华为企业网络产品线安全产品管理部 吕颖轩
下一代防火墙,即NGFW,已在硬件安全网关市场引起了一场“工业革命”。国内外主流安全网关厂商争先恐后将自有产品升级到NGFW或推出全新的NGFW系列产品,NGFW已成为硬件安全市场最为闪耀的一颗新星。
虽然业界对NGFW对传统安全网关的革命已经达成共识,但对于防火墙的3大基本功能(访问控制、威胁防御、安全管理),各安全厂商的NGFW产品却只是选择性地强调部分功能,这种选择性解决部分问题的方式,反而使得企业客户对NGFW更加迷惑。
华为围绕防火墙的3大基本功能,同时对NGFW的定义进行了扩展和增强,融合华为公司在安全领域的长期技术积累,打造出全新的NGFW产品,应对网络安全的新挑战。
挑战一:环境的变化,增加了访问控制的难度
移动化、社交化、云和大数据是当前ICT发展的4大趋势。Facebook 2013年Q1财报显示,Facebook月活跃用户达11.1亿人,也就是说全球有1/6人口在使用社交应用,其中移动终端占据7.51亿,比去年同期增长54%。而根据Dimensional Research的调查结果,55%以上的受访企业认为移动安全是当前首要的安全问题,其中71%的受访企业认为移动设备增加了安全事件,47%的受访企业有大量客户数据存储在移动设备上。
随着企业数字化需求的增加,ICT业务日益增多,特别是SDN技术的成熟,网络与策略的改变会频繁发生。而NGFW作为企业网络重要的安全守卫,必须能够适配网络环境的不断变化,才能尽忠职守,提供精确的安全防护。BYOD让网络边界日渐模糊,企业环境更加开放,社交应用为信息的传递提供了更便捷的途径,云和虚拟化正在改变企业的信息化使用方式。这一系列的变化仅仅依靠NGFW定义中的“应用+用户”识别很难支撑。
怎样才能主动感知环境,实现精准的策略部署,保障威胁无孔可入,将是NGFW的巨大挑战。因为,防护的精准程度直接取决于感知的准确与否。如何主动感知移动终端类型,进行访问控制?如何主动感知用户,识别权限?如何主动感知应用及子应用的每一个风险?如何在虚拟机环境下,主动感知业务迁移从而进行策略迁移?这些都是NGFW在新的ICT环境和技术下需要考虑的问题。
华为NGFW,基于环境感知的精准控制访问控制是NGFW的基础能力,访问控制应该更加精准。受益于超过10年的业务感知(Service Awareness)技术积累和不断增加的研发投入,华为提供了业界最精细的访问控制能力。
华为NGFW能够基于应用、用户、时间、内容、威胁、位置6个维度对网络流量进行管控。在应用管控方面,能够准确识别超过6000种网络应用,数量业界最多。与其他厂商不同,华为NGFW不仅能识别出应用,更能对应用的不同功能进行区分。例如:对于Line应用,可以区分文字聊天和语音;对网盘类应用RapidShare,能够区分出上传和下载。
当前的应用为了避免被网关设备识别并控制,采用了很多躲避技术,例如:端口伪装、乱序、随机填充、加密等,如果仅仅依靠报文的特征码很难准确识别。华为拓展了正则语法(PCRE,Perl Compatible Regular Expressions),开发出PCREX语言作为应用特征的描述语言,让应用特征变成可以运行在华为智能感知引擎(IAE,Intelligence Awareness Engin)上的一段代码。通过报文分片重组、协议去干扰、统计识别、行为识别等综合手段,准确识别各类复杂应用。使用PCREX描述应用特征还带来另一优势,更新应用识别能力无需升级防火墙软件,不会中断企业业务。这个特点使华为NGFW的识别能力更新速度远超其他厂家。
华为的NGFW利用“多”、“细”、“准”、“快”的应用识别提供了最精细的访问控制能力。
挑战二:被动的威胁防御,让企业左右为难
企业防火墙对于威胁的检测,通常有两类做法:
第一类:保守型。这类企业通常会开启防火墙的全部检测手段,通过采取这种“狮子扑兔”的方式,确实能带给企业足够的安全保障,但对于威胁较少的企业,这种“大炮打蚊子”的方式往往会影响企业的正常业务,例如会产生大量无关流量的误报警,大幅降低防火墙的检测效率。
这种方式往往会消耗企业IT管理人员的大量时间和精力,去处理无关的告警信息,带来大量的多余管理成本开销,同时还因为防火墙处理效率的降低,影响企业业务的体验。
第二类:自信型。这类企业的IT管理员通常对内网安全状况很自信,会根据自己的判断,针对性地开启部分检测模块,以保障效率,但这样往往会让攻击者有空子可钻。例如企业新上线某应用时,黑客往往可以利用策略未及时部署,进行入侵和攻击。
