在過(guò)往,90%的用戶(hù)不對(duì)防火墻進(jìn)行管理和檢查,而網(wǎng)絡(luò)始終在發(fā)生著變化,先前設(shè)定的安全配置很快就會(huì)失效。下一代防火墻正在此方面改變用戶(hù)的使用習(xí)慣,通過(guò)“評(píng)估-防御-檢測(cè)-響應(yīng)”的閉環(huán)運(yùn)行,將安全防護(hù)由單純的事件響應(yīng)推向面向風(fēng)險(xiǎn)的控制。
IT承載網(wǎng)是承載企業(yè)信息化應(yīng)用的核心基礎(chǔ)網(wǎng)絡(luò),其支撐能力和規(guī)范程度將直接影響到企業(yè)內(nèi)部應(yīng)用系統(tǒng)間的互聯(lián)互通能力,影響到系統(tǒng)的應(yīng)用質(zhì)量和信息安全。海南聯(lián)通IT承載網(wǎng)是海南聯(lián)通全省的辦公網(wǎng)絡(luò),承載著海南聯(lián)通OA,郵件,財(cái)務(wù)、ERP等十余種業(yè)務(wù)系統(tǒng)的日常交付。
“今天的IT承載網(wǎng)與過(guò)往相比發(fā)生了巨變,一方面當(dāng)前安全威脅不斷升級(jí),使得我們必須進(jìn)一步增強(qiáng)防護(hù)措施,另一方面網(wǎng)絡(luò)用戶(hù)也發(fā)生了顯著變化,目前我們網(wǎng)絡(luò)中有20%的用戶(hù)在使用無(wú)線(xiàn)網(wǎng)絡(luò)接入,還有大量的遠(yuǎn)程接入VPN用戶(hù),管理的難度進(jìn)一步增大”,海南聯(lián)通信息化部支撐中心主任王雄先生說(shuō)。
據(jù)王雄介紹,海南聯(lián)通IT承載網(wǎng)是其最重要的網(wǎng)絡(luò)之一,網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)、管理運(yùn)維等都是按照電信級(jí)標(biāo)準(zhǔn)完成的,但隨著使用年限的增加,近年來(lái)還是暴露出了一些問(wèn)題。
“從去年開(kāi)始,我們發(fā)現(xiàn)網(wǎng)絡(luò)中開(kāi)始有丟包、時(shí)延抖動(dòng)較大的現(xiàn)象,不少部門(mén)向我們反應(yīng)網(wǎng)絡(luò)訪(fǎng)問(wèn)的體驗(yàn)變差”,經(jīng)過(guò)反復(fù)分析、排查,運(yùn)維人員確認(rèn)部署于網(wǎng)絡(luò)出口的兩臺(tái)Cisco防火墻長(zhǎng)時(shí)間處于超負(fù)荷運(yùn)行的狀態(tài)。
由于先前設(shè)備的性能瓶頸和功能缺失,海南聯(lián)通隨即啟動(dòng)了出口防火墻設(shè)備的升級(jí)項(xiàng)目,并組織了一系列的入圍測(cè)試工作。
“作為運(yùn)營(yíng)商網(wǎng)絡(luò)的設(shè)備,高性能、高可靠性是要考慮的首要問(wèn)題,尤其是本次防火墻升級(jí),我們要選擇的是一款具備應(yīng)用層安全防護(hù)能力的設(shè)備,對(duì)于性能的要求更為嚴(yán)格”,王雄說(shuō)。
在眾多的參測(cè)廠(chǎng)商中,網(wǎng)康下一代防火墻超強(qiáng)的應(yīng)用識(shí)別能力以及功能全開(kāi)啟后的高性能給用戶(hù)留下了深刻印象,憑借在測(cè)試過(guò)程中表現(xiàn)出的諸多亮點(diǎn),網(wǎng)康下一代防火墻最終贏得了用戶(hù)的青睞。
高可靠、高性能滿(mǎn)足電信級(jí)標(biāo)準(zhǔn)
為了滿(mǎn)足IT承載網(wǎng)99.9%以上的可靠性要求,網(wǎng)康下一代防火墻采用了主被模式的HA部署架構(gòu),由兩臺(tái)設(shè)備組成集群,設(shè)備配置、會(huì)話(huà)信息以及在線(xiàn)用戶(hù)信息等均在主、被設(shè)備間實(shí)時(shí)同步,保證了故障切換時(shí)業(yè)務(wù)無(wú)中斷。
網(wǎng)康下一代防火墻采用多級(jí)冗余確保高可靠性
在測(cè)試過(guò)程中,網(wǎng)康下一代防火墻的性能表現(xiàn)同樣得到了用戶(hù)的肯定,在逐步開(kāi)啟各項(xiàng)安全功能后,設(shè)備的包轉(zhuǎn)發(fā)速率和處理延時(shí)并未有明顯變化,經(jīng)過(guò)長(zhǎng)時(shí)間在線(xiàn)測(cè)試,表現(xiàn)出了極高的穩(wěn)定性。
“性能是應(yīng)用層安全設(shè)備的一大挑戰(zhàn),為了實(shí)現(xiàn)完整的檢查,經(jīng)過(guò)設(shè)備的每一個(gè)數(shù)據(jù)包都要進(jìn)行拆包和解碼,這需要消耗大量的運(yùn)算資源,為了保證我們的下一代防火墻能夠在保證性能的前提下完整交付功能,我們做了多方面的創(chuàng)新”,網(wǎng)康專(zhuān)家指出,硬件、軟件架構(gòu)以及處理機(jī)制,是制約設(shè)備性能提升的核心因素。
