新時代企業(yè)網(wǎng)絡(luò)安全守護(hù)神—華為下一代防火墻

　　華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全產(chǎn)品管理部 呂穎軒

　　下一代防火墻，即NGFW，已在硬件安全網(wǎng)關(guān)市場引起了一場“工業(yè)革命”。國內(nèi)外主流安全網(wǎng)關(guān)廠商爭先恐后將自有產(chǎn)品升級到NGFW或推出全新的NGFW系列產(chǎn)品，NGFW已成為硬件安全市場最為閃耀的一顆新星。

　　雖然業(yè)界對NGFW對傳統(tǒng)安全網(wǎng)關(guān)的革命已經(jīng)達(dá)成共識，但對于防火墻的3大基本功能（訪問控制、威脅防御、安全管理），各安全廠商的NGFW產(chǎn)品卻只是選擇性地強調(diào)部分功能，這種選擇性解決部分問題的方式，反而使得企業(yè)客戶對NGFW更加迷惑。

　　華為圍繞防火墻的3大基本功能，同時對NGFW的定義進(jìn)行了擴(kuò)展和增強，融合華為公司在安全領(lǐng)域的長期技術(shù)積累，打造出全新的NGFW產(chǎn)品，應(yīng)對網(wǎng)絡(luò)安全的新挑戰(zhàn)。

　　挑戰(zhàn)一：環(huán)境的變化，增加了訪問控制的難度

　　移動化、社交化、云和大數(shù)據(jù)是當(dāng)前ICT發(fā)展的4大趨勢。Facebook 2013年Q1財報顯示，F(xiàn)acebook月活躍用戶達(dá)11.1億人，也就是說全球有1/6人口在使用社交應(yīng)用，其中移動終端占據(jù)7.51億，比去年同期增長54%。而根據(jù)Dimensional Research的調(diào)查結(jié)果，55%以上的受訪企業(yè)認(rèn)為移動安全是當(dāng)前首要的安全問題，其中71%的受訪企業(yè)認(rèn)為移動設(shè)備增加了安全事件，47%的受訪企業(yè)有大量客戶數(shù)據(jù)存儲在移動設(shè)備上。

　　隨著企業(yè)數(shù)字化需求的增加，ICT業(yè)務(wù)日益增多，特別是SDN技術(shù)的成熟，網(wǎng)絡(luò)與策略的改變會頻繁發(fā)生。而NGFW作為企業(yè)網(wǎng)絡(luò)重要的安全守衛(wèi)，必須能夠適配網(wǎng)絡(luò)環(huán)境的不斷變化，才能盡忠職守，提供精確的安全防護(hù)。BYOD讓網(wǎng)絡(luò)邊界日漸模糊，企業(yè)環(huán)境更加開放，社交應(yīng)用為信息的傳遞提供了更便捷的途徑，云和虛擬化正在改變企業(yè)的信息化使用方式。這一系列的變化僅僅依靠NGFW定義中的“應(yīng)用+用戶”識別很難支撐。

　　怎樣才能主動感知環(huán)境，實現(xiàn)精準(zhǔn)的策略部署，保障威脅無孔可入，將是NGFW的巨大挑戰(zhàn)。因為，防護(hù)的精準(zhǔn)程度直接取決于感知的準(zhǔn)確與否。如何主動感知移動終端類型，進(jìn)行訪問控制？如何主動感知用戶，識別權(quán)限？如何主動感知應(yīng)用及子應(yīng)用的每一個風(fēng)險？如何在虛擬機環(huán)境下，主動感知業(yè)務(wù)遷移從而進(jìn)行策略遷移？這些都是NGFW在新的ICT環(huán)境和技術(shù)下需要考慮的問題。

　　華為NGFW，基于環(huán)境感知的精準(zhǔn)控制訪問控制是NGFW的基礎(chǔ)能力，訪問控制應(yīng)該更加精準(zhǔn)。受益于超過10年的業(yè)務(wù)感知（Service Awareness）技術(shù)積累和不斷增加的研發(fā)投入，華為提供了業(yè)界最精細(xì)的訪問控制能力。

　　華為NGFW能夠基于應(yīng)用、用戶、時間、內(nèi)容、威脅、位置6個維度對網(wǎng)絡(luò)流量進(jìn)行管控。在應(yīng)用管控方面，能夠準(zhǔn)確識別超過6000種網(wǎng)絡(luò)應(yīng)用，數(shù)量業(yè)界最多。與其他廠商不同，華為NGFW不僅能識別出應(yīng)用，更能對應(yīng)用的不同功能進(jìn)行區(qū)分。例如：對于Line應(yīng)用，可以區(qū)分文字聊天和語音；對網(wǎng)盤類應(yīng)用RapidShare，能夠區(qū)分出上傳和下載。

　　當(dāng)前的應(yīng)用為了避免被網(wǎng)關(guān)設(shè)備識別并控制，采用了很多躲避技術(shù)，例如：端口偽裝、亂序、隨機填充、加密等，如果僅僅依靠報文的特征碼很難準(zhǔn)確識別。華為拓展了正則語法（PCRE，Perl Compatible Regular Expressions），開發(fā)出PCREX語言作為應(yīng)用特征的描述語言，讓應(yīng)用特征變成可以運行在華為智能感知引擎（IAE，Intelligence Awareness Engin）上的一段代碼。通過報文分片重組、協(xié)議去干擾、統(tǒng)計識別、行為識別等綜合手段，準(zhǔn)確識別各類復(fù)雜應(yīng)用。使用PCREX描述應(yīng)用特征還帶來另一優(yōu)勢，更新應(yīng)用識別能力無需升級防火墻軟件，不會中斷企業(yè)業(yè)務(wù)。這個特點使華為NGFW的識別能力更新速度遠(yuǎn)超其他廠家。

　　華為的NGFW利用“多”、“細(xì)”、“準(zhǔn)”、“快”的應(yīng)用識別提供了最精細(xì)的訪問控制能力。

　　挑戰(zhàn)二：被動的威脅防御，讓企業(yè)左右為難

　　企業(yè)防火墻對于威脅的檢測，通常有兩類做法：

　　第一類：保守型。這類企業(yè)通常會開啟防火墻的全部檢測手段，通過采取這種“獅子撲兔”的方式，確實能帶給企業(yè)足夠的安全保障，但對于威脅較少的企業(yè)，這種“大炮打蚊子”的方式往往會影響企業(yè)的正常業(yè)務(wù)，例如會產(chǎn)生大量無關(guān)流量的誤報警，大幅降低防火墻的檢測效率。

　　這種方式往往會消耗企業(yè)IT管理人員的大量時間和精力，去處理無關(guān)的告警信息，帶來大量的多余管理成本開銷，同時還因為防火墻處理效率的降低，影響企業(yè)業(yè)務(wù)的體驗。

　　第二類：自信型。這類企業(yè)的IT管理員通常對內(nèi)網(wǎng)安全狀況很自信，會根據(jù)自己的判斷，針對性地開啟部分檢測模塊，以保障效率，但這樣往往會讓攻擊者有空子可鉆。例如企業(yè)新上線某應(yīng)用時，黑客往往可以利用策略未及時部署，進(jìn)行入侵和攻擊。