东软NISG定位应用安全
- 来源:计算机世界
- 关键字:
- 发布时间:2009-12-01 10:49
11月6日,东软集团在其2009解决方案论坛的信息安全分论坛上,宣布推出一款具有行业标杆意义的新产品NISG,全称为新一代集成安全网关,在今年信息安全领域新品乏善可陈的时候,这一发布可谓意义重大。
市场对应用安全需求巨大
东软集团副总裁兼网络安全产品营销中心总经理贾彦生告诉记者,UTM在信息安全领域已经不是什么新鲜的概念,包括防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种功能,主要还是网络层的安全,因此,UTM面临着性能等多种瓶颈问题,导致发展极为不畅,经过市场的千锤百炼,才逐渐为人们接受。集成安全网关(ISG)与此类似,却又不完全相同。ISG定位于应用层防护,并不是一味比拼性能、功能种类。
所谓应用层防护,就是针对Web服务、电子邮件、数据服务器、电子商务、VoIP和视频会议的抗DDoS攻击、P2P的监控、IM的监控、内容审计等应用层的防护,这是未来行业用户网络将面临的主要问题。贾彦生介绍,面向应用安全的ISG,一定是未来信息安全领域的重点产品,因为,未来,人们赖以生存的网络,将会从“路由器为核心”的转发型网络,向以“服务和数据为核心”的应用网络转变,因此未来网络攻击会有5点明显的新特征:一是,传统4层防火墙的普遍应用,使得攻击技术会转而面向传统安全网关的盲区——应用安全,针对某些应用的专项攻击、或者利用某些应用作为攻击通道将会成为主流;其次,视频、语音等大数据业务会决定网络带宽继续扩大,对安全网关转发性能的需求是持续的;第三,电子商务、网上银行、投资理财、虚拟交易等应用会使网络攻击更加具有吸引力,攻击频率会加大,攻击方式也会多样化;第四,传统局域网内网的扩大和复杂,使得网络内部攻击和泄密更加严重;第五,3G的普及指日可待,对应移动终端应用需求的网关安全问题也将爆发。这种情况下,需要有新的安全解决方案应对。
解决应用安全需新技术
然而,应用防护最大的特点也是难点,是应用协议的多样性和多变性,一款设备很难穷举多种应用协议。东软NISG则通过两种方式解决了这一问题,一是采用NEL专利核心技术,可将引擎、协议分析和攻击检测数据快速融合,增加检测技术的兼容性,检测粒度也会非常精细,从而提高检测的效率;其次是采用了三层交换技术,将二层交换和三层路由结合成为一个有机的整体,实现了“一次路由、后续二次转发”的快速包转发,并实现了VLAN与接口的密切耦合,使得VLAN、Trunk、Channel等技术能够很方便地在防火墙上实施,减轻了管理员配置维护的工作负担。
此外,用户在应用中还会面临一些新的独立业务安全管理难题,需要依靠新的技术手段。例如,银行、电信、电力等大型行业用户的数据中心通常部署着数百台服务器,分属于数不同的业务部门。在部署安全网关时,每个业务部门都会有一些个性化需求,随着部门业务的调整,安全策略也要相应调整。因此,以前单一安全网关对整个内部服务器群进行防护,很难同时满足不同业务部门的安全需求,并在部门安全策略的调整中增加了管理维护的复杂性和难度。如果为每个部门采购独立的安全网关设备,又会带来投资的增加和性能的浪费,这些部门的流量往往很小,发挥出的性能不到10%。
通过虚拟化技术就能很好地解决这一难题,东软的虚拟集成安全网关技术就是将一台物理上的NISG在逻辑上划分成多台虚拟的NISG,每个虚拟系统都可以被看成是一台完全独立的NISG设备,针对不同的业务采用不同的安全策略。
最后,贾彦生介绍,东软的NISG中的N,一般可以理解成NEW,意译为新一代。但是在东软的解释中,N这个字母含义颇丰,N既是东软NEUSOFT的开头字母,也是安全子品牌NetEye开头字母。同时也包含了NEXT的含义,表示了东软集团对东软下一代集成安全网关寄予了厚望。
简讯:
锐捷三道防线打造立体防护体系
近日,锐捷网络发布了一套GSN(GlobalSecurityNetwork)全局安全网络解决方案,该方案构筑三道安全防线:用户身份管理体系、端点安全防护体系和网络通信防护体系,通过软硬件的联动、计算机层面与网络层面的结合,从入网身份、客户端PC、网络通信等多个角度对网络安全进行监控、检测、防御和处理,确保行业网络安全,尤其是金融网络的安全。
