎成为安全建设的必选项,调研数据显示,超过89%的企业在进行信息安全建设时,首选防火墙设备. 从产品演进看防火墙三大核