【IT168 资讯】防火墙是目前主要的网络安全设备,企业为了保证网络安全都会选择防火墙产品。防火墙能有效地防止外来的入侵,它在网络系统中,有效的控制进出网络的信息流向和信息包;提供使用和流量的日志和审计;隐藏内部IP地址及网络结构的细节;提供VPN功能等等。今天我们要介绍的是来自华为的USG6680防火墙,作为高端设备的它提供了更为丰富的功能。
据悉,华为USG6680防火墙面向下一代网络环境,基于"ACTUAL"感知,实现安全管理自我优化,通过云技术识别未知威胁,高性能地为企业提供以应用层威胁防护为核心的下一代网络安全。基于独家“V-ISA”信誉机制来应对愈演愈烈的DDoS威胁,在支持虚拟化(Virtualization)防护的同时,能基于IP信誉机制实现僵尸网络防御,基于会话(Session)信誉抵御慢速攻击,同时基于行为信誉来防护应用(Application)层DDoS攻击。
创新性的ACTUAL感知
对于USG6680来说,ACTUAL感知是它具备的重要特性之一。所谓ACTUAL感知就是ACTUAL(Application,Content,Time,User,Attack,Location),是指对网络中流量的Application/应用、Content/内容、Time/时间、User/用户、Attack/攻击以及Location/位置的感知能力,管理员可以结合上述ACTUAL的感知结果配置对应的安全策略,如过滤、路由选路、流控、转换等策略。
在ACTUAL感知中,SA/应用感知模块负责对未知网络流量进行识别,SA模块识别报文形态、根据报文提取的特征字、报文负荷长度、报文内容/长度变化规律、IP地址/端口等内容,并可结合统计和报文间关联关系等,从而对网络流量进行精确应用分类。
应该说,感知能力是体现华为防火墙智能化水平的基础。尤其在当前开放的网络环境下,要达到有效的管理和安全的防护,首先需要对网络业务进行全面的感知。感知体系通过6个维度将模糊的网络环境映射为实际的业务环境,为用户提供真正面向业务管理。通过感知体系,构建的业务模型,让云和移动边界变得清晰,更容易进行访问控制,也使得业务更清晰—是谁,在什么时间,什么地点,用什么应用,做了什么事,有什么结果,更容易提供面向业务的精确控制和可视化的管理。
传统防火墙基于五元组ACL的匹配技术,在增加了用户、应用、内容、位置、时间段等更多匹配维度后,在匹配效率越来越不能满足网络安全设备的需求。NGFW基于RFC及Tries等算法,开发出一套一体化加速匹配算法,将各匹配维度元素通过预处理的方式建立查找结构,统一编译到一体化匹配状态机中,并且NGFW对数据包的匹配时间消耗不随着规则的增加而增加,可以实现各元素的一次性匹配,避免陷入“串糖葫芦”的匹配流程而引起性能不足的境地。同时,NGFW选用带HFA模式匹配能力的硬件平台,可利用硬件协处理器模式匹配的能力,对匹配能力进一步以进一步加速。
除具备智能感知引擎以外,华为USG6680防火墙还具备了弹性硬件架构,以及沙箱技术的结合,在管控能力、管理能力、性能优化与防护范围四个方面进行优化,随着未来对用户IT环境新发展变化不断关注实现了全面的未知威胁的防护,可以满足大型企业数据中心的安全防护要求。
总体看来,华为下一代防火墙USG6680在管控能力、管理能力、性能优化、防护范围四个方面进行了优化,创新了ACTUAL的全局环境感知技术,同时支持6000+应用识别,超过行业最高水平20%(CheckPoint 5000+),创新Smart Policy智能分析和自动化部署,全威胁防御性能最高(20G),威胁开启后性能下降行业最小。并且进入了Gartner企业防火墙和UTM MQ象限,是国内知名进入该象限的安全厂商。