下一代安全網關的三大特征

未來的攻擊目標和層面正在逐漸轉移到七層的應用層上，這就給網絡安全提出了新的嚴峻挑戰——如何在四層防護的基礎上，完成對新型應用攻擊的防護，從而保障網絡用戶免受威脅之苦。

為了真正解決應用時代的安全問題，以七層防護為核心的下一代安全網關(NGSG，Next Generation Security Gateway)出現了。下一代安全網關是在傳統安全網關四層靜態防護基礎上發展起來的新一代安全網關，它利用多種檢測技術滿足從鏈路層到應用層的全面檢測，實現應用級的安全防護;利用多核處理器等新技術，解決在復雜檢測防護技術下的應用層性能問題;它采用了統一防護策略，將應用層復雜的防護功能融合起來，作為一個整體實現對網絡的全方位防護。

下一代智能檢測技術

下一代安全網關NGSG采用三種核心檢測引擎：狀態檢測、智能協議識別、智能內容識別三個檢測引擎，作為安全威脅二~七層全面檢測的核心技術。

在網絡數據經過端口物理處理芯片后，再經過網絡專用引擎做基本的包解析重組和分流，進入到NGSG的核心——多層檢測引擎中，在這里，主要包含三個檢測技術：

1. 狀態檢測。狀態檢測即利用四層TCP/IP的連接握手信息，建立狀態表項，利用表項信息監控不同區域訪問的數據情況，并依照規則進行數據包阻斷等安全保護措施。

利用狀態檢測技術，以及該模塊包含的相關的其他檢測方式——例如包過濾技術，NGSG可以完成對2~4層數據的基本檢測。

2. 智能協議識別。智能協議識別屬于動態識別技術，也是下一代安全網關NGSG同傳統安全網關的一個重要區別，智能協議識別是利用了協議端口分析技術、協議特征判斷、協議行為分析技術，并借用可以動態升級的應用協議特征庫 、協議行為特征庫，來完成對復雜多變的鏈路層到應用層各種協議的識別判斷和處理。

對于復雜的應用，智能協議識別技術NIPR引擎按照如下順序進行協議掃描，首先智能協議識別引擎對數據包的協議端口進行判斷，并按照不同的協議加以分組，區分為靜態端口應用(HTTP、POP3等)、動態端口應用(如某些P2P軟件)，以及特殊協議類型(如某些病毒，或者部分黑客工具)。之后，進入協議特征判斷，利用“應用協議特征庫”，對超過500種的協議進行特征匹配，并明確判斷靜態端口應用、動態端口應用，并可對部分特殊協議類型進行準確判斷。對于上兩步沒有完成的協議識別，進入協議行為特征識別階段，對攻擊的行為特征庫信息進行判斷。

由于該引擎的核心數據信息——應用協議特征庫、協議行為特征庫可以實現動態升級，對于日益增多和變化的應用協議可以基本做到實時跟進，從而達到對各種應用協議的準確判斷。

3. 智能內容識別。在NGSG的動態識別技術中，另一個重點即智能內容識別。智能內容識別的主要作用是在智能協議識別的基礎上，對協議內的數據內容進行監控識別。在智能內容識別中，最重要的是識別算法的處理效率，從而確保整個NGSG以較高性能分析應用層的數據。

智能內容識別的第一個特點是基于流的掃描技術，在整個應用層內容的掃描識別過程中，不是將整個應用信息完全還原后才開始進行識別處理，而是在初期若干應用報文進入安全網關后就開始啟動掃描識別和判斷，并在檢測部分數據后就開始對外發送數據。相對于基于文件的檢測技術(完全接收完數據再繼續檢測，檢測完畢后再繼續發送)，可以節省大量的檢測時間，提高智能內容識別的檢測效率。

在智能內容識別中的另一項技術則是內容解碼，應用中的內容有可能發生了壓縮、編碼以及各種變形處理，在這里由內容解碼進行處理，之后進入智能內容識別的核心階段——和各動態庫或人工規則進行高效內容匹配階段。

在內容匹配階段，主要可以根據惡意URL庫、病毒庫、攻擊規則庫三個安全庫，或者根據網管人員設定的內容檢測規則，對通過安全網關的數據流進行匹配，判斷各種攻擊、病毒或者非法URL，從而實現對數據內容中包含的威脅進行識別。

在保障上述三大檢測引擎的高效算法的基礎上，下一代安全網關NGSG對智能協議識別和智能內容識別應用到的五個安全庫(應用協議特征庫 、協議行為特征庫、惡意URL庫、病毒庫、攻擊規則庫)進行了優化，在更新制作安全庫時，可以根據不同庫的應用算法，對數據庫內的信息進行預編譯預優化處理，從而提高檢索查詢時的效率。

借助云安全

對于下一代安全網關來說，需要解決的一個重要的安全問題就是應用威脅的快速多變。NGSG引入云安全，是利用云計算加強和加速防御的安全機制，是解決當前安全需要快速反應的重要手段。

云安全系統的NGSG，最大的一個優勢是安全庫的快速全面。在云安全系統中，核心是安全專家團隊和由服務器組成的中央服務器群，核心系統對各種安全威脅進行掃描，例如對于掛馬的網站進行實時全面掃描，并立刻形成不可信URL數據庫更新，在各個政府、企業出口部署的NGSG獲取到這些最新的實時數據，對用戶的上網進行控制，從而使用戶免受這些掛馬網站的侵害。

高效的硬件體系構架

為了解決應用級安全防護的問題，除了有一套高效、動態的檢測機制外，還需要有足夠強勁的硬件引擎和體系構架。從某種程度上說，多核CPU其實是NP的升級版，很多工業級多核CPU就是在保留NP多微引擎轉發能力的基礎上，強化其計算能力，從而可以滿足二~七層各個級別處理的計算需求。

多核CPU可以對數據流量進行多流并行處理，并利用類集群計算的原理，實現多核的統一分析，最終大幅提升7層應用級防護效率。實驗室測試表明，對于一個外部帶寬充足，內部總線、RAM等不構成能力瓶頸的一個硬件系統，更換不同的多核CPU，系統應用級性能會有大幅的提升，CPU的核數增加一倍，安全網關系統總轉發處理性能可以提升40%~80%(這主要依賴于具體是何種應用的防護，以及相應的算法的并行性情況而定)。但這也從一方面說明了多核CPU在提升應用級防護中的效果。
如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]