華為USG6000下一代防火墻

　　2013年12月，業(yè)界頂尖咨詢機(jī)構(gòu)Forrester發(fā)布報(bào)告，提出”零信任網(wǎng)絡(luò)”的概念，并定義了新的安全產(chǎn)品類別“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”。Forrester羅列了21項(xiàng)標(biāo)準(zhǔn)來(lái)定義“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”，并對(duì)業(yè)界15家主流廠商的產(chǎn)品進(jìn)行了評(píng)估。其中，華為作為唯一被提到的中國(guó)廠商，憑借USG6000下一代防火墻產(chǎn)品，滿足20項(xiàng)標(biāo)準(zhǔn)定義，功能覆蓋度排名TOP3。

　　時(shí)代在變化，安全需要演進(jìn)

　　自2000年以來(lái)，企業(yè)的ICT環(huán)境發(fā)生了巨大的變化，在BYOD、社交網(wǎng)絡(luò)、云計(jì)算等新技術(shù)讓企業(yè)業(yè)務(wù)更自由、更高效，更便捷的同時(shí)，也帶來(lái)了邊界愈發(fā)模糊、身份魚龍混雜、數(shù)據(jù)泄露等新的安全挑戰(zhàn)。這對(duì)對(duì)安全設(shè)備的防護(hù)能力提出了更高的要求。

　　傳統(tǒng)的安全架構(gòu)通常是零散的、亡羊補(bǔ)牢式的，在防護(hù)效果、可管理性和降低TCO等各方面都無(wú)法滿足當(dāng)前的安全需要。2013年12月，業(yè)界頂尖的咨詢機(jī)構(gòu)Forrester Research發(fā)布了《Security Network Segmentation Gateways Q4, 2013》安全報(bào)告，針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的不足，提出了“零信任網(wǎng)絡(luò)”的概念。在報(bào)告中，F(xiàn)orrester定義了一個(gè)新的安全產(chǎn)品類別--“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”（Network Segmentation Gateways），作為零信任網(wǎng)絡(luò)的安全核心，并羅列了21項(xiàng)標(biāo)準(zhǔn)，對(duì)15個(gè)業(yè)界主流廠家的產(chǎn)品進(jìn)行評(píng)估。

　　Forrester的“零信任網(wǎng)絡(luò)”和“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”

　　Forrester認(rèn)為，當(dāng)前以數(shù)據(jù)為中心的世界，威脅不僅僅來(lái)自于外部，需要采用 “零信任”模型構(gòu)建安全的網(wǎng)絡(luò)。在“零信任”網(wǎng)絡(luò)中，不再有可信的設(shè)備、接口和用戶，所有的流量都是不可信任的�，F(xiàn)實(shí)中也確實(shí)如此，技術(shù)高超的APT攻擊者總有辦法進(jìn)入企業(yè)網(wǎng)絡(luò)，企業(yè)的內(nèi)部員工有意、無(wú)意地也會(huì)對(duì)信息安全造成損害。來(lái)自任何區(qū)域、設(shè)備和員工的訪問(wèn)都可能造成安全危害。因此“零信任”是當(dāng)前網(wǎng)絡(luò)對(duì)安全的最新要求，必須進(jìn)行嚴(yán)格的訪問(wèn)控制和安全檢測(cè)。通過(guò)“零信任”網(wǎng)絡(luò)，網(wǎng)絡(luò)和安全專家可以用多個(gè)并行的交換核心構(gòu)建網(wǎng)絡(luò)，安全地實(shí)現(xiàn)網(wǎng)絡(luò)分段，實(shí)現(xiàn)安全防護(hù)，達(dá)到合規(guī)標(biāo)準(zhǔn)，并能集中地管理網(wǎng)絡(luò)。

　　在“零信任網(wǎng)絡(luò)”中，“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”位于網(wǎng)絡(luò)的中心。這種新的安全設(shè)備類型，集成了當(dāng)前絕大部分獨(dú)立安全設(shè)備的能力，包括防火墻、IPS、內(nèi)容過(guò)濾、反病毒、Web安全和VPN等�，F(xiàn)階段，NGFW暫時(shí)扮演了“網(wǎng)絡(luò)隔離網(wǎng)關(guān)’的角色，但兩者并不相同。

　　圖1 網(wǎng)絡(luò)隔離網(wǎng)關(guān)

　　Forrester認(rèn)為，“網(wǎng)絡(luò)隔離網(wǎng)關(guān)比NGFW需要的更多”。這不僅僅在于它需要比NGFW集成更多的功能，還在于“零信任”模型中，網(wǎng)絡(luò)隔離網(wǎng)關(guān)位于網(wǎng)絡(luò)的中心，更靠近數(shù)據(jù)的位置。需要處理所有的網(wǎng)絡(luò)流量，因此需要更強(qiáng)的性能和更多的萬(wàn)兆接口。部署“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”的根本目的，是根據(jù)數(shù)據(jù)的類型和敏感性來(lái)隔離網(wǎng)絡(luò)。使用“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”結(jié)合“零信任”模型，能構(gòu)造更可靠的網(wǎng)絡(luò)，保護(hù)關(guān)鍵數(shù)據(jù)并抵御現(xiàn)代威脅。使用“零信任”模型，“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”可以被看作是SDN（Software-Defined Networking，軟件定義網(wǎng)絡(luò)）安全的核心，因此它必須支持SDN，并能夠被統(tǒng)一管理。

　　“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”解讀

　　Forrester從21項(xiàng)標(biāo)準(zhǔn)，來(lái)評(píng)估產(chǎn)品是否滿足“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”的要求。這些標(biāo)準(zhǔn)大致分為三個(gè)方面：

　　v安全能力：防火墻特性、IPS特性、應(yīng)用感知、Active Directory集成、用戶感知、內(nèi)容過(guò)濾、行為監(jiān)控、遵從性報(bào)表、VPN 網(wǎng)關(guān)能力、DLP（數(shù)據(jù)防泄漏）、加密流量檢測(cè)、第三方測(cè)試、Anti-DDoS能力、高級(jí)的惡意軟件檢測(cè)；

　　v管理能力：集中管理、基于Web的管理、自動(dòng)簽名升級(jí)、軟件虛擬機(jī)防火墻；

　　v性能和接口：10G能力和接口、多接口、專有硬件。

　　安全能力多達(dá)14項(xiàng)。可見，全面完備的安全能力是“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”的基礎(chǔ)。其中，對(duì)DLP（數(shù)據(jù)防泄漏）和內(nèi)容過(guò)濾的要求是NGFW定義中沒有的，足見“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”對(duì)數(shù)據(jù)保護(hù)的重視。有4項(xiàng)標(biāo)準(zhǔn)是對(duì)可管理性的要求，如集中管理、虛擬化，這是為了適配未來(lái)SDN網(wǎng)絡(luò)的要求。剩余的3項(xiàng)標(biāo)準(zhǔn)用來(lái)衡量性能和接口豐富度，評(píng)價(jià)產(chǎn)品是否適合部署在網(wǎng)絡(luò)核心位置。