所見即所得 從日誌透視網絡安全

信息安全

作者：程彥博

防火牆、IPS、IDS、反垃圾郵件、上網行為管理……企業在其網絡中部署了一連串的安全設備後，如何有效地整合這些設備產生的數據並進行關聯分析，從而對企業網絡的運行狀況和安全隱患做到心中有數呢？

需求迫切

“過去，安全廠商會麵臨著一個很頭疼的問題。客戶會問，當部署了安全設備之後，怎麼知道設備起到了應起的作用？”WatchGuard中國區市場總監萬熠帶有調侃地告訴記者，“我們隻好告訴客戶，如果部署了我們的設備之後，網絡一切正常，就說明我們的設備起作用了。”

雖是調侃，但是萬熠的話還是道出了企業對網絡安全狀況感知的需求，當然，這同時也是IT部門向企業決策者證明安全設備投入所獲得回報的需求。

此外，當雲計算和虛擬化越來越多地在企業中得到應用時，日誌分析同樣給管理員帶來挑戰。“虛擬化平台是分布式的，它的計算節點、存儲節點都是分布式的。這時，任何一個節點都可以根據策略動態分布並動態遷移。”萬熠認為，在傳統的物理設備上做日誌分析和可視化是相對容易的，而在虛擬化環境中，要搜集大量的、分布式的日誌並進行分析，難度可想而知。

WatchGuard和國外科技資訊網站Slashdot共同發起的一份調研報告顯示：在搜集到所有日誌數據之後，51%的安全專家無法在第一時間找出組織內消耗帶寬的應用，工作在“能見度”極低的日誌管理平台上，更不可能定位那些威脅企業核心機密的源頭。這些都使得安全評估、威脅源頭追蹤，以及法規遵從工作都難以再從日誌入手。

所以，在日誌數據的海洋中，IT管理員需要借助強有力的工具來“擦亮”眼睛，用較低的成本看清網絡安全的運行情況。在更高效和便捷的雲操作環境中，WatchGuard Dimension采用了可對不同層級人員提供獨立日誌報表的數據輸出結構，而分層的樹型操作方式更可以讓各種關鍵流量一目了然。另外，基於全球威脅地圖的展現層設計和超過70種數據集合的報告，都可以讓深入網絡內部探測的結果更加可視化，這包括動態的儀表盤、專業的指導意見、優秀客戶的實踐結果。

長於易用性

WatchGuard推出的Dimension正是基於這樣的需求。萬熠向記者介紹，WatchGuard Dimension其實是一個管理軟件，集成在WatchGuard的安全設備中，為用戶提供針對網絡雲安全和數據可視化分析的解決方案。

“WatchGuard Dimension首先做的工作是日誌收集，它會對企業網絡方麵的日誌進行采集，然後進行分析並通過組件及HTML5的方式將分析的結果呈現出來。”萬熠介紹，“此外，Dimension還提供日誌服務，因為用戶需要對這些數據進行存儲和查詢，所以我們會將采集並分析的數據建成數據庫，以服務的方式提供給用戶隨時使用。”

據了解，用戶隻要將WatchGuard NGFW等安全設備的操作係統升級到版本11.8，就可以免費獲得Dimension功能。如果是雲數據中心中的虛擬化網絡，Dimension功能要通過WatchGuard SSV（WatchGuard 基於VMware、Hyper-V等虛擬化平台的網絡安全解決方案）進行安裝來實現。

WatchGuard Dimension采用了可對不同層級人員提供獨立日誌報表的數據輸出結構，分層的樹型操作方式可以讓各種關鍵流量一目了然。另外，基於全球威脅地圖的展現層設計和超過70種數據集合的報告，都可以讓深入網絡內部探測的結果更加直觀。

“實際上，WatchGuard Dimension的最大亮點不僅在於功能，而且在於易用性。”萬熠最後告訴《中國計算機報》記者，“相對於安裝日誌服務器的龐大工作量，安裝Dimension的工作量微乎其微，甚至可以直接使用，為企業節約了大量的資金成本和人力成本。”