随着智能终端的普及,面对新的挑战,华为的安全有着自己独特的主张。ICT融合涉及到了云、管、端,华为整个产业紧紧围绕着ICT管道来开展,安全方案也主要围绕云数据中心安全的、园区网和广域网的安全解决方案以及移动办公安全解决方案来展开.作为下一代园区网安全的核心组件,华为NGFW也将在9月份的网络大会上会做系列化正式发布,面向全球海量销售。NGFW这个词最早是由Gartner提出的。在2009年Gartner发布了一篇白皮书,第一次提出了下一代防火墙的概念。四年之后的今天,众多安全厂商的号称下一代防火墙产品也如雨后春笋般涌现。不过华为何要在今年下半年才正式发布下一代防火墙产品?华为下一代防火墙的强项是什么、跟业界这些防火墙又有什么区别?华为企业网络产品线安全营销经理朱峰就这些问题做了精彩的演讲,也向大家详细介绍了华为是怎么来定义新一代防火墙的。
在讲述华为防火墙的特性之前,朱峰先带领大家回顾了整个防火墙的发展历程。“1989年开始的PC时代,防火墙还是基于包过滤机制,其主要功能是基本访问控制。1994年,跨入网络时代,防火墙引入了会话机制,主要基于状态检测,一些知名厂商纷纷推出了自己的产品;1998年,互联网时代到来,基于ASIC架构的防火墙也正式登场,造就了NetScreen这样的厂商,开始用专用芯片提升性能;2004年到2008年,是web2.0的时代,这时的防火墙强调多功能的叠加,在性能上也因为采用了多核和分布式的架构而得到了提升,华为的万兆级防火墙业务也发布于这个时期;2009年,随着移动互联网时代的到来,传统的防火墙管理机制变得无法胜任新的网络变化,这样才有了Gartner对NGFW的定义,才开始有了基于用户+应用+内容作为管控基础的下一代防火墙,并且真正有厂家来实现。
防火墙从最初的发展到现在的演进有三个最主要的点,第一点是访问控制,从最初的简单访问控制,到基于会话的管控,再到下一代防火墙上基于应用,用户和内容来做管控,都是为了实现更有效更精确的访问控制。第二个就是威胁防护越来越强,防火墙最初是做隔离用的,后来逐渐增加了DDoS防护、入侵检测等等威胁防护功能,包括到下一代防火墙对威胁的防护手段也越来越多,防护的范围也越来越广。第三,就是性能的加强,性能是沿着整个业务的需求越来越高,通过硬件和软件的设计,达到业务相匹配的程度。
现在有些防火墙产品只是增加了一些简单的应用识别,或者从流量管控的形态加上一些威胁防控能力就号称为下一代防火墙。目前市面上的这些下一代防火墙良莠不齐,大多数还是为了迎合市场宣传,算不上真正意义上的下一代防火墙。下一代防火墙必须符合如下几点要求,第一,应该具备基本防火墙的功能,如NAT、VPN等,还有应用识别能力,这个是NGFW的最核心的本质特性;第二是要跟IPS深度的集成,不能是简单的功能叠加;第三,Gartner还要求NGFW提供诸如智能联动和智能分析的一些辅助功能。另外下一代防火墙在设计之初主要应用场景是大型企业的出口,主要面向的是中高端用户。
尽管下一代防火墙概念提出已经有4年,但这4年中,IT环境发生了巨大的变革:社交化、移动化、虚拟化、云化,让移动和web应用成为安全的主战场;黑客攻击产业化使得攻击活动更密集,威胁环境更加险恶;APT让发现威胁所需的时间变得更长,恶意行为难以发现。4年间,用户需求也发生了改变,他们对NGFW的诉求普遍集中在以下问题:
第一,管控是否足够精准。如何识别最新的应用、如何在应用过程中识别风险、如何解决新IT环境下边界失效的问题,重新建立起网络边界的有效管控,成为NGFW首要挑战。
第二,管理是否足够简单。下一代防火墙加了很多管控维度以后,管理配置的复杂度成倍提升,但是对于用户来说,应该做到越简单越好。
第三,可辨未知威胁。近几年新威胁和新挑战持续增加,特别是未知的攻击越来越多,很多的攻击行为非常隐蔽的,需要延时去检测,黑客行为已经是组织化,甚至国家化。防火墙的作用类似也是在网络出口的看守把门人,要能够对新的威胁做防护。
第四,性能是否足够。有些产品一旦开启强制性防护,性能急剧下降,基本不可用,NGFW如果不想重蹈覆辙,在性能方面一定要有专门的测试办法和门槛要求,不是说有了某些特性就可以胜任的,这些特性一定要在真实的网络环境下可用而不是摆设。
谈到华为如何定义下一代防火墙,朱峰表示:“我们认为NGFW应该从以下几个方面做相应的改进。首先我们希望NGFW做更细粒度的管控,匹配IT的移动化、虚拟化、社交化,除了价值应用、用户和内容外,还应该感知位置、风险和设备等。第二是智能管理,华为希望为NGFW提供一个新的管控手段,给使用者和管理者让IT管理者可以更智能、更简洁的方法来使用下一代防火墙,并且能够自动识别网络中的应用、风险和问题,给出合理的意见和建议。第三个是全面防护,不仅识别应用,还要识别应用威胁,识别风险,还有识别未知威胁,要拥有ATP的防御技巧和手段,告诉他们有哪些风险在里面。第四,高性能体验,我们认为NGFW的基础性能是防火墙加上应用识别,一定是以应用为基础,而不再是哪些所谓的大包FW吞吐量,小包FW吞吐量,用户买来NGFW一定会开启应用识别功能的,那么开启应用识别后的FW性能,才能代表NGFW的基本性能。另外,为了让NGFW的各种威胁特性可用,全威胁防护开启下的性能相对基础性能,下降幅度不应超过50%。”
谈起华为为什么今年才开始宣传NGFW产品,朱峰说:“华为从2003年就开始做防火墙产品了,到09年已经发布了万兆的产品,并且2011年年底就已经发布了一个新的软件版本,融入了用户应用和内容的管控手段,完全符合NGFW的标准,但我们并没有说自己是NGFW,只说是一个升级。我们认为,当时该产品在客户体验方面没有达到目标,还不足以从根本上解决用户面临的新问题。华为希望在NGFW产品中真正注入自己的实力后再正式发布,而不是为了迎合市场宣传而仓促推出。因此,华为对NGFW产品重新设计了硬件,改写了软件,并站在新的角度设计用户体验。”
华为即将发布的全系列的NGFW产品一共有10余款设备,覆盖到1G-40G应用层性能,拥有20G全威胁防护的性能。和其他厂商的产品相比,华为NGFW有四个重大的优势:一是提供最精准的访问控制,通过华为独有的ACTUAL六维管控机制,可提供6000多种应用识别和8500万网页过滤;二是拥有最简单的管理配置,具有主动流量学习和自动策略建议功能,TCO降低可达30%;三是最全面的威胁防护,采用了云和沙箱的防御和保护机制,达到应用层全威胁防御和万兆的流量监控;四的是通过重新设计的硬件和采用先进的专用处理器,为用户提供最高性能体验。
宏碁董事长:超级本