用户身份管理体系:众所周知,在金融交易过程中,确保每个连入网络中用户身份的合法性是重中之中,因此,需要对每个入网用户进行网络准入权限控制,GSN采用了基于802.1X协议和Radius协议的身份验证体系,通过严格的多元素绑定认证,如IP地址、MAC地址、硬盘ID、认证交换机IP地址、认证交换机端口号、用户名、密码、数字证书等,确保接入用户身份的合法性。
端点安全管理体系:可通过管理入网的各个客户端PC的方式,保护整个网络安全。包括防止该客户端非法外联;可通过软件黑白名单控制的方式,让终端只能安装或不允许安装什么软件,保证终端的干净;可定期对操作系统打补丁,对软件强制更新。
网络通信防护体系:是前两道防线的重要补充,通过可信任的ARP(TrustedARP)专利技术,可彻底防止网络中的ARP欺骗的发生,这是目前用户非常头疼也难以解决的安全问题;同时,可通过RG-SMP安全管理平台、RG-IDS入侵检测设备、安全智能交换机和Su客户端的联动,实现了对网络安全事件的检测、分析、处理一条龙服务。
TippingPoint推出用于IDC的网络安全平台
本报讯10月26日,3Com旗下子公司TippingPoint宣布推出一款全新的入侵防御系统(IPS)平台TippingPointN-Platform。N-Platform专门为数据中心和核心网络设计,内含威胁抑制引擎(TSE),可显著加强深层数据包流量检测的能力,同时可显著提高IPS的性能,因此,在这一平台上,可集成多种网络保护服务。该平台是最新发布的3ComSecureNetworkFabric的一个重要组件,它是集成了TippingPoint安全平台和H3C公司的LAN基础设施的设备。同时,该平台可利用TippingPoint的数字疫苗实验室(DVLabs)和零日威胁防御计划(ZeroDayInitiative)所提供的研究成果,基于此,TippingPoint同期推出了新的安全服务,包括:用户可自定义的互联网协议(IP)信誉服务;TippingPoint信誉数字疫苗(DV)服务;TippingPointWeb应用DV服务;数据泄漏保护(DLP)过滤器;基于网络位置的策略(边界、核心等)和客户自定义的过滤器。此外,该平台还采用模块化设计,能实现与第三方合作伙伴安全解决方案进一步集成,这些解决方案包括:漏洞评估和漏洞管理(VA/VM)、取证分析、安全信息管理(SIM)系统、基于网络的异常侦测(NBAD)。
……
市场对应用安全需求巨大
东软集团副总裁兼网络安全产品营销中心总经理贾彦生告诉记者,UTM在信息安全领域已经不是什么新鲜的概念,包括防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种功能,主要还是网络层的安全,因此,UTM面临着性能等多种瓶颈问题,导致发展极为不畅,经过市场的千锤百炼,才逐渐为人们接受。集成安全网关(ISG)与此类似,却又不完全相同。ISG定位于应用层防护,并不是一味比拼性能、功能种类。
所谓应用层防护,就是针对Web服务、电子邮件、数据服务器、电子商务、VoIP和视频会议的抗DDoS攻击、P2P的监控、IM的监控、内容审计等应用层的防护,这是未来行业用户网络将面临的主要问题。贾彦生介绍,面向应用安全的ISG,一定是未来信息安全领域的重点产品,因为,未来,人们赖以生存的网络,将会从“路由器为核心”的转发型网络,向以“服务和数据为核心”的应用网络转变,因此未来网络攻击会有5点明显的新特征:一是,传统4层防火墙的普遍应用,使得攻击技术会转而面向传统安全网关的盲区——应用安全,针对某些应用的专项攻击、或者利用某些应用作为攻击通道将会成为主流;其次,视频、语音等大数据业务会决定网络带宽继续扩大,对安全网关转发性能的需求是持续的;第三,电子商务、网上银行、投资理财、虚拟交易等应用会使网络攻击更加具有吸引力,攻击频率会加大,攻击方式也会多样化;第四,传统局域网内网的扩大和复杂,使得网络内部攻击和泄密更加严重;第五,3G的普及指日可待,对应移动终端应用需求的网关安全问题也将爆发。这种情况下,需要有新的安全解决方案应对。
解决应用安全需新技术
然而,应用防护最大的特点也是难点,是应用协议的多样性和多变性,一款设备很难穷举多种应用协议。东软NISG则通过两种方式解决了这一问题,一是采用NEL专利核心技术,可将引擎、协议分析和攻击检测数据快速融合,增加检测技术的兼容性,检测粒度也会非常精细,从而提高检测的效率;其次是采用了三层交换技术,将二层交换和三层路由结合成为一个有机的整体,实现了“一次路由、后续二次转发”的快速包转发,并实现了VLAN与接口的密切耦合,使得VLAN、Trunk、Channel等技术能够很方便地在防火墙上实施,减轻了管理员配置维护的工作负担。
