人類對于黑暗的恐懼與生俱來，在伸手不見五指的封閉環(huán)境中，哪怕是一枚硬幣墜落地面的微弱聲響，都會(huì)令人頃刻間毛骨悚然，有研究表明，害怕黑暗從遠(yuǎn)古時(shí)期就是人類無法克服的難題，在當(dāng)時(shí)的條件下，古人因無法在黑暗中防范猛獸的威脅而感到恐懼。心理學(xué)家認(rèn)為，恐懼黑暗并不是什么疾病，而是人類在未知環(huán)境里缺乏安全感的本能反應(yīng)，換言之，只有在一切皆可見的環(huán)境里，人們才會(huì)感到安全。

“看得見”才安全

一百多年前，聞名世界的發(fā)明家愛迪生制作了世界上第一只有實(shí)用價(jià)值的電燈，人類從此掌握了化黑暗為光明的技術(shù)，在現(xiàn)代文明的社會(huì)里，人們在追求“光明”的道路上從未停止過探索。軍事領(lǐng)域使用雷達(dá)預(yù)警威脅，重要設(shè)施部署視頻監(jiān)控增強(qiáng)安保，就連我們每天駕駛的汽車上，也裝配了倒車影像系統(tǒng)來確保行車安全。

“可視化”技術(shù)用于保障行車安全

我們看到，一項(xiàng)項(xiàng)幫助我們做到“看得見”的科技發(fā)明被廣泛的用于生產(chǎn)和生活中以保障安全，其實(shí)，在快速變換的網(wǎng)絡(luò)世界里，近年來興起的“可視化”概念同樣是一項(xiàng)用來促進(jìn)網(wǎng)絡(luò)安全的重要技術(shù)。

“看得見”更要“看得清”

網(wǎng)絡(luò)安全領(lǐng)域流傳一句老話，叫做“三分是技術(shù)、七分靠管理”，講的是安全建設(shè)過程中，管理比技術(shù)上的控制更加重要，但在現(xiàn)實(shí)工作中，這句“名言”往往難以落到實(shí)處。專家認(rèn)為，管理需要有技術(shù)手段提供強(qiáng)有力的支撐，但幾乎所有的技術(shù)人員在面對由傳統(tǒng)安全設(shè)備輸出的單調(diào)、重復(fù)、難懂的日志和報(bào)表時(shí)，都在為如何將它們與安全風(fēng)險(xiǎn)相掛鉤而面露難色。

我們已經(jīng)不止一次的討論過，在應(yīng)用爆炸式發(fā)展的大背景下，IP地址不等于用戶、協(xié)議端口也早已不是應(yīng)用的代名詞，當(dāng)管理者看到一條條基于地址、協(xié)議、端口的流量日志時(shí)，根本無法看清網(wǎng)絡(luò)中到底在傳輸著什么流量，更無法洞悉數(shù)據(jù)的內(nèi)容，而安全事件就在這不經(jīng)意間發(fā)生了。當(dāng)今的安全可視化技術(shù)，應(yīng)當(dāng)以用戶、位置、應(yīng)用、內(nèi)容為基本要素，讓管理者輕松了解數(shù)據(jù)的每一次交互才能實(shí)現(xiàn)真正的安全。

IP地址、協(xié)議、端口能告訴我們什么？

“看得清”更要“看的全”

除了流量信息以外，作為一款安全設(shè)備，對于安全事件的可視，則更為重要。應(yīng)用層威脅、復(fù)合型攻擊，盡管越來越普遍，但并不是在今天才開始出現(xiàn)，早在很多年前，大型網(wǎng)絡(luò)就開始使用串行部署防火墻、入侵防御、防毒墻等設(shè)備實(shí)現(xiàn)多種威脅檢測，2004年IDC又定義了成本更低、更受中小型網(wǎng)絡(luò)青睞的UTM產(chǎn)品。從理論上講，無論采用何種形態(tài)的方案，都應(yīng)具備各種威脅識別和可視的能力。

但傳統(tǒng)方案在技術(shù)上的原理限制了安全的提升，各個(gè)功能簡單疊加，相互割裂，為了看清安全事件，網(wǎng)絡(luò)管理者要到防火墻日志里去尋找網(wǎng)絡(luò)層攻擊的信息，到入侵防御系統(tǒng)里去看漏洞入侵行為，進(jìn)入防毒墻了解病毒掃描的情況。各自為戰(zhàn)的多個(gè)設(shè)備或功能模塊，就像一個(gè)個(gè)信息孤島，很難以同一個(gè)連接、同一次動(dòng)作作為安全事件分析的維度，在網(wǎng)絡(luò)攻擊日趨精細(xì)化、多樣化的今天，縱使網(wǎng)絡(luò)管理者在不同設(shè)備上看到了各種各樣的威脅，卻仍然無法看到攻擊的全貌，更無法了解攻擊者真正的意圖和目標(biāo)。

割裂的日志無法洞悉攻擊全貌

“看的全”更要“看得透”

可視化技術(shù)的初衷是為了提供直觀、簡單的信息，為管理策略的調(diào)整提供技術(shù)支撐，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備輸出的日志、報(bào)表，多以IP、連接、帶寬為維度，縱使統(tǒng)計(jì)全面、數(shù)據(jù)充分，但仍然很難幫助網(wǎng)絡(luò)管理者了解網(wǎng)絡(luò)的變化趨勢，讓安全只能被少數(shù)既精通技術(shù)又了解業(yè)務(wù)的專家所讀懂。

