下一代安全倡导者网康谈下一代防火墙
网康NGFW采用高性能多核硬件架构及单路径异构并行处理引擎,网络流量平均分配于多个处理核心并行处理,所有数据包一次解码即可进行全部威胁特征检测。大幅优化了安全检测和数据转发效率,可有效保障高性能应用层处理,并降低多安全功能全开启后的性能衰减。单路径异构并行处理有别于传统统一威胁管理(UTM)将多安全引擎简单堆砌的方式。安全模块间可开展有机联动,各安全模块产生的信息可实现全维度关联,使网康NGFW具备强大的模块间安全协同能力和威胁情报(Threat Intelligence)聚合能力。
此外,NGFW可以与网康云联动,这样大量的特征匹配工作量可以在网康云上完成,也就是业内常说的云查杀技术,并将云端的决策下发到NGFW端。本地+云端的模式可以在保证应用识别/检测率的同时最大程度的保证单机性能。
下一代防火墙衍生新技术
当前市场上已经出现了很多下一代防火墙产品,根据不同公司对产品的不同理解以及不同的技术积累,在产品实现过程中就出现了很多差异性。网康科技在做具体实现的时候,也做出了很多差异性的实现。
云查杀技术
Gartner定义下一代防火墙的时候,云计算并没得到普及,然而今天,“云”已经成为了众多安全厂商竞相采用的一种技术。结合防火墙产品,云主要表现出了两方面的优势。首先是特征数量更大和特征更新更快。受限于本地存储空间大小和cpu运算能力,一般的独立防毒墙,或者UTM、防火墙产品中嵌入的杀毒引擎所具备的特征库数量基本上都是10万级的,而云端的病毒库由于不受计算能力和存储能力的限制,因此拥有多达500万以上的特征库。而且云端安全引擎不会出现扩展性问题,随着样本库的增长我们只需要调整云中心的硬件配置就可以了。需要指出的是,木马的危害性远远超过病毒和蠕虫,它是僵尸网络、数据泄露的重要途径,是对企业安全的巨大威胁。云安全技术是应对木马的有力武器,事实上,由于木马具有快速变种的特点,可以认为这种解决方案对于木马是唯一有效的检测方案。根据我们的测试,在和几款主流的安全硬件的对比中,同样的样本数据,网康下一代防火墙的检出率高达90%而其他设备的检出率不超过60%。
数据防泄漏技术
DLP的要求同样没有出现在Gartner的定义中,然而随着大数据时代的来临,数据已经成为了企业的核心资产,在国家对公共信息保护日益严格的情况下,数据泄露在给企业带来巨大损失的同时,还会为企业带来法律风险。所以,下一代安全技术中有必要针对数据泄露设计专门的防范措施。当前的许多数据检测都是发生在协议层的,例如FTP,HTTP等。而实际上,数据泄露却有着很多的渠道,许多网络应用都可以进行数据传输,例如网盘、P2P、IM等等,这些应用都有自己独特的数据传输机制,这不是从协议层可以检测出来的。所以要进行有效的数据泄露检测,必须能够针对具体应用来进行。而这恰恰是下一代防火墙的核心能力所在。网康科技针对300种能够进行数据传输的应用进行了检测,并支持66种文件类型的检查。而且还支持通过正则表达式的形式来进行关键字规则限定,并且预定义了许多数据类型例如“身份证号”、“银行卡号”、“信用卡号”等。
链路负载均衡与应用引流
除了在下一代安全技术的进一步加强外,网康还针对一些客户的实际需求做出了一些极具实用价值的新功能。比如,网康科技观察到很多客户都具有多链路出口的场景,负载均衡对这些客户有着明显的价值,于是引入了链路负载均衡功能,这对于提升我们客户的网络吞吐有着很好的帮助。除了传统的链路负载均衡功能,网康还将其独有技术“应用引流”引入到了下一代防火墙平台上,用户可以根据应用类型来决定选择哪条链路,这可以让客户将核心业务分布到优质高价链路上,将无关业务分布到劣质低价链路上,更好的发挥IT投资的价值。
更精细的解决方案防范未知威胁
网康下一代防火墙已成功部署在了遍布全国及各行业的企事业单位。在政府机构,网康下一代防火墙以其极高的安全性助力等级保护建设;在高校,以其强大的性能和可靠性保障数字化校园;在中小学,以其领先的应用控制能力保障三通两平台运行并构建绿色上网环境;在中小企业,以其多功能融合的设计带来一专多能、安全可靠、简单经济的价值提升;在大型企业,以其卓越的全网可视、智能分析构筑技术支撑管理、技术管理并重的安全体系。
对于下一代防火墙来讲,一旦具备了对人、应用、内容的识别能力,则意味着访问控制能力由原先的五元组扩充至了八元组,控制一个数据包的访问和转发,可基于传统五元组外加应用类型以及数据内容进行更加精细的过滤。同时,对于日益普遍的应用层威胁的防御,同样需要建立在应用识别的基础之上,不识别应用则根本谈不上应用层威胁的防御。
在防范未知威胁方面,网康NGFW内建僵尸主机行为模型,并引入行为特征分析技术,将针对主机行为的统计分析结果与威胁模型进行关联对比,根据其符合程度判别可疑的僵尸主机并及时预警,为管理者提早做出人工干预提供数据支撑。主动式防御还包括单位周期流量异常变化监控,可以应用、IP为维度对比出单位周期内的流量激增和骤减变化,帮助管理者预判风险。
迎合下一代安全趋势
网康安全云收录病毒文件样本数量已达亿级,恶意网址数量超20万条,并由专业安全团队保持实时分析和更新。网康NGFW实现了与网康安全云的智能联动,在业界率先采用病毒和恶意网址云查杀技术。
云查杀技术由网康安全云负责病毒、恶意网址等威胁特征的匹配,并由网康NGFW快速执行云端下发的决策,云查杀技术在威胁检出率、检测性能及新威胁响应速度方面领先传统本地检测技术数十倍。简单讲,在下一代网络安全防护体系架构中,NGFW既是云上大数据的采集者,同时也是云端决策的执行者。
大数据情报分析在终端的落地
目前企业用户对防火墙的最大困惑,就是传统的安全设备如何应对现代网络环境中的高级威胁, 尤其是未知威胁。因为传统安全设备的检测方式十分依赖于病毒库、特征库等技术手段,而这类技术无法应对未知威胁。网康科技在研发NGFW之始就看到了传统检测方式的局限性,因此始终将主动式防御和风险预判作为应对现代高级威胁的解决之道,通过用户行为特征分析判断异常行为并及时预警,为管理者提早做出人工干预提供数据支撑。
此外,本地设备与云技术的结合也是用户的另一个困惑。NGFW的一个热点功能就是安全可视化,这种可视化并不是应用、用户的可视化,而是全网范围内的安全态势感知,这是单一设备无法实现的。而云计算技术可以将海量数据关联起来,动态搜集情报、智能解决威胁。在这方面网康可以做了一些尝试,通过”云管端“安全架构模式解决了本地防火墙与云端的联动问题,实现了大数据情报分析通过防火墙在受管控的终端上落地,防火墙的防护模式也由之前的孤岛模式演进为协同模式。
功能和性能有如驱动之双轮,要协同发展,缺一不可。防火墙部署于内网和外网连接的咽喉要道,肩负着流量控制、病毒检测、入侵监测、内容过滤等多种功能,因此开启全部功能后可能会导致处理性能大幅度下降。尽管这个问题无法完全避免,但通过高性能多核硬件架构及单路径异构并行处理引擎,报文经过一次解包后由多个模块并行检测,是可以有效降低性能衰减的。