此外,用户在应用中还会面临一些新的独立业务安全管理难题,需要依靠新的技术手段。例如,银行、电信、电力等大型行业用户的数据中心通常部署着数百台服务器,分属于数不同的业务部门。在部署安全网关时,每个业务部门都会有一些个性化需求,随着部门业务的调整,安全策略也要相应调整。因此,以前单一安全网关对整个内部服务器群进行防护,很难同时满足不同业务部门的安全需求,并在部门安全策略的调整中增加了管理维护的复杂性和难度。如果为每个部门采购独立的安全网关设备,又会带来投资的增加和性能的浪费,这些部门的流量往往很小,发挥出的性能不到10%。
通过虚拟化技术就能很好地解决这一难题,东软的虚拟集成安全网关技术就是将一台物理上的NISG在逻辑上划分成多台虚拟的NISG,每个虚拟系统都可以被看成是一台完全独立的NISG设备,针对不同的业务采用不同的安全策略。
最后,贾彦生介绍,东软的NISG中的N,一般可以理解成NEW,意译为新一代。但是在东软的解释中,N这个字母含义颇丰,N既是东软NEUSOFT的开头字母,也是安全子品牌NetEye开头字母。同时也包含了NEXT的含义,表示了东软集团对东软下一代集成安全网关寄予了厚望。
简讯:
锐捷三道防线打造立体防护体系
近日,锐捷网络发布了一套GSN(GlobalSecurityNetwork)全局安全网络解决方案,该方案构筑三道安全防线:用户身份管理体系、端点安全防护体系和网络通信防护体系,通过软硬件的联动、计算机层面与网络层面的结合,从入网身份、客户端PC、网络通信等多个角度对网络安全进行监控、检测、防御和处理,确保行业网络安全,尤其是金融网络的安全。
用户身份管理体系:众所周知,在金融交易过程中,确保每个连入网络中用户身份的合法性是重中之中,因此,需要对每个入网用户进行网络准入权限控制,GSN采用了基于802.1X协议和Radius协议的身份验证体系,通过严格的多元素绑定认证,如IP地址、MAC地址、硬盘ID、认证交换机IP地址、认证交换机端口号、用户名、密码、数字证书等,确保接入用户身份的合法性。
端点安全管理体系:可通过管理入网的各个客户端PC的方式,保护整个网络安全。包括防止该客户端非法外联;可通过软件黑白名单控制的方式,让终端只能安装或不允许安装什么软件,保证终端的干净;可定期对操作系统打补丁,对软件强制更新。
网络通信防护体系:是前两道防线的重要补充,通过可信任的ARP(TrustedARP)专利技术,可彻底防止网络中的ARP欺骗的发生,这是目前用户非常头疼也难以解决的安全问题;同时,可通过RG-SMP安全管理平台、RG-IDS入侵检测设备、安全智能交换机和Su客户端的联动,实现了对网络安全事件的检测、分析、处理一条龙服务。
TippingPoint推出用于IDC的网络安全平台
本报讯10月26日,3Com旗下子公司TippingPoint宣布推出一款全新的入侵防御系统(IPS)平台TippingPointN-Platform。N-Platform专门为数据中心和核心网络设计,内含威胁抑制引擎(TSE),可显著加强深层数据包流量检测的能力,同时可显著提高IPS的性能,因此,在这一平台上,可集成多种网络保护服务。该平台是最新发布的3ComSecureNetworkFabric的一个重要组件,它是集成了TippingPoint安全平台和H3C公司的LAN基础设施的设备。同时,该平台可利用TippingPoint的数字疫苗实验室(DVLabs)和零日威胁防御计划(ZeroDayInitiative)所提供的研究成果,基于此,TippingPoint同期推出了新的安全服务,包括:用户可自定义的互联网协议(IP)信誉服务;TippingPoint信誉数字疫苗(DV)服务;TippingPointWeb应用DV服务;数据泄漏保护(DLP)过滤器;基于网络位置的策略(边界、核心等)和客户自定义的过滤器。此外,该平台还采用模块化设计,能实现与第三方合作伙伴安全解决方案进一步集成,这些解决方案包括:漏洞评估和漏洞管理(VA/VM)、取证分析、安全信息管理(SIM)系统、基于网络的异常侦测(NBAD)。
关注读览天下微信,
100万篇深度好文,
等你来看……
