【51CTO.com 综合消息】网络无边界,而企业信息安全管理如果没有边界之说,则会让我们进入一个“混沌的世界”。随着IT硬件设备采购成本的降低,一些企业网络规模开始迅猛增长,网络承载的业务种类也变得复多起来。如何在网关层进行细化,确保业务系统的健康稳定,已经成为IT部门“心有馀,而力不足”的难题。
安全网关的发展遭遇瓶颈
对于学习网络安全的人来说,防火墙几乎是我们第一个需要接触的安全产品。然而,随着诡异的入侵技术、前所未有的破坏手法以及Web病毒的泛滥,威胁无处不在,传统防火墙昔日的威风渐渐老去。
从概念上讲,安全网关是指设置在不同网络或网络安全域之间的一系列部件的组合的统称。而从这个概念上派生出来的产品包括了防火墙、VPN网关、防病毒网关、入侵防御网关、反垃圾邮件网关等等。回顾以往,这些设备分离开来,使得企业在安全域边界部署网关时,用户如果想要加入更多的功能,只能一层一层的“串”在一起。不但网络中的数据流也被一层层的剥离和重组,如果企业修改了IT安全策略,也需要一个台台设备反复的调试,各个设备无法联动起来,不但维护成本逐渐加大,正常的业务往来也会受阻。
出于市场需求的增长与改变,Fortinet公司在2002年首先提出了统一威胁管理技术,而这一技术在2004 年9月被IDC提出,并将此命名为统一威胁管理(United Threat Management),简称UTM。被人期以厚望的UTM,在这几年中几乎将网关市场一揽殆尽,但UTM也有其不足之处。
在网络被人为的分割成内外有别的场景后,针对业务内容的安全防护已经为各行各业所关注亮点。举例来说,企业如果部属了UTM,其本意在于解决应用进行细分化后的防护问题,但一台设备所能划分的保护区十分有限,不得已的情况下,我们只能回归到传统的DMZ区域划分中,无法实现根据应用系统实施单一防护。而另外一个问题,则会出现在局域网规模扩后的应用需求上。例如,企业内网根据职能部门和权限划分后,如果财务部门需要访问单独的Internet上的资源,例如网上报税、转账等,也只能从同一个网络出口出去,看似安全的网关实际上最后还是无法将内网用户分出一个“三六九等”来。面对这样的需求,妥协的方法很简单,就是再购置一台网关设备,但这样的结果又进入了重复投资的“怪圈”。
安全网关如何成为业务推进器
由于UTM背负着太多的使命,在出现伊始就被赋予了“万能”的光环,导致这样一类的安全产品在一种非正常的环境下“努力”成长的状态。东软认为:“在集成安全网关市场发展趋势看好的情况下,并不是应用集成度越高,就越能证明产品的功能越好;不是技术越好,就能理解用户需求。分而治之,根据企业业务需求的细化趋势,提升安全网关产品与业务融合能力才是关键。但这并不意味着技术就要跟在别人后面,在技术上必须有创新,只有做到‘人无我有,人有我优,人优我变’才能确保不但满足需求,还能引领市场趋势的结果。东软最新推出的一款具有行业标杆意义的新产品NISG,正是站在‘业务推进器’这样一个核心理念上研发的。”
据了解,东软最新推出NISG的包含了:虚拟化技术、智能关联技术,并将东软专利的NEL技术融入其中。那么这三项最新的技术如何应对不断增长的业务需求呢?
◆虚拟化技术释放安全网关最大效能
一般来讲,传统的安全网关都是“共享型”设备。这就好比写字楼的大门,我们所有的人都只能从这个门出入,不会区分你是哪个楼层,或者那个公司的职员。这就如在实际应用中,我们迫不得已才将所有的应用划分在一个安全保护区中,呈现给最终用户需要达到“独占”的效果,这就为虚拟化技术在安全网关上的应用提供了土壤。一台NISG在逻辑上划分成多台虚拟的NISG,每个虚拟系统都可以被看成是一台完全独立的NISG设备,针对不同的应用采用不同的安全策略。退一万步来讲,即使有一套业务系统受到威胁攻击,而其他业务系统不会产生连带效应。
◆智能关联避免网络设备孤军作战
由于每一个业务部门的流量都被可以被虚拟化隔离,那么如何保证承载业务的设备也能够按照业务部门控制起来呢?首先是NISG的三层交换技术可以与虚拟技术很好的融合,可按照业务部门划分不同的访问策略,为每个用户提供灵活的网络部署功能。该技术的采用,使得VLAN、Trunk、Channel等技术能够很方便地在防火墙上实施,减轻了管理员配置维护的工作负担。
另外,我们知道,Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念,其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。而赋予NewFlow技术的NISG设备,就可以将防火墙的流量以FLOW的方式发给NISG设备,同时NISG也可将具体指令发给防火墙,这样的联动功能可以成为针对安全策略执行上的同等性。另外,也可以将FLOW信息发送到其他网络设备上,与第三方产品配合工作,真正能够按照某一个业务部门的需求配套执行。
◆NEL技术实现应用层的放大镜
网络威胁是每一个组织都必须认真面对的问题,而对于应用层的攻击很多企业的IT部门都无法找到良药。东软NISG产品中核心专利技术--NEL的应用,可将引擎、协议分析和攻击检测数据通过NEL快速融合。NEL对于各种应用层协议的检测粒度非常精细,这就如网络中安插了一个“高倍放大镜”,从而提高检测的效率,更加准确的判断网络行为。例如,对于URL挂马这种恶意的攻击,管理员仅需要对协议指定范围的位置进行查找即可,无需再去整个网页中的其他位置查找,这既增加了检查的效率,又避免了其它位置存在关键特征字符导致的误报。而针对内往用户的上网行为管理上,由于具备了应用层检测能力,能够更细致的对QQ、MSN、H.323、SIP等应用协议进行控制。所以不但是增加了一个“放大镜”,更是增加了一个网络哨兵,有效地防止信息泄露这种“最恐怖的事情”发生。
纵观IT大融合的趋势,我们相信未来几年安全的发展必然要与业务融合,永远走在业务系统的后面,等待别人催着走的日子应该成为历史。而IT 基础架构最终也会成为一种技术资产,为企业实现“业务就绪”之后提供强大的保证,助企业简化安全管理的难度,并通过安全有效的网络架构提高业务的洞察力。
