东软NISG定位的应用安全.docVIP

东软NISG定位的应用安全 　　统一威胁设备(UTM)是人们已经非常熟悉的设备,而东软新推的新一代集成安全网关NISG,与UTM有何不同?它能否代表未来网络安全设备的发展趋势? 　　 　　11月6日,东软集团在其2009解决方案论坛的信息安全分论坛上,宣布推出一款具有行业标杆意义的新产品NISG,全称为新一代集成安全网关,在今年信息安全领域新品乏善可陈的时候,这一发布可谓意义重大。 　　 　　市场对应用安全 　　需求巨大 　　 　　东软集团副总裁兼网络安全产品营销中心总经理贾彦生告诉记者,UTM在信息安全领域已经不是什么新鲜的概念,它包括防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种功能,主要还是网络层的安全,因此,UTM面临着性能等多种瓶颈问题,导致发展极为不畅,经过市场的千锤百炼,才逐渐为人们接受。集成安全网关(ISG)与此类似,却又不完全相同。ISG定位于应用层防护,并不是一味比拼性能、功能种类。 　　所谓应用层防护,就是针对Web服务、电子邮件、数据服务器、电子商务、VoIP和视频会议的抗DDoS攻击、P2P的监控、IM的监控、内容审计等应用层的防护,这是未来行业用户网络将面临的主要问题。贾彦生介绍,面向应用安全的ISG,一定是未来信息安全领域的重点产品,因为,未来,人们赖以生存的网络,将会从“路由器为核心”的转发型网络,向以“服务和数据为核心”的应用网络转变,因此未来网络攻击会有五个明显的新特征:一是,传统4层防火墙的普遍应用,使得攻击技术会转而面向传统安全网关的盲区―应用安全,针对某些应用的专项攻击、或者利用某些应用作为攻击通道将会成为主流;其次,视频、语音等大数据业务会决定网络带宽继续扩大,对安全网关转发性能的需求是持续的;第三,电子商务、网上银行、投资理财、虚拟交易等应用会使网络攻击更加具有吸引力,攻击频率会加大,攻击方式也会多样化;第四,传统局域网内网的扩大和复杂,使得网络内部攻击和泄密更加严重;第五,3G的普及指日可待,对应移动终端的网关安全问题也将爆发。这种情况下,需要有新的安全解决方案予以应对。 　　 　　解决应用安全 　　需新技术 　　 　　然而,应用防护最大的特点也是难点,是应用协议的多样性和多变性,一款设备很难穷举多种应用协议。东软NISG则通过两种方式解决了这一问题,一是采用NEL专利核心技术,可将引擎、协议分析和攻击检测数据快速融合,增加检测技术的兼容性,检测粒度也会非常精细,从而提高检测的效率;其次是采用了三层交换技术,将二层交换和三层路由结合成为一个有机的整体,实现了“一次路由、后续二次转发”的快速包转发,并实现了VLAN与接口的密切耦合,使得VLAN、Trunk、Channel等技术能够很方便地在防火墙上实施,减轻了管理员配置维护的工作负担。 　　此外,用户在应用中还会面临一些新的独立业务安全管理难题,需要依靠新的技术手段。例如,银行、电信、电力等大型行业用户的数据中心通常部署着数百台服务器,分属于不同的业务部门。在部署安全网关时,每个业务部门都会有一些个性化需求,随着部门业务的调整,安全策略也要相应调整。因此,以前单一安全网关对整个内部服务器群进行防护,很难同时满足不同业务部门的安全需求,并在部门安全策略的调整中增加了管理维护的复杂性和难度。如果为每个部门采购独立的安全网关设备,又会带来投资的增加和性能的浪费,这些部门的流量往往很小,发挥出的性能不到10%。 　　通过虚拟化技术就能很好地解决这一难题,东软的虚拟集成安全网关技术就是将一台物理上的NISG在逻辑上划分成多台虚拟的NISG,每个虚拟系统都可以被看成是一台完全独立的NISG设备,针对不同的业务采用不同的安全策略。 　　最后,贾彦生介绍,东软的NISG中的“N”,一般可以理解成“NEW”,意译为新一代。但是在东软的解释中,“N”这个字母含义颇丰,“N”既是东软NEUSOFT的开头字母,也是安全子品牌NetEye的开头字母,同时也包含了NEXT的含义,表示东软集团对下一代集成安全网关寄予了厚望。 　　 　　锐捷三道防线打造 　　立体防护体系 　　 　　本报讯近日,锐捷网络发布了一套GSN(Global Security Network)全局安全网络解决方案,该方案构筑三道安全防线:用户身份管理体系、端点安全防护体系和网络通信防护体系,通过软硬件的联动、计算机层面与网络层面的结合,从入网身份、客户端PC、网络通信等多个角度对网络安全进行监控、检测、防御和处理,确保行业网络安全,尤其是金融网络的安全。 　　用户身份管理体系:众所周知,在金融交易过程中,确保每个连入网络中用户身份的合法性是重中之中,因此,需要对每个入网用户进行网络准入权限控制,GSN采用了基于