在網(wǎng)絡(luò)攻擊日趨頻繁的當(dāng)今，下一代安全應(yīng)是屬于大眾和全民的安全，這要求可視化界面不但要直觀的呈現(xiàn)全面的統(tǒng)計(jì)信息，還要具備一定的智能分析能力，幫助網(wǎng)絡(luò)管理者清楚的了解網(wǎng)絡(luò)的變化，從而定位可疑行為以預(yù)知風(fēng)險(xiǎn)。

網(wǎng)康NGFW提供了怎樣的可視化

網(wǎng)康NGFW，是一款為應(yīng)對當(dāng)今網(wǎng)絡(luò)威脅而推出的新一代安全設(shè)備，滿足上述對可視化技術(shù)的所有要求。

首先，網(wǎng)康NGFW是一款完全基于應(yīng)用層的安全設(shè)備，能夠識別3000多種互聯(lián)網(wǎng)應(yīng)用，擁有幾十種用戶識別技術(shù)，能將IP地址與地理位置關(guān)聯(lián)，可幫助網(wǎng)絡(luò)管理者深入的看到數(shù)據(jù)傳輸中人、應(yīng)用和內(nèi)容的情況，做到“看得更清”。

其次，區(qū)別于安全功能的簡單疊加，網(wǎng)康NGFW采用一體化多威脅檢測引擎，一次拆包即可檢測所有威脅，這樣的處理機(jī)制保證各項(xiàng)安全功能緊密聯(lián)動(dòng)，能夠以同一連接、動(dòng)作為維度看到數(shù)據(jù)包的所有檢測情況，讓管理者“看的更全”。

最后，網(wǎng)康NGFW在對大量行為信息收集的基礎(chǔ)之上，可在同一頁面通過一系列的單次點(diǎn)擊就完成數(shù)據(jù)的挖掘和鉆取，并且提供了基線對比的方式，能夠以時(shí)間、流量、威脅為維度，對比出當(dāng)前與同一歷史時(shí)間段的差異，幫助管理者了解網(wǎng)絡(luò)的變化趨勢，分析可疑行為，這無疑可以幫助管理員“看得更透”。

網(wǎng)康NGFW的可視化界面

可視化到底帶來了什么價(jià)值

可視化到底為我們帶來了什么價(jià)值？在回答這個(gè)問題之前，讓我們先來看一個(gè)真實(shí)的案例。

通過可視化界面找到僵尸主機(jī)

在上面的案例中，網(wǎng)康NGFW部署于網(wǎng)絡(luò)的Internet出口處，管理者例行登錄設(shè)備管理界面查看網(wǎng)絡(luò)狀態(tài)，通過色塊統(tǒng)計(jì)我們發(fā)現(xiàn)某一流量占比極高，進(jìn)而分析該協(xié)議流量，內(nèi)網(wǎng)的一個(gè)用戶正在向外發(fā)起幾百萬條連接，目標(biāo)地址數(shù)量極多且分屬于8個(gè)不同的國家和地區(qū)，通過分析具體的流量我們驚人的發(fā)現(xiàn)，該主機(jī)正頻繁訪問外網(wǎng)的高危端口且每次發(fā)送的字節(jié)數(shù)均為固定大小。通過NGFW提供的其它的統(tǒng)計(jì)和分析，我們進(jìn)一步確認(rèn)該主機(jī)正在受到外網(wǎng)的控制，并向外網(wǎng)發(fā)送大量惡意連接，是一臺典型的僵尸主機(jī)，最終，我們主動(dòng)調(diào)整了防火墻策略，整網(wǎng)流量逐漸趨于正常。通過可視化技術(shù)，讓我們通過幾次簡單地頁面點(diǎn)擊，就根據(jù)行為特征及時(shí)發(fā)現(xiàn)了隱蔽性極高的威脅，這在傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備里是不可想象的。

上述案例告訴我們，在先前，我們習(xí)慣了基于特征庫檢測的方式來識別和攔截威脅，但這種被動(dòng)檢測的方式，永遠(yuǎn)是在攻擊發(fā)生后才開始研究攻擊，在快速變種后就不再識別威脅，用“亡羊補(bǔ)牢”和“按圖索驥”來形容再合適不過。

盡管基于特征碼檢測的技術(shù)仍是迄今為止最具效率的威脅防御方式，但在定制攻擊、零日攻擊、快速變種以及高隱蔽性攻擊越來越普遍的今天，僅靠預(yù)防性的控制已不能提供完整的安全。下一代防火墻所極力倡導(dǎo)的“主動(dòng)防御”概念，通過數(shù)據(jù)收集、數(shù)據(jù)挖掘、行為分析進(jìn)而發(fā)現(xiàn)異常、定位威脅，并最終通過調(diào)整策略攔截威脅，使得預(yù)防性控制措施失效時(shí)，還能夠通過依然可靠的檢測性控制來彌補(bǔ)，而最大化的全網(wǎng)可視技術(shù)恰恰為我們提供了這種檢測性控制的管理接口。

因此，如果說下一代防火墻帶給我們的是安全管理理念上的巨大變革，那么可視化技術(shù)的運(yùn)用無疑讓安全變得更加簡單、主動(dòng)，為用戶點(diǎn)亮安全的明燈。