下一代安全網(wǎng)關的三大特征 |
發(fā)布時間: 2012/9/14 18:58:34 |
未來的攻擊目標和層面正在逐漸轉移到七層的應用層上,這就給網(wǎng)絡安全提出了新的嚴峻挑戰(zhàn)——如何在四層防護的基礎上,完成對新型應用攻擊的防護,從而保障網(wǎng)絡用戶免受威脅之苦。 為了真正解決應用時代的安全問題,以七層防護為核心的下一代安全網(wǎng)關(NGSG,Next Generation Security Gateway)出現(xiàn)了。下一代安全網(wǎng)關是在傳統(tǒng)安全網(wǎng)關四層靜態(tài)防護基礎上發(fā)展起來的新一代安全網(wǎng)關,它利用多種檢測技術滿足從鏈路層到應用層的全面檢測,實現(xiàn)應用級的安全防護;利用多核處理器等新技術,解決在復雜檢測防護技術下的應用層性能問題;它采用了統(tǒng)一防護策略,將應用層復雜的防護功能融合起來,作為一個整體實現(xiàn)對網(wǎng)絡的全方位防護。 下一代智能檢測技術 下一代安全網(wǎng)關NGSG采用三種核心檢測引擎:狀態(tài)檢測、智能協(xié)議識別、智能內(nèi)容識別三個檢測引擎,作為安全威脅二~七層全面檢測的核心技術。 在網(wǎng)絡數(shù)據(jù)經(jīng)過端口物理處理芯片后,再經(jīng)過網(wǎng)絡專用引擎做基本的包解析重組和分流,進入到NGSG的核心——多層檢測引擎中,在這里,主要包含三個檢測技術: 1. 狀態(tài)檢測。狀態(tài)檢測即利用四層TCP/IP的連接握手信息,建立狀態(tài)表項,利用表項信息監(jiān)控不同區(qū)域訪問的數(shù)據(jù)情況,并依照規(guī)則進行數(shù)據(jù)包阻斷等安全保護措施。 利用狀態(tài)檢測技術,以及該模塊包含的相關的其他檢測方式——例如包過濾技術,NGSG可以完成對2~4層數(shù)據(jù)的基本檢測。 2. 智能協(xié)議識別。智能協(xié)議識別屬于動態(tài)識別技術,也是下一代安全網(wǎng)關NGSG同傳統(tǒng)安全網(wǎng)關的一個重要區(qū)別,智能協(xié)議識別是利用了協(xié)議端口分析技術、協(xié)議特征判斷、協(xié)議行為分析技術,并借用可以動態(tài)升級的應用協(xié)議特征庫 、協(xié)議行為特征庫,來完成對復雜多變的鏈路層到應用層各種協(xié)議的識別判斷和處理。 對于復雜的應用,智能協(xié)議識別技術NIPR引擎按照如下順序進行協(xié)議掃描,首先智能協(xié)議識別引擎對數(shù)據(jù)包的協(xié)議端口進行判斷,并按照不同的協(xié)議加以分組,區(qū)分為靜態(tài)端口應用(HTTP、POP3等)、動態(tài)端口應用(如某些P2P軟件),以及特殊協(xié)議類型(如某些病毒,或者部分黑客工具)。之后,進入?yún)f(xié)議特征判斷,利用“應用協(xié)議特征庫”,對超過500種的協(xié)議進行特征匹配,并明確判斷靜態(tài)端口應用、動態(tài)端口應用,并可對部分特殊協(xié)議類型進行準確判斷。對于上兩步?jīng)]有完成的協(xié)議識別,進入?yún)f(xié)議行為特征識別階段,對攻擊的行為特征庫信息進行判斷。 由于該引擎的核心數(shù)據(jù)信息——應用協(xié)議特征庫、協(xié)議行為特征庫可以實現(xiàn)動態(tài)升級,對于日益增多和變化的應用協(xié)議可以基本做到實時跟進,從而達到對各種應用協(xié)議的準確判斷。 3. 智能內(nèi)容識別。在NGSG的動態(tài)識別技術中,另一個重點即智能內(nèi)容識別。智能內(nèi)容識別的主要作用是在智能協(xié)議識別的基礎上,對協(xié)議內(nèi)的數(shù)據(jù)內(nèi)容進行監(jiān)控識別。