【IT168 评论】随着科技的发展和企业文化的进步,深入融合作为当今企业的发展需求,已经超出了传统防火墙的能力范围,为了迎合Web2.0时代的到来,众多厂商纷纷发布下一代防火墙产品。然而近年来网络安全又面临着各种新的威胁和挑战,在这一大背景下,IT168网络安全频道邀请到了华为交换机与企业网关产品线安全网关领域总经理宋端智先生接受我们的采访,和我们一起从现状和未来双向出发,探究用户对下一代防火墙主要的需求点,探究下一代防火墙的发展规划,进而推测未来下一代防火墙的方向。
▲华为交换机与企业网关产品线安全网关领域总经理 宋端智
IT168:宋总您好,很高兴能够和您进行沟通交流,能否先为我们简单介绍一下在您眼中我们的网络安全所面临的一些主要挑战?
宋端智:当前信息技术的发展主要体现在移动化、云化、社交化几个方向,伴随着技术的进步,安全风险也随之变化。
第一个层面是“量”的增加,我们拿基于Web攻击的数量来看,这种攻击,每年成倍数增加,黑客可以很容易获取到攻击工具和攻击源代码,攻击变得越来越容易实现;
第二,攻击越来越复杂,越来越隐蔽,方法也越来越多。比如从最先开始的蠕虫,后来的僵尸网络,以及当前的APT攻击,攻击手段越来越丰富;
第三,网络安全环境也越来越复杂,越来越难管理。因此,新技术的发展所带来的安全挑战是全方位的,其中云化所引领的安全技术改变是革命性的。在云化的过程中,业务模式从传统的静态分配转为动态交付,这样就使得原来清晰可见的安全边界也变得更为模糊,这就需要与之匹配的自动化、按需部署的安全服务,也就是SECaaS安全即服务;
同时,由于移动化和社交化的飞速发展,新时代的威胁也越来越隐蔽和难以预知,比如勒索软件、APT、0day攻击,如果采用传统的防御手段很难有效发现和阻断,这就需要借助沙箱、大数据安全、态势感知等技术。近期泛滥的WannaCry病毒实际上就是具备勒索软件、蠕虫、“0-Day”漏洞等多种特征的复合型黑客手段,对于这种威胁,就需要更加完善的防御体系。
IT168:根据IDC行业白皮书显示,下一代防火墙主要特性主要分为智能化、可视化、虚拟化以及协同四部分,首先请宋总介绍一下,贵公司的下一代防火墙的智能化是如何实现的?
宋端智:下一代防火墙的智能化可以从两个方面来实现,一各方面是防火墙自身核心能力的智能化,如华为的SmartPolicy功能可以实现安全策略智能调优,辅助管理员面对大量复杂的策略去芜存菁;再比如华为的多出口智能选路功能,针对企业Internet出口多链路情况,可以实现根据应用和链路质量等信息进行链路优选,等等。这些都是华为下一代防火墙在演进过程中根据用户的需求实现智能化提升;
另一方面,华为下一代防火墙与周边安全系统联动,将决策能力上移到更智能的管控平台,从而实现未知威胁的智能感知,策略的自动下发,业务的自动化部署,这同时也为安全能力向服务化转变提供了可能。这其实也是华为新一代安全解决方案的智能化、自动化、服务化理念的最直接体现。
IT168:面对新的安全挑战,下一代防火墙讲究“安全威胁是可视的”,我们的下一代防火墙在可视化上做了哪些工作?
宋端智:可视化是下一代防火墙的基本能力,这包括应用可视、行为可视、威胁可视等。在这方面各厂家各有特色,而华为更注重用户的体验和反馈,不断优化和提升防火墙的易用性。同时我们认为,可视化不是简单的图形化展示,而是更为智能,且更为友好的交互能力,比如,普通的防火墙威胁的展示是通过TOPN报表,现在我们结合关联分析转为了更为直观的威胁地图,将风险标识在地图上动态展示,让网络管理员对威胁态势一目了然。
IT168:云计算作为主要的发展趋势之一,近年来发展非常快,而下一代防火墙是相对比较融合性的产品,那在虚拟化的大场景下,贵公司的下一代防火墙产品都做了哪些努力?
宋端智:在云化时代,安全业务将不再是过去硬件的形式交付,而将会以一种安全服务的形式进行发放和管理。通过与SDN控制器的联动,无论是私有云拥有者还是使用方,都可以自助订购、配置安全业务,自动化开通安全服务。
华为下一代防火墙早在2015年开始布局安全能力服务化,并推出了软件化USG6000V虚拟综合业务网关,今年我们推出了分布式USG9000V T级云综合安全网关。在虚拟化场景下,下一代防火墙将具备可自动化部署、弹性扩缩容、无损升级等能力。同时,为适应不同的虚拟化平台,我们主动与全球主流厂商的适配,当前已支持KVM、Xen、VMWare、AWS、华为FunsionSphere等多个平台。另外,为实现轻量级部署的需求,我们的软件化下一代防火墙还会向容器化(Docker)方向演进。
IT168:协同联动近年来不断被提及,而在下一代防火墙中,协同也不再仅仅是一个概念性话题。安全产品已经不再是孤立存在、单打独斗地与攻击抗衡,下一代防火墙通常会与IT系统中的其它安全防御系统构建协同的工作机制,安全系统之间的协同工作又是怎样实现的呢?
