现“应用可视化” 双管齐下保安全


用户介绍:
一家经营在线旅游服务的大型网络咨询及服务平台,拥有独立的小型数据中心,每日在线会员5,6百万人,作为国内知名度很高的在线旅游社区平台,同时拥有骄人的业绩。

这是这样一家公司,最近他们的IT部门主管却倍感压力,来自咨询部门和销售部门的投诉越来越多,很多用户反应网站打开速度越来越慢,在线咨询的过程中常常出现很严重的卡段现象,下载旅游路线图的速度简直无法忍受….针对这些投诉问题,公司高层找到IT部门主管要求在最快的时限内解决这个问题,不然就辞职走人。

为了尽快解决这个棘手的问题保住自己的饭碗,IT主管想尽了办法:增加带宽、购置服务器、部署应用交付解决方案….在经过这一些列漫长的部署及调试之后,问题暂时得到了缓解,但是好景不长,每到周六、日休息的高峰时段,延迟问题还是会出现,挪东墙补西墙的悲剧也在不断上演着,IT主管每日焦头烂额的做着毫无意义的劳动。

“到底是哪个环节出现问题了,该部署的我都已经部署到位了,唉…”在好友的指点下,IT主管向一位网络安全专家进行请教,希望可以从他那里得到答案。

专家在听过这家网站的情况后,很快就找到了问题的症结,原来这家网站每日有很多在线的交易,为了确保用户的个人信息安全及网站自身的安全性,于是公司部署了许多安全产品,防火墙、AV、IPS、URL…只要是他们认为有需要的都装上了,然而恰恰是他们这种认为万无一失的安全方式,却成为了网络性能下降的罪魁祸首,同时安全问题依然存在,安全事故频频发生。

通过专家的解释后,IT主管恍然大悟,向专家请教解决的办法。于是专家对现有的问题做出了几点总结:

一.应用需求在改变,而防火墙技术却没有改变

传统的防火墙部署在网络出口,通过IP地址和协议端口号来控制网络访问,同时对使用相同端口的流量无法进行有效控制,用户的访问权限只能通过IP来实现,并且对于应用访问的行为不可见。基于以上种种问题,随着应用的不断变化,防火墙的安全防护能力在持续下降:

·协议端口号Port≠应用Application
·IP地址≠用户User
·数据包Packet≠应用行为Behavior

由此可见,防火墙的策略下,用户的访问权限只能通过IP来实现,对应用访问的行为不可见,这就造成另一个问题:IP不等同于用户,无法辨别使用同一IP的用户,更不能确定是哪个人使用了这个IP,数据包也不能跟使用特定IP的人的具体行为等同起来,因此内部网络的安全变得不可控,很难有效地防范木马和其他恶意攻击在网络中的传播。防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的,因此很难对应用层进行防护。

二.传统安全部署方式过于繁琐

传统的安全产品部署一般采用串行的方式,这种方式的好处在于部署简单、环环相扣,然而这种部署方式在随着越来越多类型的安全防护产品出现后显现了它的弊端,总结一句话就是“串行部署方式下,安全设备越来越多,性能越来越低”。更多的独立设备在运行的过程中,在统一管理上出现了弊端,管理趋于复杂;随着独立设备的不断添加,在整体的性能上出现了很大影响,使得资源在无形中层层流逝掉,使得整个环境的可靠性严重下降;不同品牌、不同性能的设备串联在一起,急剧加大了安全性能分析的可靠性,分析过程及结果也变得很复杂;高额的初期投入及高额的维护成本…..通过以上简单的分析,我们不难发现传统的串行部署方式已经被“时代所淘汰”!

三.UTM凸显出的弊端

通过几年来的市场应用,UTM也逐渐显示出一些弊端。首先,UTM最大的问题就是在所有功能全开时UTM的性能会大幅的下降,降幅超过50%。这是很多企业尤其是大型企业排斥UTM的主要原因。另一方面, UTM在一个产品中有多个安全功能模块,而一个安全厂商往往只在一两个方面具有自己独特的技术长处,大多数厂商往往采取OEM其他家的产品来增强各个模块的功能。这就造成,虽然UTM的管理界面是统一的,但是底层跑的各个引擎还是独立的,采用的技术都不同,对于流量的处理还是从一个引擎处理完了,再到另一个引擎的串行处理方式,各安全模块不能有效地互动,互相的兼容性和协作性会有很大影响,不可避免地对产品性能和稳定性也造成了不良的影响。最后,目前业界的UTM普遍采用的还是X86,NP架构,能用到ASIC芯片和多核技术的厂商,寥寥无几。采用ASIC芯片,可以从一定程度上提升UTM的性能,但是不能从根本上解决UTM的弊病,UTM产品还没有很好的办法来实现应用可视化。试想,当同时开启UTM的几个功能,随之产生的是性能的大幅下降,势必会影响到各个引擎对流量的扫描和检测,没有办法对其所有的实时流量进行的深度和细粒度的检测和识别,系统的稳定性和可用性仍然无法满足用户对应用安全的需求。

听过专家的总结观点后,IT主管不禁问道:有没有合适的产品或者解决方案可以解决以上这些问题呢?

专家给出的答案是:选择Hillstone新一代安全网关!!!!

新一代多核安全网关瞄准应用可视化

面对传统防火墙对流量识别的不足,Hillstone 山石网科提出了“应用可视化”的观点,主要体现在以下几个方面:不仅只通过协议端口识别应用,而且能够识别具体的应用和行为,并针对行为进行更细粒度的应用可视化和策略控制,对嵌入应用的威胁进行实时安全防护。

Hillstone 山石网科下一代多核安全网关产品,搭载高性能的多核硬件平台,其操作系统StoneOS采用创新的并行流检测引擎,并行流检测引擎通过交叉检测技术实现网络可视化将IP、端口识别为用户,应用和行为通过并行流检测引擎完成所有安全威胁检测,对所有安全威胁的检测使用一个策略引擎,数据流被分配到并行多核架构上实现安全威胁全并行处理。只有基于对应用的可视,才能精确地区分各种应用,全方位地进行管理和控制,从而有效地防范网络外部和内部威胁。

可扩展的Plus G2硬件架构

两把利刃确保实现“应用可视化”

利刃一:多核Plus G2架构

传统的ASIC架构只能对网络层的安全功能进行加速,已经不再适用现在的需求。Hillstone 山石网科采用并行多核Plus G2架构(多核处理器+ASIC+高速交换总线)设计的下一代安全网关,提供可扩展的电信级硬件平台,在产品功能上除了防火墙、VPN、防病毒、入侵检测等UTM具备的功能外,还将带宽管理、上网行为管理、攻击防护等安全功能集成到统一的平台,从底层进行软硬件和并行操作系统的优化,将各个安全功能有机地整合为一体,并且通过统一的管理平台为企业提供了更为便捷的安全管理。

利刃二:Stone OS并行操作系统

Hillstone采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。

正所谓双剑合璧,当所向披靡!Hillstone新一代多核安全网关,搭载高性能的多核硬件架构,通过并行流检测引擎,实现了网络和应用可视化,从而极大地提高了网络的安全性和处理性能,同时满足了企业用户对网络安全和性能的需求!