Web2.0应用的盛行标志着下一代网络的到来,攻击对象由网络和系统底层向上迁移至应用层,传统的安全网关产品已无法进行有力防护。下一代防火墙 (NGFW)产品成为几乎所有安全厂商都在关注的热点。从各家厂商发布的NGFW产品及诠释看,“凑热闹”者居多。毕竟NGFW产品在实际使用中对应用识别的数量、细粒化,以及IPS检出都有很高的要求,想做好并不容易。
细粒度的应用识别和管控手段
虽然华为不是第一个推出NGFW的安全厂商,但是产品一经发布,几倍于业界水平的“6000+应用识别”便引起了轰动,也曾有不少厂商向笔者求证是否属实。近期,《网络世界》评测实验室对四款优异的NGFW产品进行了公开比较测试,作为华为USG6000系列NGFW产品之一,USG6650下一代防火墙综合表现十分抢眼。尤其是对于应用识别的精细程度,让我们第一次切实体会到6000+应用识别的“力量”。华为NGFW营销经理陈科用四个字概括了其卓越的管控能力:多、精、快、准。
在比较测试中,我们用实际流量测试了华为NGFW产品对于应用识别和控制的能力。包括P2P下载、文件传输、即时通信(包含VoIP) 三类常用的应用类别。经测试,在允许登录的情况下,USG6650能够对QQ的文件传输、语音、视频进行单独的控制,也能分别控制Skype的语音、视频和文字。在对Google Talk的测试中,USG6650成功阻断了即时通信功能而保持Email功能的正常工作,展现了细粒度的应用识别和控制能力。
从测试结果看,华为宣称的6000+应用识别所言非虚。针对业界对华为应用识别能力的质疑,陈科进行了回应:“华为的应用识别类产品在运营商领域已经有10年的历史,市场占有率3年前就已经达到了国内第一。运营商网络中的应用种类和数量远远多于企业内网,也更复杂。华为的6000+应用识别源于在运营商网络的多年积累和巨大投入。”
Smart Policy 让安全更简单
随着功能的增加,安全设备的管理变得更加复杂。前期陈科曾表示,华为依托自主创新能力,实现了独家智能策略优化Smart Policy技术,使其具备业界最简单的安全管理能力。经过比较测评,我们发现,被测设备均具有统计策略命中的功能,只有华为USG6650通过智能策略优化功能帮助用户在防火墙的指引下进行策略精简。” 这不仅在参测设备中独树一帜,在业界也是独家的。本次访谈中,我们特别针对该项技术展开了详细沟通。
陈科表示:Smart Policy技术产生的灵感来自于华为IT自身上万条的防火墙策略管理经验。它解决了安全策略管理的三个核心问题。即:如何快速部署安全策略?部署的策略是否有效,如何调整?如何清理低效和无用的策略,控制策略规模?
通过多次调研和统计,华为总结了企业常见的安全防护场景,预定义了一系列安全策略模板。例如,“网盘访问防护”策略模板将允许从网盘上下载文件并进行AV处理,但禁止将企业的文件上传到网盘上。管理员只需要知道:“我需要控制什么?我部署在哪里?”,就能快速生成安全策略,既享受了知识共享的便利,又避免了关键信息泄露。当管理员部署了 NGFW 并做好了初步的策略配置后,就有了原始的策略,经过一段时间的实际运行,Smart Policy 会收集网络流量的统计数据,结合原始策略做分析,然后分别基于应用进行优化。
有经验的安全人员都知道,企业防火墙的策略变更是非常频繁的,时间一长,会积累大量的策略“碎片”,有些策略与其他策略作用重复,有些策略已经不再有用了。但是由于担心影响业务,安全人员不敢随意删除、维护,导致规模越大越难管理。USG6000系列通过冗余分析、策略命中率统计,帮助安全人员找出冗余和长期不使用的策略,有效精简了策略规模。
基于安全策略产生、调整、删除三个过程的智能化、自动化,Smart Policy技术实现了对整个安全策略生命周期的管理优化,将USG6000系列打造成为使用最简单的下一代防火墙。
强悍的防护,优异的性能
安全防护能力是NGFW产品最重要的指标之一。在本报下一代防火墙比较测试中, USG6650的入侵防御表现最为出色,对最常出现的183种攻击样本,能够有效阻断181个(如表所示)。即使采用了几种常用攻击逃逸手段,检出率依然不受影响,为被测产品之最。