宋端智:新一代的安全防御体系必须是协同作战,涉及到信息资产的方方面面。从整个网络来看,安全体系对信息系统提供无处不在的安全保障,而协同就意味着:包括网络的周边各类信息资产都可以成为安全的传感器和执行器,网络与安全强联动,实现整网威胁快速检测和响应。如果仅从防火墙角度看,为解决防火墙自身对未知威胁防御能力的不足,需要发挥其作为安全体系中的检测和执行环节的角色,与作为核心的大数据安全平台及策略调度平台联动,从而实现全网威胁协同闭环。
具体表现在,防火墙通过内置流量探针将可疑数据上报到大数据安全平台,大数据安全平台会结合威胁情报进行智能分析,识别异常,再通过策略调度平台生成阻断策略下发给防火墙, 从而对恶意行为实现阻断、隔离、限流等防控动作。
IT168:威胁情报规模化管理是下一代防火墙的主要功能之一,贵公司的威胁情报主要来源于哪?威胁情报的关联、获取、鉴定以及溯源都是怎样实现的?
宋端智:从WannaCry病毒的传播我们可以看出,当前我们面临的风险是难以预知和全球性的。因此威胁情报的实效性与广泛性将是非常关键的能力。华为公司立足中国,面向全球市场,我们在亚洲、欧洲、北美等多个关键节点建立了或正在建立威胁情报基地,并依托于此,形成了基于云的全球信誉体系;同时华为公司积极建立安全生态圈,与CNCERT、微软、VirusTotal、Cyren、McAfee、Avira(小红伞)等国内外著名机构和安全厂商深度合作,威胁情报实时共享,以确保我们能在第一时间进行未知风险的感知和防御。
威胁情报的获取只是第一步,如何在风险发生时快速响应是体现一个厂商综合能力的关键指标。华为公司的APT防御体系中,具备全面的感知、预警、阻断、溯源方案。与防火墙相关的防御过程简单来说包括:防火墙侧与本地沙箱设备或云端沙箱联动,上送可疑文件,沙箱联合云端情报中心确认恶意文件;另一方面,本地部署的大数据安全分析系统,针对各类情报和行为进行关联分析,从而实现对APT、“0-Day”漏洞等高级威胁的精准发现和溯源;最后防火墙将作为主要的管控单元,执行阻断及清除恶意行为和文件的动作。
IT168:恶意软件是近期企业面临的较大的问题,那我们的下一代防火墙产品在恶意软件的管控上有怎样的表现?
宋端智:防火墙产品从诞生第一天起,就担负着安全攻防战线第一道关卡的重担。虽然现在业内都在说防火墙在未知威胁面前力不从心,但这实际上是片面的。我们可以看到,防火墙当前的能力已经远超过最初的定义,下一代防火墙的出现,尤其是华为对下一代防火墙的全新解读使得防火墙的管控范围扩展到了全新的领域,防御能力也达到了历史的高度。
另外,防火墙本身的部署位置就决定着,针对绝大多数的安全风险的抵御在防火墙上实施是最快速有效的。也就因为这样的原因,华为针对未知威胁及APT的防御方案都是以防火墙为管控节点进行设计的,防火墙可以承担已知风险检测和阻断,对于可能潜藏攻击的恶意文件,防火墙也可以承担文件还原工作,将可疑威胁文件传递给沙箱进行启发式检测,并与沙箱联动,实现对未知威胁的快速发现和阻断。比如近WannaCry病毒,如果采用华为下一代防火墙+沙箱的组合方案,就可以在最大限度的范围内确保对恶意攻击先行一步发现和防御。
IT168:您认为贵公司的下一代防火墙产品和其他安全厂商相比,最大的差异点是什么?
宋端智:华为是国内厂商中最早推出下一代防火墙的少数几个厂商之一,也是最早进入Gartner企业防火墙和UTM魔术象限的国产厂商,可以说在这个领域的积累和创新处于领导地位,同时具备放眼全球的市场理解力和技术领导力,了解从SMB到企业到电信运营商等各种复杂场景下的网络安全诉求,具有提供覆盖安全、有线无线网络等综合的一揽子端到端解决方案的独特优势。当前我们主要的技术方向就是将下一代防火墙融入到未知威胁防御体系中,通过防火墙与本地沙箱及云端沙箱的联动,再配合大数据安全系统,实现APT等未知威胁的防御。
采访到最后,宋总针对下一代防火墙的发展趋势和网络安全的未来为我们做了简单的总结和预测,他认为网络安全就是一场永无休止的攻防战,风险在变,防御手段也随之变化。防火墙的演进不会终止,而且,随着攻防手段交替升级以及信息安全领域的技术融合,防火墙将会更深入地参与到云、管、端多个环节,并融合更多安全能力。同时,防火墙也将会更加智能,这将体现在对未知风险的主动防御、更高效的业务感知和更轻松便捷的管理等方面。
同时,宋总认为适合云化业务发展的安全防御系统应该是主动学习、自免疫、无处不在的。它覆盖了从终端到云端的各个维度,融合大数据、威胁信誉、情报共享、机器学习、人工智能等最新技术,不断满足企业在使用云时的全方位安全需求。因此,当前的安全防御体系就需要建立全面、主动、立体的安全防护体系,这包括,采用大数据安全及态势感知等新技术,实现对未知威胁的主动防御;包括采用软件定义安全技术的分布式防御体系;还包括基于云沙箱、云清洗、云查杀、云端信誉等技术的协同防御理念,而整个方案体系都将是以防火墙作为关键管控节点的设计。
