企業(yè)需要更加智能的方式去進(jìn)行威脅檢測,在不影響企業(yè)正常業(yè)務(wù)的同時,能主動感知環(huán)境和威脅,從而針對性地進(jìn)行防御,并且能夠進(jìn)行實時性的動態(tài)調(diào)整、優(yōu)化。那么,NGFW如何具有一個智能的大腦去實現(xiàn)這種主動防御,就是防火墻開發(fā)者要思考的問題了。
華為NGFW:基于主動感知的威脅防御技術(shù)華為不僅實現(xiàn)了防火墻和IPS的深度集成,將病毒防護(hù)(AV,Anti-Virus)和內(nèi)容過濾功能也深度集成到了NGFW中。應(yīng)用特征、IPS特征、AV特征采用同樣的PCREX語言進(jìn)行描述,實現(xiàn)了三位一體的防護(hù)。同時,華為NGFW還實現(xiàn)了真正意義上的主動防御,這主要表現(xiàn)在兩點(diǎn)上:
對現(xiàn)網(wǎng)應(yīng)用進(jìn)行模擬漏洞掃描:
華為NGFW首先會學(xué)習(xí)現(xiàn)網(wǎng)的應(yīng)用,同時針對性地開啟應(yīng)用漏洞掃描器,再根據(jù)掃描結(jié)果,進(jìn)行主動的防御部署,這種方式不僅全面防御攻擊入侵行為,也可以最大程度保障企業(yè)業(yè)務(wù)不受影響;模擬入侵,反向生成行為白名單策略:
華為NGFW可以通過在一定程度上模擬黑客的一些行為,例如對用戶名或密碼進(jìn)行字符長度探測,了解產(chǎn)生溢出的邊界長度,從而反向生成合法長度范圍之內(nèi)的行為白名單策略,將真正的非法入侵行為更加準(zhǔn)確地阻擋在防火墻之外。當(dāng)然,這種模擬入侵只是一種“藍(lán)軍模式”,所以對尺寸設(shè)定了有效的把握,不會為企業(yè)實際業(yè)務(wù)帶來絲毫的損失和破壞。
此外,華為利用業(yè)界最全的沙箱——PE沙箱、Web沙箱、手機(jī)沙箱,建立安全信譽(yù)體系。網(wǎng)關(guān)受益于安全信譽(yù),能夠及時發(fā)現(xiàn)利用零日漏洞發(fā)起的攻擊。
挑戰(zhàn)三:傳統(tǒng)策略部署方式,增加大量管理成本
NGFW的防御從網(wǎng)絡(luò)層上升到了應(yīng)用層,但面向數(shù)以千計的應(yīng)用和數(shù)以萬計的用戶進(jìn)行策略部署的時候,如果還沿用傳統(tǒng)的被動部署方式,那部署難度將會非常高。
首先,對于身份權(quán)限的檢測,隨著企業(yè)人員的增減、權(quán)限變更,在一定時間之后,防火墻將會因為大量重復(fù)、無效的策略變得笨重、低效。一個中型企業(yè)防火墻策略通常都在3000~5000條左右,一般每季度或每半年都會進(jìn)行一次策略可用性的巡檢,可想而知,對于IT管理員來說,如果是人工去做將會是多大的災(zāi)難。
同時,面向數(shù)以千計的應(yīng)用,如果每次配置的時候,IT管理員都要被動地去學(xué)習(xí)現(xiàn)網(wǎng)應(yīng)用類型、掌握應(yīng)用風(fēng)險才能部署策略的話,IT管理員需要先向應(yīng)用開發(fā)者了解應(yīng)用及特征,甚至要通過抓包了解應(yīng)用的有效性(還有多少人在用?哪些人在用?),最后IT管理員還要通過學(xué)習(xí)知識,掌握該應(yīng)用的風(fēng)險等等,那么整個防火墻的部署過程將會長達(dá)數(shù)周,甚至數(shù)月。
面對日益惡劣的安全環(huán)境,企業(yè)在遵循最小授權(quán)原則的同時,需要引入更加主動、更加敏捷的管理方式,才能保證安全。
如何有效地做到這一點(diǎn),對NGFW的管理和使用提出了新的挑戰(zhàn)。
華為NGFW:敏捷的管理,讓企業(yè)輕松部署攻擊無孔不入,企業(yè)在遵循“最小授權(quán)原則”的同時,需要更加主動和持續(xù)的方式調(diào)整安全策略,確保合法的訪問通道不會被攻擊所利用。遺憾的是,在企業(yè)對NGFW的實際使用中很難做到這一點(diǎn)。通過客戶調(diào)研和第三方分析,華為發(fā)現(xiàn)CIO在管理上對防火墻最大的3個關(guān)注點(diǎn)。
· 安全策略如何實施?
· 基于應(yīng)用的訪問策略是否正確?
· 如何優(yōu)化防火墻策略級?
企業(yè)的傳統(tǒng)網(wǎng)關(guān)上遺留了大量的基于端口的防護(hù)策略,需要將這些策略優(yōu)化為基于應(yīng)用的防護(hù)策略。市場上的一些NGFW產(chǎn)品,僅提供有限的報表作為策略優(yōu)化的參考,優(yōu)化工作還是依賴于安全專家的經(jīng)驗和投入。盡管優(yōu)化和策略的有效性驗證耗費(fèi)了巨大的時間和人力,策略的準(zhǔn)確性還是難以保證。因此,很多企業(yè)即使采購了NGFW產(chǎn)品,依然部署著原有基于端口的策略,這無疑隱藏著巨大的風(fēng)險。
華為NGFW的Smart Policy技術(shù),采用人工智能手段幫助安全人員維護(hù)安全策略;谑褂脠鼍疤峁┗A(chǔ)模板,實現(xiàn)策略快速部署;能根據(jù)網(wǎng)絡(luò)流量環(huán)境給出建議的安全策略,幫助安全人員準(zhǔn)確、快速地完成策略優(yōu)化;識別出冗余和失效的策略,幫助安全人員精減無效策略,簡化管理。通過華為的Smart Policy技術(shù),安全管理員無需過多的技能和時間就能做好管理,降低了安全設(shè)備的TCO。
華為的NGFW產(chǎn)品解決了ICT新形勢下企業(yè)網(wǎng)絡(luò)安全對訪問控制、威脅防護(hù)、可管理性的新訴求。建立了一個安全、友好、可靠的威脅防御體系,成為企業(yè)網(wǎng)絡(luò)新時代的安全守護(hù)神。