在智能內(nèi)容識別中,最重要的是識別算法的處理效率,從而確保整個NGSG以較高性能分析應用層的數(shù)據(jù)。 智能內(nèi)容識別的第一個特點是基于流的掃描技術,在整個應用層內(nèi)容的掃描識別過程中,不是將整個應用信息完全還原后才開始進行識別處理,而是在初期若干應用報文進入安全網(wǎng)關后就開始啟動掃描識別和判斷,并在檢測部分數(shù)據(jù)后就開始對外發(fā)送數(shù)據(jù)。相對于基于文件的檢測技術(完全接收完數(shù)據(jù)再繼續(xù)檢測,檢測完畢后再繼續(xù)發(fā)送),可以節(jié)省大量的檢測時間,提高智能內(nèi)容識別的檢測效率。 在智能內(nèi)容識別中的另一項技術則是內(nèi)容解碼,應用中的內(nèi)容有可能發(fā)生了壓縮、編碼以及各種變形處理,在這里由內(nèi)容解碼進行處理,之后進入智能內(nèi)容識別的核心階段——和各動態(tài)庫或人工規(guī)則進行高效內(nèi)容匹配階段。 在內(nèi)容匹配階段,主要可以根據(jù)惡意URL庫、病毒庫、攻擊規(guī)則庫三個安全庫,或者根據(jù)網(wǎng)管人員設定的內(nèi)容檢測規(guī)則,對通過安全網(wǎng)關的數(shù)據(jù)流進行匹配,判斷各種攻擊、病毒或者非法URL,從而實現(xiàn)對數(shù)據(jù)內(nèi)容中包含的威脅進行識別。 在保障上述三大檢測引擎的高效算法的基礎上,下一代安全網(wǎng)關NGSG對智能協(xié)議識別和智能內(nèi)容識別應用到的五個安全庫(應用協(xié)議特征庫 、協(xié)議行為特征庫、惡意URL庫、病毒庫、攻擊規(guī)則庫)進行了優(yōu)化,在更新制作安全庫時,可以根據(jù)不同庫的應用算法,對數(shù)據(jù)庫內(nèi)的信息進行預編譯預優(yōu)化處理,從而提高檢索查詢時的效率。 借助云安全 對于下一代安全網(wǎng)關來說,需要解決的一個重要的安全問題就是應用威脅的快速多變。NGSG引入云安全,是利用云計算加強和加速防御的安全機制,是解決當前安全需要快速反應的重要手段。 云安全系統(tǒng)的NGSG,最大的一個優(yōu)勢是安全庫的快速全面。在云安全系統(tǒng)中,核心是安全專家團隊和由服務器組成的中央服務器群,核心系統(tǒng)對各種安全威脅進行掃描,例如對于掛馬的網(wǎng)站進行實時全面掃描,并立刻形成不可信URL數(shù)據(jù)庫更新,在各個政府、企業(yè)出口部署的NGSG獲取到這些最新的實時數(shù)據(jù),對用戶的上網(wǎng)進行控制,從而使用戶免受這些掛馬網(wǎng)站的侵害。 高效的硬件體系構架 為了解決應用級安全防護的問題,除了有一套高效、動態(tài)的檢測機制外,還需要有足夠強勁的硬件引擎和體系構架。從某種程度上說,多核CPU其實是NP的升級版,很多工業(yè)級多核CPU就是在保留NP多微引擎轉發(fā)能力的基礎上,強化其計算能力,從而可以滿足二~七層各個級別處理的計算需求。 多核CPU可以對數(shù)據(jù)流量進行多流并行處理,并利用類集群計算的原理,實現(xiàn)多核的統(tǒng)一分析,最終大幅提升7層應用級防護效率。實驗室測試表明,對于一個外部帶寬充足,內(nèi)部總線、RAM等不構成能力瓶頸的一個硬件系統(tǒng),更換不同的多核CPU,系統(tǒng)應用級性能會有大幅的提升,CPU的核數(shù)增加一倍,安全網(wǎng)關系統(tǒng)總轉發(fā)處理性能可以提升40%~80%(這主要依賴于具體是何種應用的防護,以及相應的算法的并行性情況而定)。但這也從一方面說明了多核CPU在提升應用級防護中的效果。 本文出自:億恩科技【www.allwellnessguide.com】 |