隨著5年前有人提出NGFW概念,這5年內(nèi)人們經(jīng)過一系列對(duì)原有防火墻的改造升級(jí),人們?cè)谶^熱期創(chuàng)造了UTM。UTM除了提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上,同時(shí)提供病毒防護(hù)、URL過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、P2P/IM應(yīng)用層流量控制和用戶行為審計(jì)等安全功能。但是人們?cè)谑褂弥袧u漸發(fā)現(xiàn),UTM更像是一個(gè)All In One的一臺(tái)設(shè)備,只是單純的把設(shè)備芯片和引擎進(jìn)行疊加,無法滿足大規(guī)模需要高性能客戶的需求。此時(shí)人們單純改造原有防火墻,來實(shí)現(xiàn)NGFW的愿望到了破滅期,人們經(jīng)過努力逐漸發(fā)現(xiàn),與其改造一個(gè)部件,不如重新創(chuàng)造出一個(gè)部件。
華為推出了Secospace USG6000系列下一代防火墻。通過對(duì)應(yīng)用、用戶、內(nèi)容、威脅、時(shí)間、位置的全面感知,將網(wǎng)絡(luò)環(huán)境清晰的映射為業(yè)務(wù)環(huán)境,提供基于應(yīng)用、用戶的安全和QoS管理功能。在應(yīng)用識(shí)別的基礎(chǔ)上,提供強(qiáng)大的IPS、AV和數(shù)據(jù)防泄漏能力,全面、高性能地防護(hù)企業(yè)信息安全,滿足ICT技術(shù)與網(wǎng)絡(luò)威脅的快速發(fā)展。本文悉數(shù)介紹華為下一代防火墻USG6000系列產(chǎn)品如何應(yīng)對(duì)NGFW的發(fā)展方向希望對(duì)它賦予更高的能力要求,滿足ICT技術(shù)與網(wǎng)絡(luò)威脅的快速發(fā)展。本文將追溯到重新定義NGFW的源頭,悉數(shù)NGFW面臨的諸多挑戰(zhàn)來看NGFW的發(fā)展方向。
簡(jiǎn):
簡(jiǎn),我們這里是指簡(jiǎn)潔,客戶網(wǎng)絡(luò)環(huán)境可以利用一臺(tái)設(shè)備充當(dāng)3-5臺(tái)設(shè)備,簡(jiǎn)化網(wǎng)絡(luò)環(huán)境。
隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興技術(shù)被廣泛使用,人們逐漸發(fā)現(xiàn)移動(dòng)化、社交化、云和大數(shù)據(jù)是未來ICT領(lǐng)域的的發(fā)展趨勢(shì)。根據(jù)Dimensional Research的調(diào)查結(jié)果顯示,55%以上的受訪企業(yè)認(rèn)為移動(dòng)安全是當(dāng)前的TOP安全問題,其中71%的受訪企業(yè)認(rèn)為移動(dòng)設(shè)備增加了安全事件,47%的受訪企業(yè)有大量客戶數(shù)據(jù)存儲(chǔ)在移動(dòng)設(shè)備上。隨著安全場(chǎng)景的復(fù)雜化,人們網(wǎng)絡(luò)中的安全產(chǎn)品越來越多,網(wǎng)絡(luò)管理員發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備過多網(wǎng)絡(luò)中可能存在的故障點(diǎn)就越多,對(duì)網(wǎng)絡(luò)的穩(wěn)定性會(huì)造成威脅。
華為USG6000下一代防火墻,不僅可以利用自身的防火墻、NAT、安全域等功能對(duì)網(wǎng)絡(luò)進(jìn)行管理,還兼顧有IPS、AV、VPN、上網(wǎng)行為管理等設(shè)備的特性,滿足一臺(tái)設(shè)備解決一個(gè)網(wǎng)絡(luò)環(huán)境中所有的安全產(chǎn)品所做的工作,使我們的網(wǎng)絡(luò)環(huán)境變得簡(jiǎn)潔明了。
