Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

未来的网络安全防火墙应该是什么样?



      首先这一并不是新物品,做了状态网络防火墙的都了解,流表(FlowSessionTable)便是根据

流或对话关联的情况管理方法。从对话产生,情况变化到完毕的全过程,必须合乎一定规律性

,这一规律性是网络层协议界定的,全部的查验全是根据这一情况开展累加的。相匹配到业务

流程风险性便是对业务流程情况的管理方法,一般来说平常人线上进行一个业务流程的均值为

三十分钟之内。因此 一般这一信息量只必须一个钟头就可以处理90%的情景,信息量的难题

被减去了。
 
 
随后是对话的key,在业务流程安全方面上,能够 应用传统式的IP,FlowId,但更必须应用的

是AppId,UserId,DeviceId,SessionId这类业务流程层面的key,这是一个对外开放字段名

,但不容易超出10种,必须通用性适用,也就是以报文格式随意部位分析出去的字段名,都

能够做为这一情况的key。业务流程中也能够 另外有很多key的情况,必须开展汇聚(AGG)

关(JOIN)或合拼(UNION)。第二个不确定性便是规律性,这一业务流程规律性是没法事

前界定的,沒有协议书,只有过后分析产生,因此 深度学习和人力剖析在这儿必须能具体指

导这一规律性,实际不进行讲。
 
 
这一情况管理方法的测算也就是速度协调能力的选择,例如還是流表情况管理方法,这一显

而易见是对于3层总流量订制的情况管理方法,因此 速度更快。但业务流程方面无法放弃字

段名和测算表述的协调能力了,因此 这儿的作用和一个FlinkCEP系统软件类似。(早已许

多安全企业在云安全上应用了)其最底层便是一个通用性的情况测算决策的。
 
 
但有一些情景大家还能够加减法,例如分布式系统,常见故障修复情景,也有ExactlyOnce等

状况全是通用性架构下的难题,但在防火墙安全行业的数据统计分析下是能够 简单化的。也

有語言完成方面,乃至硬件加速器的计划方案,能够 提升,尽可能使单连接点特性大幅度提

高,以我的工作经验,如今的硬件配置工作能力是能够 支撑点的。我觉得将一个通用性流计

算架构剪裁移殖到防火墙里,或许是下下一代防火墙上绕不动的重要特点,乃至是最重要特

点。最终自然系统软件也有很多关键点,例如情况储存的设计方案,灵便情况标准的界定,

多状态表下管理决策的统一,软性的处理体制,调整 体制这些。一个将来的产品,也有许多

将来的要素,因为孤陋寡闻,很有可能一叶障目,仅出自于最近几年的所教所想,供讨论。
分享: