企業(yè)需要更加智能的方式去進(jìn)行威脅檢測,在不影響企業(yè)正常業(yè)務(wù)的同時(shí),能主動(dòng)感知環(huán)境和威脅,從而針對性地進(jìn)行防御,并且能夠進(jìn)行實(shí)時(shí)性的動(dòng)態(tài)調整、優(yōu)化。那么,NGFW如何具有一個(gè)智能的大腦去實(shí)現這種主動(dòng)防御,就是防火墻開(kāi)發(fā)者要思考的問(wèn)題了。
華為NGFW:基于主動(dòng)感知的威脅防御技術(shù)華為不僅實(shí)現了防火墻和IPS的深度集成,將病毒防護(AV,Anti-Virus)和內容過(guò)濾功能也深度集成到了NGFW中。應用特征、IPS特征、AV特征采用同樣的PCREX語(yǔ)言進(jìn)行描述,實(shí)現了三位一體的防護。同時(shí),華為NGFW還實(shí)現了真正意義上的主動(dòng)防御,這主要表現在兩點(diǎn)上:
對現網(wǎng)應用進(jìn)行模擬漏洞掃描:
華為NGFW首先會(huì )學(xué)習現網(wǎng)的應用,同時(shí)針對性地開(kāi)啟應用漏洞掃描器,再根據掃描結果,進(jìn)行主動(dòng)的防御部署,這種方式不僅全面防御攻擊入侵行為,也可以最大程度保障企業(yè)業(yè)務(wù)不受影響;模擬入侵,反向生成行為白名單策略:
華為NGFW可以通過(guò)在一定程度上模擬黑客的一些行為,例如對用戶(hù)名或密碼進(jìn)行字符長(cháng)度探測,了解產(chǎn)生溢出的邊界長(cháng)度,從而反向生成合法長(cháng)度范圍之內的行為白名單策略,將真正的非法入侵行為更加準確地阻擋在防火墻之外。當然,這種模擬入侵只是一種“藍軍模式”,所以對尺寸設定了有效的把握,不會(huì )為企業(yè)實(shí)際業(yè)務(wù)帶來(lái)絲毫的損失和破壞。
此外,華為利用業(yè)界最全的沙箱——PE沙箱、Web沙箱、手機沙箱,建立安全信譽(yù)體系。網(wǎng)關(guān)受益于安全信譽(yù),能夠及時(shí)發(fā)現利用零日漏洞發(fā)起的攻擊。
挑戰三:傳統策略部署方式,增加大量管理成本
NGFW的防御從網(wǎng)絡(luò )層上升到了應用層,但面向數以千計的應用和數以萬(wàn)計的用戶(hù)進(jìn)行策略部署的時(shí)候,如果還沿用傳統的被動(dòng)部署方式,那部署難度將會(huì )非常高。
首先,對于身份權限的檢測,隨著(zhù)企業(yè)人員的增減、權限變更,在一定時(shí)間之后,防火墻將會(huì )因為大量重復、無(wú)效的策略變得笨重、低效。一個(gè)中型企業(yè)防火墻策略通常都在3000~5000條左右,一般每季度或每半年都會(huì )進(jìn)行一次策略可用性的巡檢,可想而知,對于IT管理員來(lái)說(shuō),如果是人工去做將會(huì )是多大的災難。
同時(shí),面向數以千計的應用,如果每次配置的時(shí)候,IT管理員都要被動(dòng)地去學(xué)習現網(wǎng)應用類(lèi)型、掌握應用風(fēng)險才能部署策略的話(huà),IT管理員需要先向應用開(kāi)發(fā)者了解應用及特征,甚至要通過(guò)抓包了解應用的有效性(還有多少人在用?哪些人在用?),最后IT管理員還要通過(guò)學(xué)習知識,掌握該應用的風(fēng)險等等,那么整個(gè)防火墻的部署過(guò)程將會(huì )長(cháng)達數周,甚至數月。
面對日益惡劣的安全環(huán)境,企業(yè)在遵循最小授權原則的同時(shí),需要引入更加主動(dòng)、更加敏捷的管理方式,才能保證安全。
如何有效地做到這一點(diǎn),對NGFW的管理和使用提出了新的挑戰。
華為NGFW:敏捷的管理,讓企業(yè)輕松部署攻擊無(wú)孔不入,企業(yè)在遵循“最小授權原則”的同時(shí),需要更加主動(dòng)和持續的方式調整安全策略,確保合法的訪(fǎng)問(wèn)通道不會(huì )被攻擊所利用。遺憾的是,在企業(yè)對NGFW的實(shí)際使用中很難做到這一點(diǎn)。通過(guò)客戶(hù)調研和第三方分析,華為發(fā)現CIO在管理上對防火墻最大的3個(gè)關(guān)注點(diǎn)。
· 安全策略如何實(shí)施?
· 基于應用的訪(fǎng)問(wèn)策略是否正確?
· 如何優(yōu)化防火墻策略級?
企業(yè)的傳統網(wǎng)關(guān)上遺留了大量的基于端口的防護策略,需要將這些策略?xún)?yōu)化為基于應用的防護策略。市場(chǎng)上的一些NGFW產(chǎn)品,僅提供有限的報表作為策略?xún)?yōu)化的參考,優(yōu)化工作還是依賴(lài)于安全專(zhuān)家的經(jīng)驗和投入。盡管優(yōu)化和策略的有效性驗證耗費了巨大的時(shí)間和人力,策略的準確性還是難以保證。因此,很多企業(yè)即使采購了NGFW產(chǎn)品,依然部署著(zhù)原有基于端口的策略,這無(wú)疑隱藏著(zhù)巨大的風(fēng)險。
華為NGFW的Smart Policy技術(shù),采用人工智能手段幫助安全人員維護安全策略。基于使用場(chǎng)景提供基礎模板,實(shí)現策略快速部署;能根據網(wǎng)絡(luò )流量環(huán)境給出建議的安全策略,幫助安全人員準確、快速地完成策略?xún)?yōu)化;識別出冗余和失效的策略,幫助安全人員精減無(wú)效策略,簡(jiǎn)化管理。通過(guò)華為的Smart Policy技術(shù),安全管理員無(wú)需過(guò)多的技能和時(shí)間就能做好管理,降低了安全設備的TCO。
華為的NGFW產(chǎn)品解決了ICT新形勢下企業(yè)網(wǎng)絡(luò )安全對訪(fǎng)問(wèn)控制、威脅防護、可管理性的新訴求。建立了一個(gè)安全、友好、可靠的威脅防御體系,成為企業(yè)網(wǎng)絡(luò )新時(shí)代的安全守護神。