網(wǎng)康專(zhuān)家還談到,網(wǎng)康下一代防火墻采用了Intel專(zhuān)用高性能硬件平臺(tái)和DPDK軟件技術(shù),所有數(shù)據(jù)包檢測(cè)均采用單路徑引擎的方式,僅需一次拆解即可實(shí)現(xiàn)應(yīng)用類(lèi)型、木馬、病毒、惡意網(wǎng)址等威脅的檢測(cè),從而保證了較小的性能衰減。同時(shí),網(wǎng)康下一代防火墻采用病毒云查殺技術(shù),這在國(guó)內(nèi)防火墻領(lǐng)域尚屬首創(chuàng),由云端的海量資源代替設(shè)備本地查殺,同樣能夠降低設(shè)備的運(yùn)算開(kāi)銷(xiāo)。
據(jù)悉,在權(quán)威評(píng)測(cè)機(jī)構(gòu)賽可達(dá)實(shí)驗(yàn)室的“東方之星”認(rèn)證測(cè)試中,網(wǎng)康下一代防火墻在開(kāi)啟全部安全功能后,性能衰減可穩(wěn)定控制在50%左右,符合業(yè)界公認(rèn)的下一代防火墻性能考量標(biāo)準(zhǔn)。
應(yīng)用控制、可視化升級(jí)防護(hù)級(jí)別
隨著應(yīng)用程序的爆炸式發(fā)展,傳統(tǒng)防火墻已失去了對(duì)當(dāng)今網(wǎng)絡(luò)流量的“理解”能力,使得防火墻設(shè)備的訪(fǎng)問(wèn)控制幾乎完全失效。
訪(fǎng)問(wèn)控制能力的喪失,是對(duì)企業(yè)安全的最大威脅,由流量失控導(dǎo)致的應(yīng)用濫用、資源搶占僅是其一,一些高危應(yīng)用或攜帶威脅的流量可以輕易繞過(guò)安全設(shè)備檢查,是導(dǎo)致安全風(fēng)險(xiǎn)升級(jí)的核心原因。
前不久,網(wǎng)康下一代防火墻支持識(shí)別的應(yīng)用數(shù)量率先突破3100種,此外還有700余種移動(dòng)互聯(lián)網(wǎng)應(yīng)用。對(duì)網(wǎng)絡(luò)流量中人、應(yīng)用、內(nèi)容的超強(qiáng)識(shí)別能力,已然成為網(wǎng)康下一代防火墻最核心的競(jìng)爭(zhēng)優(yōu)勢(shì)。
“下一代防火墻的應(yīng)用識(shí)別能力幫助我們解決了很多現(xiàn)實(shí)的問(wèn)題”,據(jù)王雄介紹,在網(wǎng)康設(shè)備的幫助下,一些與業(yè)務(wù)無(wú)關(guān)或高危的應(yīng)用流量均被拒絕或限制,減少了威脅滲透的通道,同時(shí),對(duì)于在網(wǎng)的智能終端設(shè)備,還可基于終端類(lèi)型及應(yīng)用進(jìn)行識(shí)別和控制。安全使能應(yīng)用能夠有效支撐企業(yè)內(nèi)部的安全政策,并始終將防護(hù)級(jí)別維持在較高水平。
王雄還談到,安全管理者不應(yīng)僅充當(dāng)救火隊(duì)員的角色,他們始終在探索一種既能高效開(kāi)展、又能切實(shí)有效的安全治理方式。
“作為一款防火墻產(chǎn)品,網(wǎng)康設(shè)備的可視化能力很出眾,無(wú)論是異常輸出還是事件溯源,都能夠非常直接的呈現(xiàn)出來(lái),同時(shí)基于統(tǒng)計(jì)的結(jié)果對(duì)流量變化、可疑行為等進(jìn)行分析,這些為我們不斷優(yōu)化安全配置幫了大忙”,王雄說(shuō)。
網(wǎng)康下一代防火墻助用戶(hù)實(shí)現(xiàn)全網(wǎng)可視
網(wǎng)康專(zhuān)家指出,在過(guò)往,90%的用戶(hù)不對(duì)防火墻進(jìn)行管理和檢查,而網(wǎng)絡(luò)始終在發(fā)生著變化,先前設(shè)定的安全配置很快就會(huì)失效。安全管理強(qiáng)調(diào)形成閉環(huán),在部署了防御措施后仍要不斷的進(jìn)行檢查、調(diào)優(yōu),動(dòng)態(tài)調(diào)整的安全策略具有最高的有效性。下一代防火墻正在此方面改變著用戶(hù)的使用習(xí)慣,設(shè)備一旦上線(xiàn),可首先幫助用戶(hù)評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn),用戶(hù)根據(jù)風(fēng)險(xiǎn)狀況并結(jié)合自身安全需求進(jìn)行安全配置,再通過(guò)可視化技術(shù)對(duì)全網(wǎng)狀態(tài)進(jìn)一步分析,最終基于分析結(jié)果調(diào)優(yōu)策略。通過(guò)“評(píng)估-防御-檢測(cè)-響應(yīng)”的閉環(huán)運(yùn)行,安全防護(hù)將由單純的事件響應(yīng)推向面向風(fēng)險(xiǎn)的控制。