易
易,我們這里是指易于管理,客戶網(wǎng)絡(luò)環(huán)境可以利用一臺(tái)設(shè)備充當(dāng)3-5臺(tái)設(shè)備,同時(shí)兼顧IPS、AV、VPN、上網(wǎng)行為管理等功能,避免出現(xiàn)每臺(tái)設(shè)備單一維護(hù),造成管理上混亂與復(fù)雜。
企業(yè)網(wǎng)管理應(yīng)遵循“最低授權(quán)權(quán)限”原則,每一個(gè)控制應(yīng)盡量精確匹配到每一個(gè)點(diǎn)位。傳統(tǒng)方式依賴網(wǎng)絡(luò)管理員做大量基于端口或協(xié)議的策略限制,如果后續(xù)需要優(yōu)化,或者增加相應(yīng)策略會(huì)顯得混亂不堪,還可能導(dǎo)致策略沖突。
華為USG6000下一代防火墻,不僅提供傳統(tǒng)網(wǎng)關(guān)防火墻手工配置安全防護(hù)策略,還支持Smart Policy技術(shù),利用智能化手段幫助運(yùn)維人員管理防護(hù)策略,提供基于環(huán)境的模板用于調(diào)用且可以提出安全建議,幫助運(yùn)維人員較容易且有效的管理網(wǎng)絡(luò)。
高
高,我們這里是指智商高,設(shè)備可以自己學(xué)習(xí)特征庫、病毒庫、URL庫來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)未來出現(xiàn)的安全漏洞可防可控。
隨著SDN(軟件定義網(wǎng)絡(luò))的技術(shù)逐漸成熟,對(duì)防火墻概念更像是一個(gè)安全資源池的概念,隨著人們的需要按需索取,接入網(wǎng)絡(luò)的設(shè)備提供一個(gè)既能滿足應(yīng)用與用戶的安全防護(hù),又能兼顧擁有學(xué)習(xí)能力,可以利用自身不斷更新注入的安全疫苗,為我們搭建起一套可以抵御當(dāng)今乃至未來出現(xiàn)病菌的平臺(tái)。
華為USG6000下一代防火墻,不僅支持一虛多防火墻虛擬化技術(shù),可以對(duì)現(xiàn)網(wǎng)形成一個(gè)資源池,讓用戶按需索取,利用IPS-AV-URL功能集升級(jí)服務(wù)可以對(duì)網(wǎng)絡(luò)進(jìn)行不間斷的升級(jí)更新,幫助客戶的網(wǎng)絡(luò)形成一個(gè)安全可靠可擴(kuò)展的防御盾牌。
效
高,我們這里是指效率高,設(shè)備性能高,處理速度快。設(shè)備同時(shí)開啟IPS、AV防病毒功能時(shí),性能衰減不超過50%。
防火墻作為網(wǎng)絡(luò)的安全出口,策略中心,對(duì)性能的要求是巨大。傳統(tǒng)UTM疊加式NGFW,我們?cè)谕瑫r(shí)開啟IPS、AV防病毒等功能時(shí)候,通常性能只剩下20%-30%的設(shè)備性能,造成網(wǎng)絡(luò)出口側(cè)瓶頸,對(duì)網(wǎng)絡(luò)流量無法做到有效轉(zhuǎn)發(fā);防火墻通常作為網(wǎng)絡(luò)出口或者業(yè)務(wù)出口,對(duì)于多鏈路環(huán)境,應(yīng)考慮鏈路負(fù)載均衡方式,避免出現(xiàn)端口流量不均衡的問題、
華為USG6000下一代防火墻,在應(yīng)用識(shí)別后,多項(xiàng)安全處理是并行處理,大大降低處理延遲,并且全線下一代防火墻覆蓋從2G吞吐量到T級(jí)吞吐量的業(yè)務(wù)需求,同時(shí)提供最低8端口配備,滿足3大運(yùn)營(yíng)商和教育網(wǎng)的多出口環(huán)境接入。