网络安全和数据安全:资讯、技术、法规、趋势。

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


下一代智能防火墙:给你的网络打个分

2013-06-25 10:27 推荐: 浏览: 61 字号:

摘要: 下一带防火墙的下一代是什么样?Hillstone尝试通过它的下一代智能防火墙发布会来回答这个问题。 最早由Gartner提出的NGFW定义中规定下一代防火墙必须有基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合六大功能。即是...

下一带防火墙的下一代是什么样?Hillstone尝试通过它的下一代智能防火墙发布会来回答这个问题。

最早由Gartner提出的NGFW定义中规定下一代防火墙必须有基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合六大功能。即是说下一代防火墙除了传统防火墙的功能,还需要有一定的行为管理功能。

Hillstone提出了一个下一代智能防火墙的理念,Hillstone通过对网络中的行为、应用等进行加权算出一个健康指数,并对网络中存在的问题进行分析然后提出解决方案。这种无处不在的分析应该是下一代智能防火墙智能的核心。这篇文章就来分析一下Hillstone的下一代智能防火墙。

山石网科产品副总裁王钟详细介绍了Hillstone下一代智能防火墙的设计理念。他认为下一代智能防火墙是基于风险的安全解决方案,优于增强型下一代防火墙,通过持续监控、收集和分析流量及可用性数据,主动查找可能影响网络运行的异常行为和潜在的网络问题。

Hillstone下一代智能防火墙就是在准确、深度辨识用户身份、服务器和应用的基础上,对其进行长期监控;分别以全网健康指数对网络健康状态打分;以行为信誉指数对用户及服务器状态打分,然后对“高危”人员或者“高危”服务器实行相应的预警或者有效的控制。如上所说下一代智能防火墙的核心实在网络健康指数、行为信誉指数以及最终的动态策略控制三个方面。

网络健康指数

它是通过主动检测的技术,实时监控网络的联通性 通、堵还是断了、设备资源的利用情况 CPU/内存的使用情况、业务服务器响应的延迟情况,通过一个专利的算法,形成网络整体的健康指数,供管理员参考。

上面是简易的一个全网健康指数打分的示意图。网络连通(80分)、设备资源(50分)、业务服务(30分)。原则上应该是三者的分数加权算出全网健康指数,但是由于业务服务作为最终的一个环节打分过低,算法会认为整个网络都存在风险,需要进行全面的检查,所以给出了30分作为向管理员发出的预警。

行为信誉指数(BRI)

这个指数则会设计数据管理和流量管理的一些技术,影响行为信誉指数的因素包括用户的账户状态、应用以及各种服务的运行状态。非法下载、过多次的密码重试、不正常的扫描都会降低行为信誉指数。下图则是一个行为信誉指数较低的情况,系统将分数定为50,并以黄色的背景向管理员预警。

不论全网健康指数还是行为信誉指数都是对系统运行状态的一个反应。而对这两个指数进行全面的分析,并动态策略控制才是最终的目的。Hillstone下一代智能防火墙的动态策略控制包括预警、限制和阻断三个层次。

首款下一代智能防火墙——HillstoneT5060

T5060是Hillstone第一款下一代智能防火墙产品。也是上面所介绍的基于对网络和行为监控得出相应的指数进而给出动态策略控制建议的理念的实践产物。

HillstoneT5060集合多核安全处理器和X86处理器各自的优势,同时为数据转发、安全防护、数据分析、设备管理和可视化提供强大的性能保证。

HillstoneT5060增强的智能流量管理(iQoS),采用两层八级管道嵌套技术,结合实时管道监控,可灵活方便地基于用户身份和应用对复杂业务流量进行管理。

HillstoneT5060基于全网健康指数来量化评估业务服务与网络的可用性及健康状况,并生成全网健康报告,当网络健康状态发生变化时进行主动预警,提供网络管理员及时调整安全策略,从而提升对完全风险的防范。

HillstoneT5060

在现场搭建网络环境中,技术人员在采用测试仪发送业务流量的同时使用PC模拟用户真实在线活动以及网络管理员对网络的监控以及管理,全景展现了下一代防火墙主动检测网络连通、业务服务、设备资源情况,并进行全网健康状况评估和分析。

演示中可以看到T5060可以实时的将全网的运行状态通过全网健康指数反应出来。另外,如果网络发生故障,管理员可以一级级从各级网络下钻到具体的安全策略和应用,可视化的图形界面可以很直观的发现出故障的结点。针对发生故障的原因,T5060可以运用上文提到的动态策略控制功能来提出解除故障的方案。

如上图所示,Hillstone认为下一代智能防火墙应该以主动检测和提前预警为主要特点,同时在对网络、行为以及应用进行大量分析的基础上动态的修正管理策略以保证整个系统的畅通。

联系站长租广告位!

中国首席信息安全官
Copy link