网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


华为:面临挑战的下一代防火墙

2013-08-28 09:33 推荐: 浏览: 35 views 字号:

摘要: 纵观防火墙的发展历史很是有趣,初期的防火墙是软件形态,采用包过滤技术,可以进行基本的访问控制。九十年代网络的兴起使得会话机制被引入,出现了基于状态检测的防火墙,而为了专门处理网络流量,又增加了专用芯片来提升防火墙的处理速度与性能,形成了基于ASIC的专业硬件防...

纵观防火墙的发展历史很是有趣,初期的防火墙是软件形态,采用包过滤技术,可以进行基本的访问控制。九十年代网络的兴起使得会话机制被引入,出现了基于状态检测的防火墙,而为了专门处理网络流量,又增加了专用芯片来提升防火墙的处理速度与性能,形成了基于ASIC的专业硬件防火墙。进入Web2.0时代,安全防护需求越来越多,防火墙所拥有的功能也愈加多了起来,逐渐形成了UTM统一威胁管理类产品,以及通过采用专门多核芯片和分布式架构来大幅提升性能的防火墙产品。随着移动互联网时代的到来,传统防火墙管理机制开始无法胜任新的网络变化,基于应用+用户+内容作为管控基础的下一代防火墙逐渐涌现,而这也正是Gartner对Next Generation Firewall(NGFW)——下一代防火墙的定义。

防火墙发展至今主要,很重要的一点就在于访问控制,无论是初期简单的访问控制、基于会话的管控,还是下一代防火墙基于应用、用户和内容所做的管控,都是为了实现更有效、更精确的访问控制。随着恶意威胁愈加严峻,防火墙的功能也从最初的隔离,逐渐融入了DDoS防护、入侵检测等众多威胁防护功能,而下一代防火墙对威胁的防护手段更多,防护的范围也更广。防火墙的性能同样是很重要的问题,随着企业业务的发展对防火墙性能的要求也越来越高,通过硬件和软件的设计,防火墙性能得以达到与企业业务相匹配的程度。

Gartner早在2009年就给出了对NGFW的定义:必须具备标准防火墙功能(如网络地址转换、状态检测、VPN等),还需要具有应用识别能力,这也是NGFW的核心本质特性。另外,NGFW要能够与IPS深度集成,而不仅是简单的功能叠加,NGFW还需拥有智能联动与分析能力。在设计之初,下一代防火墙主要应用于大型企业,面向中高端用户。

武鹏,华为企业业务网络产品线品牌部部长

面临挑战的下一代防火墙

下一代防火墙上市至今已经五年,在这期间云计算、大数据、社交网络、BYOD相继出现,下一代防火墙开始面临更多全新的挑战。

1.管控挑战:BYOD、云、社交化的出现,使得75%的恶意攻击覆盖应用层,下一代防火墙的管控力度受到挑战。如何识别更新的应用,如何在应用过程中识别风险,如何解决新IT环境下边界失效的问题,重新建立起网络边界的有效管控,成为首要挑战。

2.管理挑战:随着下一代防火墙管控维度的增加,管理配置的复杂度也在成倍提升。面对着数以千计应用的选择,哪些应用应该打开,哪些不应该打开,哪些是对工作有用的,哪些是没有用的,那些有用的应用是否需要进一步的控制?一系列的问题让网络工程师们无所适从。

3.未知威胁挑战:这五年新的威胁和新的挑战在陆续增加,APT攻击在持续扩大和强化,未知攻击越来越多,很多攻击行为非常隐蔽,需要延时去检测。而黑客开始组织化、甚至国家化,50%以上的攻击是有组织的团队行为。作为网络出口的把门人,防火墙要能够防护新型威胁。

4.性能挑战:全面防护能力正在成为安全网关的刚性需求,面对新的安全威胁,以及管控与管理挑战,下一代防火墙面临新的处理性能瓶颈挑战。

左文树,华为企业网络产品线安全产品总经理

华为的下一代防火墙

华为认为下一代防火墙要能够进行细粒度管控、提供智能管理、实现全面防护,并具有高性能的体验。

1.细粒度控制

下一代防火墙要能做更细粒度的管控,匹配IT的移动化、虚拟化、社交化,除了感知应用、用户和内容外,还应该感知位置、风险、设备等。华为下一代防火墙提供最细粒度的访问控制:ACTUAL管控。A是App,C是Content,T是Time,U是User,A是Attack,L是Location,面对日益变化的IT环境ACTUAL环境感知能够提供全新访问控制视角,实现六维度的管控。华为下一代防火墙能够识别6000多种应用,是国内唯一识别应用威胁的厂家。拥有8500万多URL过滤,除按类别分类外,还专门提供恶意URL库。其基于位置的访问策略,可以支持地区级的识别控制。还能对数十种文件的内容进行过滤,并支持对伪装文件的识别。

2.智能管理

随着配置维度的复杂化,管理会变为一个瓶颈。华为希望下一代防火墙能够提供最简单的管理控制,让使用者和管理者更简便的实现管控而不会产生太多的困惑,自动识别网络中的应用、风险和问题,给出合理的意见和建议。大型企业希望最终访问控制要精确到每个应用,要精确找到网络里面应用的部署情况。华为对应用进行了多维、多级分类,能够快速准确定位应用,并基于应用子类进行快速部署。另外,华为下一代防火墙还能够进行策略主动优化:通过流量分析生成调优建议,通过对应用风险的监控生成防护动作建议。而且还能够实现对策略的冗余分析,极大节省用户的配置时间,将企业TCO降低30%。

3. 全面的威胁防护

华为认为下一代防火墙不仅可以识别应用,还要识别应用威胁、识别风险、识别未知威胁,具有防御APT的技巧和手段,告诉使用者存在哪些风险。华为下一代防火墙融合PE安全沙箱、手机安全沙箱、Web安全沙箱建立了沙箱模拟运行系统,由此对应用提取特征数据、生成信誉数据,实现对未知威胁的快速发现。

4. 高性能体验

下一代防火墙的基础性能是防火墙加上应用识别,在全威胁防护开启时,性能下降不应超过50%。华为重新设计了下一代防火墙的软件和硬件:高速的硬件平台和架构支撑,专门的DLP加速处理器,单次解析引擎提升软件性能,由此达到最大性能的优化。

内容安全检查会消耗50%以上的CPU资源,导致性能迅速下降。华为采用硬件加速的方法将内容安全硬件化处理,保护了CPU资源,而弹性扩容设计可实现硬件处理能力的翻倍。华为设计的单次解析引擎实现一次性的解析和匹配,通过多模块并行处理最优化CPU性能。而精确协议解码可以对威胁进行并行匹配,提供全面的安全体验。

朱峰,华为企业网络产品线安全产品市场营销总经理

据悉,华为共设计了10余款下一代防火墙设备,覆盖1G-40G应用层性能,拥有20G全威胁防护性能,可满足不同规模企业的防护需求。

华为下一代防火墙可环境感知,更可识别位置;可防护病毒,更可抵御未知威胁;可管理身份,更可管理应用;可优化策略,更可提供安全建议;强于心,简于身,基于云;全感知,全防护,全智能。华为下一代防火墙帮助用户重新掌控网络,看得更清,管得更细,用得更易。

稿源:赛迪网;作者:木淼鑫

联系站长租广告位!

中国首席信息安全官


关闭


关闭