华为下一代防火墙:精准防卫,抵御恶意攻击

 

如今,基于Web的攻击在飞速增长。而且APT这类新的攻击形式,使攻击手段变得更加隐蔽多样。攻击的数量和频率也明显增加。统计显示,2013年DDoS攻击次数较去年同期增长了29.81%、超过72.91%的攻击流量大于1Gbps、HTTP应用性攻击占 87.74%;最长攻击持续了349小时36分钟42秒。面对如此频繁的攻击,传统防护方法倍感压力。

在当今这个互联网时代里,移动互联网、云计算、大数据……各类新型技术层出不穷,企业希望借助这些技术加速其业务发展,但也担心因此引发的安全问题会给公司发展带来损失。

现今,许多企业里的业务应用都是基于Web开发的,笔者公司的办公系统就是几年前所开发的Web版,这大大增加了应用识别的安全管控难度,移动办公更使得固定IP安全管控模式失效。面对当今种类繁多的恶意攻击,企业需要部署各类安全产品进行防护,而这也对安全使用者提出了更高的要求。在安全专业人员缺乏的今天,企业所部署的安全产品其实往往都无法发挥出全部的功用。另外,传统安全设备往往只能防范单一类型攻击,无法实现有效的联动,容易被恶意攻击者发现安全空隙。

在终端方面,BYOD的盛行,使得企业机密数据与员工个人数据混淆,带来数据泄漏的隐患。各类私人终端的接入,使安全管理更加复杂。移动化的趋势另网络边界日益模糊,移动终端逐渐成为发起攻击的突破口与跳板。相信随着4G网络的成熟,从移动互联网发起的攻击将快速增多。身份认证问题、数据安全问题、移动操作系统安全问题、移动恶意软件问题……这些都将成为未来企业在终端方面面临的安全风险。

传输通道同样存在着让人不安的隐患,传输途径多样化、丰富的移动应用既带来企业运营效率提升,同时也增加了威胁入侵的渠道。在云计算加快落地的今天,云端数据的安全问题依然让人担心。

安全企业针对这些新的挑战,纷纷推出了即具有传统防火墙功能,还具备应用感知能力,并使用基于应用安全策略的下一代防火墙(NGFW, Next Generation Firewall)产品。华为USG6000系列下一代防火墙就是其中的佼佼者。USG6000能够基于应用、用户、时间、内容、威胁、位置6个维度对网络流量进行管控,准确识别超过6000种网络应用——这一数量为业界最多。此外,USG6000不仅能识别出应用,更能对应用的不同功能进行区分,比其他厂商识别的更细。比如对于微信可以区分文字聊天和语音;对网盘类应用能够区分出上传和下载。值得一提的是,华为拓展了正则语法,开发出PCREX语言作为应用特征的描述语言,让应用特征变成可以运行在华为智能感知引擎上的一段代码。通过报文分片重组、协议去干扰、统计识别、行为识别等综合手段,准确的识别各类复杂应用。这极大提高了识别应用的精准度,能够更高效的发现恶意应用。

面对繁杂的网络和严峻的安全态势,NGFW需要配置严格的策略以遵循最小授权原则,并定期进行调整,但仅仅依靠人工这个工作就过于繁重了。华为USG6000具有独创的Smart Policy技术,采用人工智能的手段帮助安全人员维护安全策略:能够基于使用场景提供基础模板,实现策略快速部署;还能根据网络流量环境给出建议安全策略,帮助安全人员准确、快速完成策略优化。特别的,Smart Policy能够识别冗余和失效的策略,帮助安全人员有效控制策略规模,简化管理。在安全专业人员短缺的今天,通过华为NGFW让安全管理员无需过多的技能和时间就能做好管理,同时实现精准的安全防御。

今年3月24日,华为将在南京召开中国区合作伙伴大会,相信与会嘉宾将会再次领略华为下一代防火墙的强大威力。