“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”對安全能力的訴求
在“零信任”模型中,所有的訪(fǎng)問(wèn)流量都是不可信的,隔離網(wǎng)關(guān)要保證網(wǎng)絡(luò )必須滿(mǎn)足兩個(gè)層次的要求:
首先,保證訪(fǎng)問(wèn)是合理合法的。最小授權原則始終是網(wǎng)絡(luò )安全的第一信條。無(wú)論訪(fǎng)問(wèn)來(lái)自哪里,必須遵循最嚴格的控制策略,只有業(yè)務(wù)必需的訪(fǎng)問(wèn)才被允許。這將大大縮減APT攻擊的通道,也防止了內部人員有意、無(wú)意行為可能對安全的損害。移動(dòng)化和社交化的趨勢對管控粒度要求更加細致,隔離網(wǎng)關(guān)必須能夠基于應用和用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制,對非法的訪(fǎng)問(wèn)異常行為能夠及時(shí)發(fā)現。所有的訪(fǎng)問(wèn)行為的日志應被記錄下來(lái),便于日后的行為審計。
其次,被訪(fǎng)問(wèn)的數據是安全的。隔離網(wǎng)關(guān)要對合法的訪(fǎng)問(wèn)流量進(jìn)行檢測,不僅僅包括基本的IPS和AV檢測,對數據的保護更是重中之重。必須通過(guò)內容過(guò)濾和DLP的功能防止關(guān)鍵信息資產(chǎn)外泄。再次,保證訪(fǎng)問(wèn)的通道是安全的。當前,企業(yè)溝通、協(xié)作的強烈需求使網(wǎng)絡(luò )邊界變的模糊,合作單位、客戶(hù)和供應商對網(wǎng)絡(luò )的訪(fǎng)問(wèn)通常來(lái)自Internet。無(wú)論訪(fǎng)問(wèn)來(lái)自哪里,隔離網(wǎng)關(guān)必須通過(guò)VPN加密數據,保障數據在整個(gè)傳輸過(guò)程中的安全。
“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”對管理和性能的訴求
傳統網(wǎng)絡(luò )中,網(wǎng)絡(luò )安全是由眾多分離設備來(lái)共同保障的。設備間的信息同步是一個(gè)嚴重的管理問(wèn)題。例如:當網(wǎng)絡(luò )中的某臺設備IP需要變更時(shí),管理人員可能需要同步修改防火墻、IPS、AV、Anti-DDoS、DLP等眾多設備上的配置,這將是非常可怕的工作量。一旦配置修改不完全,出現設備間信息不一致的情況,整個(gè)網(wǎng)絡(luò )的安全防護效率就會(huì )大打折扣。當網(wǎng)絡(luò )中增加了新安全防護需求,又要增加新的獨立設備,網(wǎng)絡(luò )會(huì )變得更加復雜,管理成本和操作成本滾雪球般地增加。
SDN是解決網(wǎng)絡(luò )管理復雜性,保證業(yè)務(wù)敏捷、靈活的良藥。“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”采用了類(lèi)似的思路:集中管理、集成和虛擬化。網(wǎng)絡(luò )隔離網(wǎng)關(guān)將安全功能集成到一個(gè)設備上,各個(gè)安全防護功能間的共用信息(如IP、應用、用戶(hù))自然地保持了一致,通過(guò)統一調度安全功能對流量的處理,避免了獨立設備功能重疊所造成的額外時(shí)延。同時(shí),極大簡(jiǎn)化了網(wǎng)絡(luò )結構,有效降低管理復雜性。通過(guò)Web的集中式管理將“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”資源池化,以統一的視圖管理所有的安全資源。
如上所述,“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”需要適配SDN網(wǎng)絡(luò )對安全的訴求。它被部署在網(wǎng)絡(luò )的核心層靠近數據的位置,自然要求密集的高速接口(當前是萬(wàn)兆接口)和強大的處理能力。為了保證性能,通常要求“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”采用一體化處理的軟件架構和專(zhuān)用的業(yè)務(wù)處理硬件。
華為下一代防火墻USG6000:“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”的最佳選擇
在Forrester對“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”的21項評判標準中,華為USG6000系列下一代防火墻滿(mǎn)足其中20項評判標準,在參與評估的15家國際主流安全廠(chǎng)家中,能力匹配度排名TOP3。
在安全能力方面,USG6000不僅集成了Forrester報告中要求“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”所具備的全部安全功能,并且在訪(fǎng)問(wèn)控制的精細程度上做得更好:從6個(gè)維度感知網(wǎng)絡(luò )業(yè)務(wù)環(huán)境并進(jìn)行訪(fǎng)問(wèn)控制,識別6000+以上的應用,為業(yè)界最多;能夠區分應用的不同功能,滿(mǎn)足用戶(hù)更精準的控制需求(例如:區分微信的文字和語(yǔ)音,區分網(wǎng)盤(pán)類(lèi)應用的上傳和下載);依托華為遍布全球的安全中心,在云端采用沙箱技術(shù),監控可疑樣本的運行,高效發(fā)現未知威脅,抵御APT攻擊。
在管理能力方面,USG6000支持基于Web的集中式管理和硬件虛擬防火墻。作為華為敏捷網(wǎng)絡(luò )中的重要組件,配合大數據分析技術(shù)進(jìn)行安全的智能聯(lián)動(dòng)和協(xié)同。值得一提的是,憑借獨家的“智能策略生成”技術(shù),USG6000可以主動(dòng)分析網(wǎng)絡(luò )中的實(shí)際流量,遵循最小授權原則對已部署的安全策略提出優(yōu)化建議,解決了策略管理復雜性的問(wèn)題。
在性能和接口方面,USG6000系列具備同級設備中最豐富的接口能力,并采用三種手段來(lái)保證設備的高性能:1,特征描述方面,采用華為自主研發(fā)的PCREX語(yǔ)言,來(lái)描述應用、IPS和病毒等特征,在報文解析時(shí)使用統一的智能感知軟件引擎(IAE,Intelligence Awareness Engine)進(jìn)行特征匹配分析;2,軟件方面,采用一體化處理架構,一次性識別應用后共享信息,后續安全功能統一調度、并行處理;3,硬件方面,采用多核架構,使用專(zhuān)有硬件對特定、重復的耗費CPU性能的業(yè)務(wù)(如加解密、壓縮解壓縮和模式匹配等)進(jìn)行單獨處理,性能遠高于采用串行處理機制的獨立安全設備或UTM設備。
USG6000系列下一代防火墻發(fā)布于2013年9月的HENC(Huawei Enterprise Network Congress)大會(huì ),面向園區和企業(yè)提供高性能、全方位的下一代安全防護能力。發(fā)布以來(lái),成功突破歐洲多個(gè)行業(yè),德國多特蒙德體育場(chǎng),阿姆斯特丹地鐵,葡萄牙教育部等項目陸續簽單,并獲得西班牙最大集成商Indra青睞,中標沙特高速鐵路項目;在中國,USG6000也憑借優(yōu)異的產(chǎn)品能力,迅速拿下深圳廣電,廣州電網(wǎng),舞陽(yáng)鋼鐵等多個(gè)行業(yè)項目。
