企業(yè)需要更加智能的方式去進(jìn)行威脅檢測(cè),在不影響企業(yè)正常業(yè)務(wù)的同時(shí),能主動(dòng)感知環(huán)境和威脅,從而針對(duì)性地進(jìn)行防御,并且能夠進(jìn)行實(shí)時(shí)性的動(dòng)態(tài)調(diào)整、優(yōu)化。那么,NGFW如何具有一個(gè)智能的大腦去實(shí)現(xiàn)這種主動(dòng)防御,就是防火墻開發(fā)者要思考的問題了。
華為NGFW:基于主動(dòng)感知的威脅防御技術(shù)華為不僅實(shí)現(xiàn)了防火墻和IPS的深度集成,將病毒防護(hù)(AV,Anti-Virus)和內(nèi)容過濾功能也深度集成到了NGFW中。應(yīng)用特征、IPS特征、AV特征采用同樣的PCREX語言進(jìn)行描述,實(shí)現(xiàn)了三位一體的防護(hù)。同時(shí),華為NGFW還實(shí)現(xiàn)了真正意義上的主動(dòng)防御,這主要表現(xiàn)在兩點(diǎn)上:
對(duì)現(xiàn)網(wǎng)應(yīng)用進(jìn)行模擬漏洞掃描:
華為NGFW首先會(huì)學(xué)習(xí)現(xiàn)網(wǎng)的應(yīng)用,同時(shí)針對(duì)性地開啟應(yīng)用漏洞掃描器,再根據(jù)掃描結(jié)果,進(jìn)行主動(dòng)的防御部署,這種方式不僅全面防御攻擊入侵行為,也可以最大程度保障企業(yè)業(yè)務(wù)不受影響;模擬入侵,反向生成行為白名單策略:
華為NGFW可以通過在一定程度上模擬黑客的一些行為,例如對(duì)用戶名或密碼進(jìn)行字符長度探測(cè),了解產(chǎn)生溢出的邊界長度,從而反向生成合法長度范圍之內(nèi)的行為白名單策略,將真正的非法入侵行為更加準(zhǔn)確地阻擋在防火墻之外。當(dāng)然,這種模擬入侵只是一種“藍(lán)軍模式”,所以對(duì)尺寸設(shè)定了有效的把握,不會(huì)為企業(yè)實(shí)際業(yè)務(wù)帶來絲毫的損失和破壞。
此外,華為利用業(yè)界最全的沙箱——PE沙箱、Web沙箱、手機(jī)沙箱,建立安全信譽(yù)體系。網(wǎng)關(guān)受益于安全信譽(yù),能夠及時(shí)發(fā)現(xiàn)利用零日漏洞發(fā)起的攻擊。
挑戰(zhàn)三:傳統(tǒng)策略部署方式,增加大量管理成本
NGFW的防御從網(wǎng)絡(luò)層上升到了應(yīng)用層,但面向數(shù)以千計(jì)的應(yīng)用和數(shù)以萬計(jì)的用戶進(jìn)行策略部署的時(shí)候,如果還沿用傳統(tǒng)的被動(dòng)部署方式,那部署難度將會(huì)非常高。
首先,對(duì)于身份權(quán)限的檢測(cè),隨著企業(yè)人員的增減、權(quán)限變更,在一定時(shí)間之后,防火墻將會(huì)因?yàn)榇罅恐貜?fù)、無效的策略變得笨重、低效。一個(gè)中型企業(yè)防火墻策略通常都在3000~5000條左右,一般每季度或每半年都會(huì)進(jìn)行一次策略可用性的巡檢,可想而知,對(duì)于IT管理員來說,如果是人工去做將會(huì)是多大的災(zāi)難。
同時(shí),面向數(shù)以千計(jì)的應(yīng)用,如果每次配置的時(shí)候,IT管理員都要被動(dòng)地去學(xué)習(xí)現(xiàn)網(wǎng)應(yīng)用類型、掌握應(yīng)用風(fēng)險(xiǎn)才能部署策略的話,IT管理員需要先向應(yīng)用開發(fā)者了解應(yīng)用及特征,甚至要通過抓包了解應(yīng)用的有效性(還有多少人在用?哪些人在用?),最后IT管理員還要通過學(xué)習(xí)知識(shí),掌握該應(yīng)用的風(fēng)險(xiǎn)等等,那么整個(gè)防火墻的部署過程將會(huì)長達(dá)數(shù)周,甚至數(shù)月。
面對(duì)日益惡劣的安全環(huán)境,企業(yè)在遵循最小授權(quán)原則的同時(shí),需要引入更加主動(dòng)、更加敏捷的管理方式,才能保證安全。
如何有效地做到這一點(diǎn),對(duì)NGFW的管理和使用提出了新的挑戰(zhàn)。
華為NGFW:敏捷的管理,讓企業(yè)輕松部署攻擊無孔不入,企業(yè)在遵循“最小授權(quán)原則”的同時(shí),需要更加主動(dòng)和持續(xù)的方式調(diào)整安全策略,確保合法的訪問通道不會(huì)被攻擊所利用。遺憾的是,在企業(yè)對(duì)NGFW的實(shí)際使用中很難做到這一點(diǎn)。通過客戶調(diào)研和第三方分析,華為發(fā)現(xiàn)CIO在管理上對(duì)防火墻最大的3個(gè)關(guān)注點(diǎn)。
· 安全策略如何實(shí)施?
· 基于應(yīng)用的訪問策略是否正確?
· 如何優(yōu)化防火墻策略級(jí)?
企業(yè)的傳統(tǒng)網(wǎng)關(guān)上遺留了大量的基于端口的防護(hù)策略,需要將這些策略優(yōu)化為基于應(yīng)用的防護(hù)策略。市場(chǎng)上的一些NGFW產(chǎn)品,僅提供有限的報(bào)表作為策略優(yōu)化的參考,優(yōu)化工作還是依賴于安全專家的經(jīng)驗(yàn)和投入。盡管優(yōu)化和策略的有效性驗(yàn)證耗費(fèi)了巨大的時(shí)間和人力,策略的準(zhǔn)確性還是難以保證。因此,很多企業(yè)即使采購了NGFW產(chǎn)品,依然部署著原有基于端口的策略,這無疑隱藏著巨大的風(fēng)險(xiǎn)。
華為NGFW的Smart Policy技術(shù),采用人工智能手段幫助安全人員維護(hù)安全策略。基于使用場(chǎng)景提供基礎(chǔ)模板,實(shí)現(xiàn)策略快速部署;能根據(jù)網(wǎng)絡(luò)流量環(huán)境給出建議的安全策略,幫助安全人員準(zhǔn)確、快速地完成策略優(yōu)化;識(shí)別出冗余和失效的策略,幫助安全人員精減無效策略,簡化管理。通過華為的Smart Policy技術(shù),安全管理員無需過多的技能和時(shí)間就能做好管理,降低了安全設(shè)備的TCO。
華為的NGFW產(chǎn)品解決了ICT新形勢(shì)下企業(yè)網(wǎng)絡(luò)安全對(duì)訪問控制、威脅防護(hù)、可管理性的新訴求。建立了一個(gè)安全、友好、可靠的威脅防御體系,成為企業(yè)網(wǎng)絡(luò)新時(shí)代的安全守護(hù)神。
