网络安全 频道

HUAWEI USG6000:更完善的下一代防火墙

  ‘Less than 10% of Internet connections today are secured using next-generation firewalls (NGFWs).By year-end 2014, this will rise to 35% of the installed base, with 60% of new purchases being NGFWs.’

  – Gartner,「Magic Quadrant for Enterprise Network Firewalls 2013」

  根据Gartner数据显示,目前有75%的威胁针对应用层,传统安全网关不具备有效的应用层防护能力,大量企业在新的安全网关采购中考虑购买下一代防火墙。回顾安全网关的发展历程,防火墙的发展史也是企业IT环境的变迁史。1989年,最初的防火墙是软件形态的,防火墙仅需完成简单的访问控制功能。随着网络发展的需要,1994年出现了基于状态检测的防火墙;出于性能上的考虑,增加了专用芯片来提升速度,专门处理网络流量,形成了基于ASIC专业硬件防火墙。Internet的兴起使企业面临的威胁越来越多,对安全功能的需求也越来越多,安全网关上的各个功能逐渐融合在一块,形成UTM(统一威胁管理)产品。2009年,随着移动互联网时代的到来,网络边界变得模糊,应用层威胁快速增加,传统的安全网关无法适配新的网络变化。因此Gartner定义了NGFW(下一代防火墙),基于用户、应用、内容作为管控的基础。同年,业界推出第一款下一代防火墙产品。

  在安全网关的演进中,有三个变化贯穿始终。第一,访问控制的变化。从最初的简单访问控制,到基于会话的管控,再到基于应用、用户和内容的管控,都是为了实现更有效更精准的访问控制;第二,威胁防护的变化。防火墙最初是仅用于访问隔离,后来逐渐增加了DDoS防护、入侵检测等等威胁防护功能;进化到NGFW,对威胁的防护手段也越来越多,防护的范围也越来越广;第三,性能的变化。随着越来越多的业务迁移到网络,防护范围不断扩大,服务质量的要求越来越高,这些都对安全网关的性能不断提出新的要求。

  变化是永远不变的主题。距2009年Gartner定义下一代防火墙已经接近5年,企业的网络环境和IT环境的都发生了很多变化,面临着许多新的安全挑战。早期推出的下一代防火墙并不能完全解决这些新的问题,NGFW需要新的改变,需要更加完善。

  改变一:管控需要更加精准

  2009年推出下一代防火墙时,BYOD、云计算、社交网络等等还没有达到现在的这种水平。今天,Web应用爆炸性增长,利用应用的恶意行为层出不穷。BYOD的趋势使网络边界变的更加模糊,用户可以在任何时间、任何地点访问企业网络。云计算的趋势下,企业的信息资产更加集中,数据泄露风险大大提高。如何识别更多的应用、访问内容、用户身份、访问时间、访问地点,分辨应用运行存在何种安全风险,是重建网络边界有效管控的关键。因此,NGFW需具备更强的环境感知能力,进而从多个维度进行综合管控。

  改变二:安全管理需要更加简单

  Gartner的报告指出:“锁定目标攻击正不断渗透标准的安全控管,让安全控管一成不变的企业蒙受巨大的商业损失…”。高级锁定目标攻击(Advanced Targeted Attacks ,ATA) ,威胁着企业的数据安全。为防范这种攻击,企业需要遵循最小权限原则,不断调整安全策略,采取最严格的防护。如何优化安全策略,在传统防火墙时代已经让安全管理员头疼不已,使用NGFW后,这个问题更加突出。传统防火墙使用端口表示应用,需要管控的端口通常在100以下;而NGFW则以数以千计的应用作为管控对象,管理配置的复杂度数量级的提升。哪些应用应该放行,是对工作有用的?被放行的应用都有哪些运行风险,应该做怎样进一步的防护?一系列的问题让人无所适从。NGFW应该更加智能,能够帮助使用者简单地完成安全策略优化,保证网络持续安全。

  改变三:需要快速识别新威胁

  近五年,黑客攻击的目的由过去的自我证明转变为谋求利益,形成了产业化、国家化的趋势。新的威胁和新的攻击方法快速增加,特别是未知特征的攻击越来越多。很多的攻击行为非常隐蔽,静态的检测机制无法及时发现。NGFW需要能检测未知特征的新威胁,快速形成防护。

  改变四:应用防护时保持高性能

  UTM产品仅在4层网络防护时保持高性能,一旦开启应用层防护(如IPS、AV)性能下降严重。当前,威胁环境前所未有的恶劣,基于应用的防护逐渐成为边界防护的刚性需求。因此NGFW仅具备安全功能是远远不够的,必须保证这些功能在真实的网络环境下性能可用,而不是只是摆设。对应用的访问控制性能将作为衡量NGFW性能的基本指标。

  市场呼唤更完善的下一代防火墙。基于企业面临的安全新挑战,华为推出了管控更精准、使用更简单、防护更全面、性能更高的下一代防火墙产品USG6000系列。USG6000能够识别6000种以上应用,从应用、用户、内容、威胁、时间、位置六个维度进行综合行管控;自动生成策略优化建议,TCO降低30%;基于云的沙箱检测技术,快速防御未知威胁;采用智能感知引擎(IAE,Intelligent Awareness Engine)技术和硬件加速,实现万兆级的应用层全威胁防御。USG6000系列下一代防火墙全面覆盖1G-40G应用层防护场景,为各种规模的企业网络保驾护航。

0
相关文章