来源:《网络世界》评测实验室
表:入侵防御与带逃逸手段的入侵防御能力检测结果
华为NGFW的性能同样优异。本报的比较测试选择了NGFW最有可能部署到的3个场景,分别模拟高校、企业、企业数据中心的混合流量。USG6650表现优异,三个场景中的吞吐量相差无几,在高校和企业数据中心的“真实场景”下排名第一,吞吐量高于第二名近30%,新建能力是第二名的2.5倍,“真实环境”下性能最高。综合来看,华为USG6650NGFW在全威胁防护开启的情况下,性能衰减小于40%,表现出了最为卓越的防护性能。“高性能的奥秘是采用了一体化处理的架构设计”,陈科介绍道。华为NGFW引擎将应用识别作为所有安全防护的基础,后续的安全业务都是并行处理的。并且使用专有硬件处理那些对性能消耗较大的操作(如特征匹配、内容解析)。所以即使开启全部功能,华为NGFW的性能衰减也不大。
来源:《网络世界》评测实验室
USG6000系列:面向未来,掌控下一代网络安全
评测中发现华为USG6650相比其他产品具备更多功能。除了NGFW常规的防火墙及IPS功能外,还具备AV、内容过滤、邮件过滤、Web过滤、Anti-DDoS等多项企业必备的安全功能。此外,USG6650最多能扩展到14个万兆接口和64个千兆接口,远超出其他厂商。
12月中旬, Forrester Research发布了最新的报告《Security Network Segmentation Gateways Q4, 2013》,详细介绍了“网络隔离网关”的概念,指出NGFW只是“隔离网关”不断进化中的一个临时形态,并对比评估了15个知名厂商的安全产品。作为报告中的唯一中国厂商,华为USG6650与“网络隔离网关”的匹配度超过95%,优于多数竞争者。
陈科介绍道:“USG6000系列在规划之初就考虑了客户业务的发展和业界新趋势,并不仅仅定位为符合Gartner标准的下一代防火墙,同时也是面向未来、掌控下一代网络安全的利器。它即能适应现在的安全需求,也能作为“零信任”网络的安全核心平滑地过渡到未来。”
趁势而来 华为NGFW快速超车
随着厂商和媒体对用户的教育程度不断加深,NGFW正在逐渐被市场和用户接受,设备替换已经是进行式。同时,随着中国企业信息化普及的加快和加深,斯诺登事件的持续酝酿和国家安全委员会的成立,信息安全正式上升到了国家层面,一场自上而下的信息安全浪潮也在酝酿之中。
种种迹象都表明网络安全市场将迎来新一轮爆发增长。华为自然也看到了这个趋势,发布了USG6000全系列产品,包括性能从1G到40G的13款不同型号,其中面向低端市场的USG6300系列,应用层性能由1G到8G,面向中高端用户的USG6600系列,应用层性能从12G到40G。
全民信息化的浪潮已经来临,而安全作为业务运营的重要保障就势必要与信息化建设紧密结合起来。作为ICT领导者的华为,将会在此行业大有作为,企业网市场也势必会成为华为业务的新增长点。华为凭借广泛的产品线,在基础网络建设中无缝整合安全产品,正是提供给用户了基础到上层的一体化网络安全解决方案。
从产品自身来讲,华为NGFW已成为对抗新兴威胁的利器,6000+应用的深度识别,僵尸网络发现、APT预警,以及强大的研发和创新实力,让华为NGFW产品在发布之初就引起了行业内的强烈反响。目前NGFW产品质量良莠不齐,不同于传统防火墙,NGFW对于软硬件研发、创新、知识库积累等各方面都有极高要求,因此在未来几年内,NGFW市场势必将会迎来洗牌期。而这都是华为所擅长的。
结束语
近四年来,网络环境的转变与科技创新的浪潮一同催生出了华为日臻完善的NGFW。可以肯定的是,今后企业将用网络来运行越来越多的业务,更多的应用将不断涌现。它们提升着整个社会的生产效率,同时也承载着更多、更强的威胁。NGFW并不是凭空而出的产品,更不会是防火墙的终极形态。未来,下一代防火墙还会有“下一代”,“下一代”也将无穷尽也。而在这条道路上,华为无时无刻不在创新、求索。
