企业需要更加智能的方式去进行威胁检测,在不影响企业正常业务的同时,能主动感知环境和威胁,从而针对性地进行防御,并且能够进行实时性的动态调整、优化。那么,NGFW如何具有一个智能的大脑去实现这种主动防御,就是防火墙开发者要思考的问题了。
华为NGFW:基于主动感知的威胁防御技术华为不仅实现了防火墙和IPS的深度集成,将病毒防护(AV,Anti-Virus)和内容过滤功能也深度集成到了NGFW中。应用特征、IPS特征、AV特征采用同样的PCREX语言进行描述,实现了三位一体的防护。同时,华为NGFW还实现了真正意义上的主动防御,这主要表现在两点上:
对现网应用进行模拟漏洞扫描:
华为NGFW首先会学习现网的应用,同时针对性地开启应用漏洞扫描器,再根据扫描结果,进行主动的防御部署,这种方式不仅全面防御攻击入侵行为,也可以最大程度保障企业业务不受影响;模拟入侵,反向生成行为白名单策略:
华为NGFW可以通过在一定程度上模拟黑客的一些行为,例如对用户名或密码进行字符长度探测,了解产生溢出的边界长度,从而反向生成合法长度范围之内的行为白名单策略,将真正的非法入侵行为更加准确地阻挡在防火墙之外。当然,这种模拟入侵只是一种“蓝军模式”,所以对尺寸设定了有效的把握,不会为企业实际业务带来丝毫的损失和破坏。
此外,华为利用业界最全的沙箱——PE沙箱、Web沙箱、手机沙箱,建立安全信誉体系。网关受益于安全信誉,能够及时发现利用零日漏洞发起的攻击。
挑战三:传统策略部署方式,增加大量管理成本
NGFW的防御从网络层上升到了应用层,但面向数以千计的应用和数以万计的用户进行策略部署的时候,如果还沿用传统的被动部署方式,那部署难度将会非常高。
首先,对于身份权限的检测,随着企业人员的增减、权限变更,在一定时间之后,防火墙将会因为大量重复、无效的策略变得笨重、低效。一个中型企业防火墙策略通常都在3000~5000条左右,一般每季度或每半年都会进行一次策略可用性的巡检,可想而知,对于IT管理员来说,如果是人工去做将会是多大的灾难。
同时,面向数以千计的应用,如果每次配置的时候,IT管理员都要被动地去学习现网应用类型、掌握应用风险才能部署策略的话,IT管理员需要先向应用开发者了解应用及特征,甚至要通过抓包了解应用的有效性(还有多少人在用?哪些人在用?),最后IT管理员还要通过学习知识,掌握该应用的风险等等,那么整个防火墙的部署过程将会长达数周,甚至数月。
面对日益恶劣的安全环境,企业在遵循最小授权原则的同时,需要引入更加主动、更加敏捷的管理方式,才能保证安全。
如何有效地做到这一点,对NGFW的管理和使用提出了新的挑战。
华为NGFW:敏捷的管理,让企业轻松部署攻击无孔不入,企业在遵循“最小授权原则”的同时,需要更加主动和持续的方式调整安全策略,确保合法的访问通道不会被攻击所利用。遗憾的是,在企业对NGFW的实际使用中很难做到这一点。通过客户调研和第三方分析,华为发现CIO在管理上对防火墙最大的3个关注点。
· 安全策略如何实施?
· 基于应用的访问策略是否正确?
· 如何优化防火墙策略级?
企业的传统网关上遗留了大量的基于端口的防护策略,需要将这些策略优化为基于应用的防护策略。市场上的一些NGFW产品,仅提供有限的报表作为策略优化的参考,优化工作还是依赖于安全专家的经验和投入。尽管优化和策略的有效性验证耗费了巨大的时间和人力,策略的准确性还是难以保证。因此,很多企业即使采购了NGFW产品,依然部署着原有基于端口的策略,这无疑隐藏着巨大的风险。
华为NGFW的Smart Policy技术,采用人工智能手段帮助安全人员维护安全策略。基于使用场景提供基础模板,实现策略快速部署;能根据网络流量环境给出建议的安全策略,帮助安全人员准确、快速地完成策略优化;识别出冗余和失效的策略,帮助安全人员精减无效策略,简化管理。通过华为的Smart Policy技术,安全管理员无需过多的技能和时间就能做好管理,降低了安全设备的TCO。
华为的NGFW产品解决了ICT新形势下企业网络安全对访问控制、威胁防护、可管理性的新诉求。建立了一个安全、友好、可靠的威胁防御体系,成为企业网络新时代的安全守护神。
