中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

 首頁 > 新聞 > 專家觀點(diǎn) >

新時(shí)代企業(yè)網(wǎng)絡(luò)安全守護(hù)神—華為下一代防火墻

2014-04-21 16:47:28   作者:華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全產(chǎn)品管理部 呂穎軒   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全產(chǎn)品管理部 呂穎軒

  下一代防火墻,即NGFW,已在硬件安全網(wǎng)關(guān)市場(chǎng)引起了一場(chǎng)“工業(yè)革命”。國內(nèi)外主流安全網(wǎng)關(guān)廠商爭(zhēng)先恐后將自有產(chǎn)品升級(jí)到NGFW或推出全新的NGFW系列產(chǎn)品,NGFW已成為硬件安全市場(chǎng)最為閃耀的一顆新星。

  雖然業(yè)界對(duì)NGFW對(duì)傳統(tǒng)安全網(wǎng)關(guān)的革命已經(jīng)達(dá)成共識(shí),但對(duì)于防火墻的3大基本功能(訪問控制、威脅防御、安全管理),各安全廠商的NGFW產(chǎn)品卻只是選擇性地強(qiáng)調(diào)部分功能,這種選擇性解決部分問題的方式,反而使得企業(yè)客戶對(duì)NGFW更加迷惑。

  華為圍繞防火墻的3大基本功能,同時(shí)對(duì)NGFW的定義進(jìn)行了擴(kuò)展和增強(qiáng),融合華為公司在安全領(lǐng)域的長期技術(shù)積累,打造出全新的NGFW產(chǎn)品,應(yīng)對(duì)網(wǎng)絡(luò)安全的新挑戰(zhàn)。

  挑戰(zhàn)一:環(huán)境的變化,增加了訪問控制的難度

  移動(dòng)化、社交化、云和大數(shù)據(jù)是當(dāng)前ICT發(fā)展的4大趨勢(shì)。Facebook 2013年Q1財(cái)報(bào)顯示,F(xiàn)acebook月活躍用戶達(dá)11.1億人,也就是說全球有1/6人口在使用社交應(yīng)用,其中移動(dòng)終端占據(jù)7.51億,比去年同期增長54%。而根據(jù)Dimensional Research的調(diào)查結(jié)果,55%以上的受訪企業(yè)認(rèn)為移動(dòng)安全是當(dāng)前首要的安全問題,其中71%的受訪企業(yè)認(rèn)為移動(dòng)設(shè)備增加了安全事件,47%的受訪企業(yè)有大量客戶數(shù)據(jù)存儲(chǔ)在移動(dòng)設(shè)備上。

  隨著企業(yè)數(shù)字化需求的增加,ICT業(yè)務(wù)日益增多,特別是SDN技術(shù)的成熟,網(wǎng)絡(luò)與策略的改變會(huì)頻繁發(fā)生。而NGFW作為企業(yè)網(wǎng)絡(luò)重要的安全守衛(wèi),必須能夠適配網(wǎng)絡(luò)環(huán)境的不斷變化,才能盡忠職守,提供精確的安全防護(hù)。BYOD讓網(wǎng)絡(luò)邊界日漸模糊,企業(yè)環(huán)境更加開放,社交應(yīng)用為信息的傳遞提供了更便捷的途徑,云和虛擬化正在改變企業(yè)的信息化使用方式。這一系列的變化僅僅依靠NGFW定義中的“應(yīng)用+用戶”識(shí)別很難支撐。

  怎樣才能主動(dòng)感知環(huán)境,實(shí)現(xiàn)精準(zhǔn)的策略部署,保障威脅無孔可入,將是NGFW的巨大挑戰(zhàn)。因?yàn)椋雷o(hù)的精準(zhǔn)程度直接取決于感知的準(zhǔn)確與否。如何主動(dòng)感知移動(dòng)終端類型,進(jìn)行訪問控制?如何主動(dòng)感知用戶,識(shí)別權(quán)限?如何主動(dòng)感知應(yīng)用及子應(yīng)用的每一個(gè)風(fēng)險(xiǎn)?如何在虛擬機(jī)環(huán)境下,主動(dòng)感知業(yè)務(wù)遷移從而進(jìn)行策略遷移?這些都是NGFW在新的ICT環(huán)境和技術(shù)下需要考慮的問題。

