新時代企業(yè)網(wǎng)絡(luò)安全守護(hù)神—華為下一代防火墻

　　企業(yè)需要更加智能的方式去進(jìn)行威脅檢測，在不影響企業(yè)正常業(yè)務(wù)的同時，能主動感知環(huán)境和威脅，從而針對性地進(jìn)行防御，并且能夠進(jìn)行實時性的動態(tài)調(diào)整、優(yōu)化。那么，NGFW如何具有一個智能的大腦去實現(xiàn)這種主動防御，就是防火墻開發(fā)者要思考的問題了。

　　華為NGFW：基于主動感知的威脅防御技術(shù)華為不僅實現(xiàn)了防火墻和IPS的深度集成，將病毒防護(hù)（AV，Anti-Virus）和內(nèi)容過濾功能也深度集成到了NGFW中。應(yīng)用特征、IPS特征、AV特征采用同樣的PCREX語言進(jìn)行描述，實現(xiàn)了三位一體的防護(hù)。同時，華為NGFW還實現(xiàn)了真正意義上的主動防御，這主要表現(xiàn)在兩點上：

　　對現(xiàn)網(wǎng)應(yīng)用進(jìn)行模擬漏洞掃描：

　　華為NGFW首先會學(xué)習(xí)現(xiàn)網(wǎng)的應(yīng)用，同時針對性地開啟應(yīng)用漏洞掃描器，再根據(jù)掃描結(jié)果，進(jìn)行主動的防御部署，這種方式不僅全面防御攻擊入侵行為，也可以最大程度保障企業(yè)業(yè)務(wù)不受影響；模擬入侵，反向生成行為白名單策略：

　　華為NGFW可以通過在一定程度上模擬黑客的一些行為，例如對用戶名或密碼進(jìn)行字符長度探測，了解產(chǎn)生溢出的邊界長度，從而反向生成合法長度范圍之內(nèi)的行為白名單策略，將真正的非法入侵行為更加準(zhǔn)確地阻擋在防火墻之外。當(dāng)然，這種模擬入侵只是一種“藍(lán)軍模式”，所以對尺寸設(shè)定了有效的把握，不會為企業(yè)實際業(yè)務(wù)帶來絲毫的損失和破壞。

　　此外，華為利用業(yè)界最全的沙箱——PE沙箱、Web沙箱、手機沙箱，建立安全信譽體系。網(wǎng)關(guān)受益于安全信譽，能夠及時發(fā)現(xiàn)利用零日漏洞發(fā)起的攻擊。

　　挑戰(zhàn)三：傳統(tǒng)策略部署方式，增加大量管理成本

　　NGFW的防御從網(wǎng)絡(luò)層上升到了應(yīng)用層，但面向數(shù)以千計的應(yīng)用和數(shù)以萬計的用戶進(jìn)行策略部署的時候，如果還沿用傳統(tǒng)的被動部署方式，那部署難度將會非常高。

　　首先，對于身份權(quán)限的檢測，隨著企業(yè)人員的增減、權(quán)限變更，在一定時間之后，防火墻將會因為大量重復(fù)、無效的策略變得笨重、低效。一個中型企業(yè)防火墻策略通常都在3000～5000條左右，一般每季度或每半年都會進(jìn)行一次策略可用性的巡檢，可想而知，對于IT管理員來說，如果是人工去做將會是多大的災(zāi)難。

　　同時，面向數(shù)以千計的應(yīng)用，如果每次配置的時候，IT管理員都要被動地去學(xué)習(xí)現(xiàn)網(wǎng)應(yīng)用類型、掌握應(yīng)用風(fēng)險才能部署策略的話，IT管理員需要先向應(yīng)用開發(fā)者了解應(yīng)用及特征，甚至要通過抓包了解應(yīng)用的有效性（還有多少人在用？哪些人在用？），最后IT管理員還要通過學(xué)習(xí)知識，掌握該應(yīng)用的風(fēng)險等等，那么整個防火墻的部署過程將會長達(dá)數(shù)周，甚至數(shù)月。

　　面對日益惡劣的安全環(huán)境，企業(yè)在遵循最小授權(quán)原則的同時，需要引入更加主動、更加敏捷的管理方式，才能保證安全。

　　如何有效地做到這一點，對NGFW的管理和使用提出了新的挑戰(zhàn)。

　　華為NGFW：敏捷的管理，讓企業(yè)輕松部署攻擊無孔不入，企業(yè)在遵循“最小授權(quán)原則”的同時，需要更加主動和持續(xù)的方式調(diào)整安全策略，確保合法的訪問通道不會被攻擊所利用。遺憾的是，在企業(yè)對NGFW的實際使用中很難做到這一點。通過客戶調(diào)研和第三方分析，華為發(fā)現(xiàn)CIO在管理上對防火墻最大的3個關(guān)注點。

　　· 安全策略如何實施？

　　· 基于應(yīng)用的訪問策略是否正確？

　　· 如何優(yōu)化防火墻策略級？

　　企業(yè)的傳統(tǒng)網(wǎng)關(guān)上遺留了大量的基于端口的防護(hù)策略，需要將這些策略優(yōu)化為基于應(yīng)用的防護(hù)策略。市場上的一些NGFW產(chǎn)品，僅提供有限的報表作為策略優(yōu)化的參考，優(yōu)化工作還是依賴于安全專家的經(jīng)驗和投入。盡管優(yōu)化和策略的有效性驗證耗費了巨大的時間和人力，策略的準(zhǔn)確性還是難以保證。因此，很多企業(yè)即使采購了NGFW產(chǎn)品，依然部署著原有基于端口的策略，這無疑隱藏著巨大的風(fēng)險。

　　華為NGFW的Smart Policy技術(shù)，采用人工智能手段幫助安全人員維護(hù)安全策略。基于使用場景提供基礎(chǔ)模板，實現(xiàn)策略快速部署；能根據(jù)網(wǎng)絡(luò)流量環(huán)境給出建議的安全策略，幫助安全人員準(zhǔn)確、快速地完成策略優(yōu)化；識別出冗余和失效的策略，幫助安全人員精減無效策略，簡化管理。通過華為的Smart Policy技術(shù)，安全管理員無需過多的技能和時間就能做好管理，降低了安全設(shè)備的TCO。

　　華為的NGFW產(chǎn)品解決了ICT新形勢下企業(yè)網(wǎng)絡(luò)安全對訪問控制、威脅防護(hù)、可管理性的新訴求。建立了一個安全、友好、可靠的威脅防御體系，成為企業(yè)網(wǎng)絡(luò)新時代的安全守護(hù)神。