主动检测技术: 智能下一代防火墙的基石


主动检测技术,是山石网科独创的专利技术。正是基于主动检测技术,山石网科智能下一代防火墙实现了从基于威胁的安全到基于风险控制的安全的转变,改变了几代防火墙通过机械的功能堆加和被动安全防御的传统。作为智能下一代防火墙的核心技术之一,主动检测技术具有哪些与众不同的特点?通过本文我们来认识一下。

为什么需要主动检测?

山石网科产品副总裁王钟在智能下一代防火墙发布会上表示:作为信息化平台和企业或政府运转的核心工具,网络安全关乎企业能否正常运行。但伴随网络发展,安全威胁也随之进化,复杂化、持续化、隐藏化成为安全威胁变化新的趋势。威胁的不可预测性,尤其是非常见的安全威胁,给众多网络用户带来越来越多的困扰,而这种趋势难以得到有效的控制。众多的安全设备往往在威胁发生之后,才能进行对应的弥补,而此时,损失已发生。

举个例子,在遭受网络攻击的公司业务网络中,某业务数据传输质量下降,但没有中断,此时可能不会引起管理员的注意,只有当网络终端,或者安全设备宕机时,管理员才会发现。也就是说,传统的网络安全设备无法在问题发生之前,针对业务服务质量变差给出预警,直到业务中断造成损失。所以,如何提前预知安全威胁存在,如何在产生损失之前及时发现安全威胁,是用户所关注的,也是主动检测技术诞生的根本。

简言之,传统的防火墙是被动地对流经自身的网络流量进行检查,而智能下一代防火墙不仅可以这样做,还能主动的去检测网络上其他关键要素的状态,从而能更全面的发现安全问题,应对安全风险。同时通过积累众多时间和空间上的检测数据,可以进行详细的数据挖掘、关联分析,达到智能安全防护的目的。

什么是主动检测?

山石网科给出的定义是,主动检测技术通过对设备资源使用状态、关键网络节点和关键业务服务的网络连通性、业务可用性的检测,然后利用主动检测分析引擎,结合网络健康评分体系,给出对整个网络运行状况的综合评价,并以“全网健康指数”和“全网健康报告”的形式体现,从而有效地帮助管理员充分认识网络的整体运行情况。

主动检测检测内容

主动检测技术检测的对象主要包括关键网络节点、关键业务服务、设备资源等三个检测单元,每一个检测单元包含了多种具体的检测项,包括关键网络节点的网络连通状态和延迟情况、关键业务服务真实的业务服务延迟和网络层连通状态、设备自身的资源等。

检测之后,结合网络健康评分体系,系统分别得出检测项和检测单元的分数,并通过关联分析,生成全网健康指数和生成全网健康报告,其中全网健康指数以直观的分数形式显示,并提示为红黄绿三种颜色,以示业务运行情况危险,警告和正常等情形。

全网健康报告图示

在系统给出全网健康指数的同时,系统同时针对每一个检测项也会提供独立的检测报告,报告将网络运行情况分为健康、亚健康、危险三种状态,分别代表网络运行良好、存在隐患以及业务中断需要及时维护。


检测项健康报告图示

主动检测技术有什么价值?

在报告中,系统将体现包括全网健康状态、全网健康趋势以及各检测单元的健康趋势等内容。同时,报告会提示出所有亚健康检测项和危险检测项的相关信息,以及影响该检测项健康状态的全部信息,包括相关的流量、用户、应用的监控信息以及预警信息等等。如此可以帮助管理员实时、直观地了解整体网络的情况,做到在业务中断之前就能提前获知问题和风险的发生。

基于主动检测技术的全网健康报告,将在三个方面有效减轻管理员的压力,一是当全网健康状态发生变化时,系统可以通过管理员设定的短信、邮件等多种方式及时通知管理员,便于及早的关注隐患和介入问题的排查。二是全网健康报告可以帮助管理员在掌握全局信息的同时,也能够得到任何一个点的详细信息,帮助管理员提前预知网络风险,避免了到不同的功能模块中查找信息。三是在业务发生不可用的问题时,报告可以帮助管理员更加准确和快速的定位问题,快速排除网路问题,实现网络健康安全运行。