  華為NGFW,基于環(huán)境感知的精準(zhǔn)控制訪問控制是NGFW的基礎(chǔ)能力,訪問控制應(yīng)該更加精準(zhǔn)。受益于超過10年的業(yè)務(wù)感知(Service Awareness)技術(shù)積累和不斷增加的研發(fā)投入,華為提供了業(yè)界最精細(xì)的訪問控制能力。

  華為NGFW能夠基于應(yīng)用、用戶、時(shí)間、內(nèi)容、威脅、位置6個(gè)維度對(duì)網(wǎng)絡(luò)流量進(jìn)行管控。在應(yīng)用管控方面,能夠準(zhǔn)確識(shí)別超過6000種網(wǎng)絡(luò)應(yīng)用,數(shù)量業(yè)界最多。與其他廠商不同,華為NGFW不僅能識(shí)別出應(yīng)用,更能對(duì)應(yīng)用的不同功能進(jìn)行區(qū)分。例如:對(duì)于Line應(yīng)用,可以區(qū)分文字聊天和語音;對(duì)網(wǎng)盤類應(yīng)用RapidShare,能夠區(qū)分出上傳和下載。

  當(dāng)前的應(yīng)用為了避免被網(wǎng)關(guān)設(shè)備識(shí)別并控制,采用了很多躲避技術(shù),例如:端口偽裝、亂序、隨機(jī)填充、加密等,如果僅僅依靠報(bào)文的特征碼很難準(zhǔn)確識(shí)別。華為拓展了正則語法(PCRE,Perl Compatible Regular Expressions),開發(fā)出PCREX語言作為應(yīng)用特征的描述語言,讓應(yīng)用特征變成可以運(yùn)行在華為智能感知引擎(IAE,Intelligence Awareness Engin)上的一段代碼。通過報(bào)文分片重組、協(xié)議去干擾、統(tǒng)計(jì)識(shí)別、行為識(shí)別等綜合手段,準(zhǔn)確識(shí)別各類復(fù)雜應(yīng)用。使用PCREX描述應(yīng)用特征還帶來另一優(yōu)勢(shì),更新應(yīng)用識(shí)別能力無需升級(jí)防火墻軟件,不會(huì)中斷企業(yè)業(yè)務(wù)。這個(gè)特點(diǎn)使華為NGFW的識(shí)別能力更新速度遠(yuǎn)超其他廠家。

  華為的NGFW利用“多”、“細(xì)”、“準(zhǔn)”、“快”的應(yīng)用識(shí)別提供了最精細(xì)的訪問控制能力。

  挑戰(zhàn)二:被動(dòng)的威脅防御,讓企業(yè)左右為難

  企業(yè)防火墻對(duì)于威脅的檢測(cè),通常有兩類做法:

  第一類:保守型。這類企業(yè)通常會(huì)開啟防火墻的全部檢測(cè)手段,通過采取這種“獅子撲兔”的方式,確實(shí)能帶給企業(yè)足夠的安全保障,但對(duì)于威脅較少的企業(yè),這種“大炮打蚊子”的方式往往會(huì)影響企業(yè)的正常業(yè)務(wù),例如會(huì)產(chǎn)生大量無關(guān)流量的誤報(bào)警,大幅降低防火墻的檢測(cè)效率。

  這種方式往往會(huì)消耗企業(yè)IT管理人員的大量時(shí)間和精力,去處理無關(guān)的告警信息,帶來大量的多余管理成本開銷,同時(shí)還因?yàn)榉阑饓μ幚硇实慕档,影響企業(yè)業(yè)務(wù)的體驗(yàn)。

  第二類:自信型。這類企業(yè)的IT管理員通常對(duì)內(nèi)網(wǎng)安全狀況很自信,會(huì)根據(jù)自己的判斷,針對(duì)性地開啟部分檢測(cè)模塊,以保障效率,但這樣往往會(huì)讓攻擊者有空子可鉆。例如企業(yè)新上線某應(yīng)用時(shí),黑客往往可以利用策略未及時(shí)部署,進(jìn)行入侵和攻擊。

分享到: 收藏

專題