華為企業(yè)網(wǎng)絡(luò )產(chǎn)品線(xiàn)安全產(chǎn)品管理部 呂穎軒
下一代防火墻,即NGFW,已在硬件安全網(wǎng)關(guān)市場(chǎng)引起了一場(chǎng)“工業(yè)革命”。國內外主流安全網(wǎng)關(guān)廠(chǎng)商爭先恐后將自有產(chǎn)品升級到NGFW或推出全新的NGFW系列產(chǎn)品,NGFW已成為硬件安全市場(chǎng)最為閃耀的一顆新星。
雖然業(yè)界對NGFW對傳統安全網(wǎng)關(guān)的革命已經(jīng)達成共識,但對于防火墻的3大基本功能(訪(fǎng)問(wèn)控制、威脅防御、安全管理),各安全廠(chǎng)商的NGFW產(chǎn)品卻只是選擇性地強調部分功能,這種選擇性解決部分問(wèn)題的方式,反而使得企業(yè)客戶(hù)對NGFW更加迷惑。
華為圍繞防火墻的3大基本功能,同時(shí)對NGFW的定義進(jìn)行了擴展和增強,融合華為公司在安全領(lǐng)域的長(cháng)期技術(shù)積累,打造出全新的NGFW產(chǎn)品,應對網(wǎng)絡(luò )安全的新挑戰。
挑戰一:環(huán)境的變化,增加了訪(fǎng)問(wèn)控制的難度
移動(dòng)化、社交化、云和大數據是當前ICT發(fā)展的4大趨勢。Facebook 2013年Q1財報顯示,Facebook月活躍用戶(hù)達11.1億人,也就是說(shuō)全球有1/6人口在使用社交應用,其中移動(dòng)終端占據7.51億,比去年同期增長(cháng)54%。而根據Dimensional Research的調查結果,55%以上的受訪(fǎng)企業(yè)認為移動(dòng)安全是當前首要的安全問(wèn)題,其中71%的受訪(fǎng)企業(yè)認為移動(dòng)設備增加了安全事件,47%的受訪(fǎng)企業(yè)有大量客戶(hù)數據存儲在移動(dòng)設備上。
隨著(zhù)企業(yè)數字化需求的增加,ICT業(yè)務(wù)日益增多,特別是SDN技術(shù)的成熟,網(wǎng)絡(luò )與策略的改變會(huì )頻繁發(fā)生。而NGFW作為企業(yè)網(wǎng)絡(luò )重要的安全守衛,必須能夠適配網(wǎng)絡(luò )環(huán)境的不斷變化,才能盡忠職守,提供精確的安全防護。BYOD讓網(wǎng)絡(luò )邊界日漸模糊,企業(yè)環(huán)境更加開(kāi)放,社交應用為信息的傳遞提供了更便捷的途徑,云和虛擬化正在改變企業(yè)的信息化使用方式。這一系列的變化僅僅依靠NGFW定義中的“應用+用戶(hù)”識別很難支撐。
怎樣才能主動(dòng)感知環(huán)境,實(shí)現精準的策略部署,保障威脅無(wú)孔可入,將是NGFW的巨大挑戰。因為,防護的精準程度直接取決于感知的準確與否。如何主動(dòng)感知移動(dòng)終端類(lèi)型,進(jìn)行訪(fǎng)問(wèn)控制?如何主動(dòng)感知用戶(hù),識別權限?如何主動(dòng)感知應用及子應用的每一個(gè)風(fēng)險?如何在虛擬機環(huán)境下,主動(dòng)感知業(yè)務(wù)遷移從而進(jìn)行策略遷移?這些都是NGFW在新的ICT環(huán)境和技術(shù)下需要考慮的問(wèn)題。
華為NGFW,基于環(huán)境感知的精準控制訪(fǎng)問(wèn)控制是NGFW的基礎能力,訪(fǎng)問(wèn)控制應該更加精準。受益于超過(guò)10年的業(yè)務(wù)感知(Service Awareness)技術(shù)積累和不斷增加的研發(fā)投入,華為提供了業(yè)界最精細的訪(fǎng)問(wèn)控制能力。
華為NGFW能夠基于應用、用戶(hù)、時(shí)間、內容、威脅、位置6個(gè)維度對網(wǎng)絡(luò )流量進(jìn)行管控。在應用管控方面,能夠準確識別超過(guò)6000種網(wǎng)絡(luò )應用,數量業(yè)界最多。與其他廠(chǎng)商不同,華為NGFW不僅能識別出應用,更能對應用的不同功能進(jìn)行區分。例如:對于Line應用,可以區分文字聊天和語(yǔ)音;對網(wǎng)盤(pán)類(lèi)應用RapidShare,能夠區分出上傳和下載。
當前的應用為了避免被網(wǎng)關(guān)設備識別并控制,采用了很多躲避技術(shù),例如:端口偽裝、亂序、隨機填充、加密等,如果僅僅依靠報文的特征碼很難準確識別。華為拓展了正則語(yǔ)法(PCRE,Perl Compatible Regular Expressions),開(kāi)發(fā)出PCREX語(yǔ)言作為應用特征的描述語(yǔ)言,讓?xiě)锰卣髯兂煽梢赃\行在華為智能感知引擎(IAE,Intelligence Awareness Engin)上的一段代碼。通過(guò)報文分片重組、協(xié)議去干擾、統計識別、行為識別等綜合手段,準確識別各類(lèi)復雜應用。使用PCREX描述應用特征還帶來(lái)另一優(yōu)勢,更新應用識別能力無(wú)需升級防火墻軟件,不會(huì )中斷企業(yè)業(yè)務(wù)。這個(gè)特點(diǎn)使華為NGFW的識別能力更新速度遠超其他廠(chǎng)家。
華為的NGFW利用“多”、“細”、“準”、“快”的應用識別提供了最精細的訪(fǎng)問(wèn)控制能力。
挑戰二:被動(dòng)的威脅防御,讓企業(yè)左右為難
企業(yè)防火墻對于威脅的檢測,通常有兩類(lèi)做法:
第一類(lèi):保守型。這類(lèi)企業(yè)通常會(huì )開(kāi)啟防火墻的全部檢測手段,通過(guò)采取這種“獅子撲兔”的方式,確實(shí)能帶給企業(yè)足夠的安全保障,但對于威脅較少的企業(yè),這種“大炮打蚊子”的方式往往會(huì )影響企業(yè)的正常業(yè)務(wù),例如會(huì )產(chǎn)生大量無(wú)關(guān)流量的誤報警,大幅降低防火墻的檢測效率。
這種方式往往會(huì )消耗企業(yè)IT管理人員的大量時(shí)間和精力,去處理無(wú)關(guān)的告警信息,帶來(lái)大量的多余管理成本開(kāi)銷(xiāo),同時(shí)還因為防火墻處理效率的降低,影響企業(yè)業(yè)務(wù)的體驗。
第二類(lèi):自信型。這類(lèi)企業(yè)的IT管理員通常對內網(wǎng)安全狀況很自信,會(huì )根據自己的判斷,針對性地開(kāi)啟部分檢測模塊,以保障效率,但這樣往往會(huì )讓攻擊者有空子可鉆。例如企業(yè)新上線(xiàn)某應用時(shí),黑客往往可以利用策略未及時(shí)部署,進(jìn)行入侵和攻擊。
