華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全產(chǎn)品管理部 呂穎軒
下一代防火墻,即NGFW,已在硬件安全網(wǎng)關(guān)市場引起了一場“工業(yè)革命”。國內(nèi)外主流安全網(wǎng)關(guān)廠商爭先恐后將自有產(chǎn)品升級到NGFW或推出全新的NGFW系列產(chǎn)品,NGFW已成為硬件安全市場最為閃耀的一顆新星。
雖然業(yè)界對NGFW對傳統(tǒng)安全網(wǎng)關(guān)的革命已經(jīng)達成共識,但對于防火墻的3大基本功能(訪問控制、威脅防御、安全管理),各安全廠商的NGFW產(chǎn)品卻只是選擇性地強調(diào)部分功能,這種選擇性解決部分問題的方式,反而使得企業(yè)客戶對NGFW更加迷惑。
華為圍繞防火墻的3大基本功能,同時對NGFW的定義進行了擴展和增強,融合華為公司在安全領(lǐng)域的長期技術(shù)積累,打造出全新的NGFW產(chǎn)品,應(yīng)對網(wǎng)絡(luò)安全的新挑戰(zhàn)。
挑戰(zhàn)一:環(huán)境的變化,增加了訪問控制的難度
移動化、社交化、云和大數(shù)據(jù)是當(dāng)前ICT發(fā)展的4大趨勢。Facebook 2013年Q1財報顯示,F(xiàn)acebook月活躍用戶達11.1億人,也就是說全球有1/6人口在使用社交應(yīng)用,其中移動終端占據(jù)7.51億,比去年同期增長54%。而根據(jù)Dimensional Research的調(diào)查結(jié)果,55%以上的受訪企業(yè)認(rèn)為移動安全是當(dāng)前首要的安全問題,其中71%的受訪企業(yè)認(rèn)為移動設(shè)備增加了安全事件,47%的受訪企業(yè)有大量客戶數(shù)據(jù)存儲在移動設(shè)備上。
隨著企業(yè)數(shù)字化需求的增加,ICT業(yè)務(wù)日益增多,特別是SDN技術(shù)的成熟,網(wǎng)絡(luò)與策略的改變會頻繁發(fā)生。而NGFW作為企業(yè)網(wǎng)絡(luò)重要的安全守衛(wèi),必須能夠適配網(wǎng)絡(luò)環(huán)境的不斷變化,才能盡忠職守,提供精確的安全防護。BYOD讓網(wǎng)絡(luò)邊界日漸模糊,企業(yè)環(huán)境更加開放,社交應(yīng)用為信息的傳遞提供了更便捷的途徑,云和虛擬化正在改變企業(yè)的信息化使用方式。這一系列的變化僅僅依靠NGFW定義中的“應(yīng)用+用戶”識別很難支撐。
怎樣才能主動感知環(huán)境,實現(xiàn)精準(zhǔn)的策略部署,保障威脅無孔可入,將是NGFW的巨大挑戰(zhàn)。因為,防護的精準(zhǔn)程度直接取決于感知的準(zhǔn)確與否。如何主動感知移動終端類型,進行訪問控制?如何主動感知用戶,識別權(quán)限?如何主動感知應(yīng)用及子應(yīng)用的每一個風(fēng)險?如何在虛擬機環(huán)境下,主動感知業(yè)務(wù)遷移從而進行策略遷移?這些都是NGFW在新的ICT環(huán)境和技術(shù)下需要考慮的問題。
華為NGFW,基于環(huán)境感知的精準(zhǔn)控制訪問控制是NGFW的基礎(chǔ)能力,訪問控制應(yīng)該更加精準(zhǔn)。受益于超過10年的業(yè)務(wù)感知(Service Awareness)技術(shù)積累和不斷增加的研發(fā)投入,華為提供了業(yè)界最精細(xì)的訪問控制能力。
華為NGFW能夠基于應(yīng)用、用戶、時間、內(nèi)容、威脅、位置6個維度對網(wǎng)絡(luò)流量進行管控。在應(yīng)用管控方面,能夠準(zhǔn)確識別超過6000種網(wǎng)絡(luò)應(yīng)用,數(shù)量業(yè)界最多。與其他廠商不同,華為NGFW不僅能識別出應(yīng)用,更能對應(yīng)用的不同功能進行區(qū)分。例如:對于Line應(yīng)用,可以區(qū)分文字聊天和語音;對網(wǎng)盤類應(yīng)用RapidShare,能夠區(qū)分出上傳和下載。
當(dāng)前的應(yīng)用為了避免被網(wǎng)關(guān)設(shè)備識別并控制,采用了很多躲避技術(shù),例如:端口偽裝、亂序、隨機填充、加密等,如果僅僅依靠報文的特征碼很難準(zhǔn)確識別。華為拓展了正則語法(PCRE,Perl Compatible Regular Expressions),開發(fā)出PCREX語言作為應(yīng)用特征的描述語言,讓應(yīng)用特征變成可以運行在華為智能感知引擎(IAE,Intelligence Awareness Engin)上的一段代碼。通過報文分片重組、協(xié)議去干擾、統(tǒng)計識別、行為識別等綜合手段,準(zhǔn)確識別各類復(fù)雜應(yīng)用。使用PCREX描述應(yīng)用特征還帶來另一優(yōu)勢,更新應(yīng)用識別能力無需升級防火墻軟件,不會中斷企業(yè)業(yè)務(wù)。這個特點使華為NGFW的識別能力更新速度遠(yuǎn)超其他廠家。
華為的NGFW利用“多”、“細(xì)”、“準(zhǔn)”、“快”的應(yīng)用識別提供了最精細(xì)的訪問控制能力。
挑戰(zhàn)二:被動的威脅防御,讓企業(yè)左右為難
企業(yè)防火墻對于威脅的檢測,通常有兩類做法:
第一類:保守型。這類企業(yè)通常會開啟防火墻的全部檢測手段,通過采取這種“獅子撲兔”的方式,確實能帶給企業(yè)足夠的安全保障,但對于威脅較少的企業(yè),這種“大炮打蚊子”的方式往往會影響企業(yè)的正常業(yè)務(wù),例如會產(chǎn)生大量無關(guān)流量的誤報警,大幅降低防火墻的檢測效率。
這種方式往往會消耗企業(yè)IT管理人員的大量時間和精力,去處理無關(guān)的告警信息,帶來大量的多余管理成本開銷,同時還因為防火墻處理效率的降低,影響企業(yè)業(yè)務(wù)的體驗。
第二類:自信型。這類企業(yè)的IT管理員通常對內(nèi)網(wǎng)安全狀況很自信,會根據(jù)自己的判斷,針對性地開啟部分檢測模塊,以保障效率,但這樣往往會讓攻擊者有空子可鉆。例如企業(yè)新上線某應(yīng)用時,黑客往往可以利用策略未及時部署,進行入侵和攻擊。