摘要: Gartner 2013年UTM和企业防火墙魔力象限中都增加了一个中国厂商的名字,而这家厂商也是今年首次入选这两项魔力象限,同时开创了中国安全设备提供商的先河,他就是华为。这一运营商市场的霸者,近两年强势进军企业市场,攻城掠地,在企业市场的知名度越来越大,其安...
Gartner 2013年UTM和企业防火墙魔力象限中都增加了一个中国厂商的名字,而这家厂商也是今年首次入选这两项魔力象限,同时开创了中国安全设备提供商的先河,他就是华为。这一运营商市场的霸者,近两年强势进军企业市场,攻城掠地,在企业市场的知名度越来越大,其安全产品在企业市场的份额更是快速上升。
IT安全硬件产品中,NGFW(下一代防火墙)的热度如日中天,Gartner认为的企业防火墙市场也很大程度受到NGFW的影响,而且近日有消息向笔者透露,可预见的NGFW市场快速成长,该机构将在明年考虑单独设立NGFW魔力象限。届时华为是否有机会成为该魔力象限的首批“入驻者”呢?但他的NGFW产品在哪里呢?华为给出了答案,其将于今年9月3日在上海世博中心举办的首届HENC(华为企业网络大会)上正式发布其USG6000系列下一代防火墙产品。
HUAWEI USG6650下一代防火墙
迟来的惊喜 基于标准又高于标准
今年的NGFW市场,绿盟、启明星辰、山石网科等纷纷加入,并且网康将其NGFW升级至2.0版本。虽然华为一直不甘于人后,但是事实表明,还是迟了。 然而,华为这迟到的下一代防火墙,却给我们带来了一些惊喜。
虽然NGFW是定位于解决下一代安全问题而生的安全产品,但是4年来互联网变化日新月异,即使是下一代防火墙也在经受着一波又一波的威胁挑战。因此,现在的下一代防火墙,必须要基于经典定义,但是又要高于这个标准。作为全球领先的信息与通信解决方案供应商,华为的路由交换及安全产品遍布世界各地,其中的客户更是不乏全球TOP10的运营商。因此对于网络流量、威胁变化以及安全需求的捕捉无疑是最敏锐的,毕竟几乎所有的流量都是要流经运营商网络的。
因此,基于Gartner对于NGFW的经典定义,华为重新定义了华为版的NGFW,在提供完备的基础NGFW功能外,还提供更加细粒度的应用和流量管控,对于策略的智能管理,对已知和未知威胁的全面防护,以及绝对的高性能体验。
由于功能更复杂、更细粒化,不可避免地会造成管理复杂度的大幅度提升,这在今年的一次调查中已经被欧洲的安全专家们印证过了。虽然发布时间较晚,但是如果只是秀出一款与众没有不同的产品,显然不是华为的风格。因此管理便捷度就成为了华为NGFW的重要特点之一。
NGFW市场的后起之秀
下一代防火墙很重要的一个特点就是从基于端口和IP的防护转换成为了基于应用的防护。然而,Web2.0时代应用的爆炸式增长使得访问控制策略的配置极其复杂,如果下一代防火墙产品能够提供基于应用的快速策略部署,那么将会极大地降低设备上线所需的时间。另外一点,冗余策略以及可能的废弃策略等等都会使得策略条目大幅增多,如何精简策略,简化策略管理也就成为了亟待考量的问题。
华为NGFW提供多维、多级的应用分类,按照应用类型、传输方式、应用分析三个维度对应用进行描述。根据用途,将应用分成5个大类,33个子类,基于应用子类制定访问控制策略,帮助管理员快速、准确地定位需要管控的应用,快速部署基于应用的防护。另一方面,设备预定义的知识库将应用的运行风险被分为:可被利用、造成数据泄露、承载恶意软件、具有躲避特征、隧道协议等,便于使用者清晰地理解应用的各种运行风险,从而采取对应的防护手段。华为的智能管理技术,根据对网络现有流量的风险评估,自动生成安全策略建议,快速、简单的完成策略调优。通过智能管理功能,遵循最小权限原则,帮助企业轻松地建立最严格、最安全的访问控制策略。也可用于将历史遗留的端口控制策略快速转换为更安全的、应用控制策略。此外,华为通过专有算法,对策略进行冗余分析以及策略命中率统计,清晰识别失效、冗余的策略,让管理员可以及时对策略进行“瘦身”。
性能方面向来不是需要在华为产品上担心的问题,此次的NGFW产品同样如此,覆盖1G-40G应用层性能,最高达20G全威胁防护性能。电信级的硬件设计水平,配合单通道并行处理架构,再搭配将网络流量和内容处理分布式处理的双定制芯片,足可以保证在全威胁开启时性能衰减不高于50%。
结束语
下一代防火墙看似好做,但是要将各个功能融会贯通,真正做到深度整合却并非易事。华为的下一代防火墙,却是集成了华为包括板卡设计、芯片设计、软件设计在内的众多优势技术,在NGFW经典定义之上的优质力作。
随着华为的加入,NGFW市场更加激烈,也将极大地推动这个市场规模的扩大。想必要不了多久,NGFW就会成为一个新的细分市场,出现在各大分析机构的报告中。
迟来的NGFW,9月3日HENC见!
