华为推出下一代防火墙,目标锁定大中型企业。
华为推出下一代防火墙(NGFW)并非最早,但其对该市场的理解很清楚,对产品的定位很清楚。
下一代防火墙面临挑战
下一代防火墙概念,最早于2009年由Gartner提出,其定义的四项基本功能为:具备NAT、VPN等基本防火墙功能;具备应用识别能力;与IPS深度的集成,而不是简单的功能叠加;提供智能联动和智能分析等辅助功能。另外,下一代防火墙在设计之初主要定义的应用场景是大中型企业网络出口。
但基于此标准衡量,市场中的下一代防火墙似乎良莠不齐,形形色色的十余种产品在性能和功能上存在诸多差异。这是因为各安全厂商的出身背景不同,技术积累基础不同,对下一代防火墙的市场定位不同——究竟是替代传统UTM市场,还是更新换代大型企业的传统防火墙,不同厂商有不同的想法。正因如此,一些基础功能似乎被“有意或无意”地忽略了,这也就形成了NGFW面临的诸多挑战:
挑战一,应用管控是否精细。传统安全厂商往往是在其上一代防火墙的基础上,升级推出下一代防火墙,其最大的问题是只加入了有限的应用识别,在移动互联、云计算、社交网络等方面的应用识别一直存在短板。在此方面,反而是几家上网行为设备出身的厂商表现得比较出色。
挑战二,性能是否足够。全面防护能力成为下一代防火墙的刚性需求,而处理性能可能因此出现瓶颈,一旦如此,NGFW就可能沦为下一个UTM。在此方面,传统防火墙厂商有不错的解决途径,但上网行为厂商一直没有很好地解决该问题。
 |
|
>>华为企业网络产品线品牌部部长武鹏:华为NGFW可提供6000多种应用识别,高出国外产品20%以上,是国内产品的3~5倍。 |
挑战三,管理配置是否简单。由于传统防火墙基于五元组的访问控制机制,无法对各种复杂的网络应用进行管理。下一代防火墙在大量增加了管控维度后,需要对数千条应用进行配置,管理配置复杂度也成倍提升。面对着数以千计的应用选择,哪些应用应该打开,哪些不应该打开,一系列问题让用户无所适从。
挑战四,是否可辨识未知威胁。近5年,APT攻击持续扩大和强化,而且攻击行为越来越隐蔽,50%的攻击是有组织的团队行为。防火墙作为网络出口的防护产品,需要对新型威胁,甚至是未知威胁作出防护。
华为NGFW面向大型用户
正是看到了以上四方面的挑战,华为对NGFW 进行了自己的定义。
首先,在管控精细方面,匹配IT的移动化、虚拟化、社交化等方面的发展趋势,华为NGFW可提供更细粒度的管控。同时,除感知应用、用户和内容外,还可感知位置、风险、设备等信息。华为企业网络产品线品牌部部长武鹏表示,目前,华为NGFW提供ACTUAL(App、Cantent、Time、User、Attack、Location)管控机制,从六个维度进行管控。“同时,产品可提供6000多种应用识别,高出国外产品20%以上,是国内产品的3~5倍。”
其次,智能管理。随着配置维度复杂化的增加,管理变为NGFW的瓶颈之一,华为希望在NGFW中提供新管控方式下的策略建议,提供安全风险的智能分析和处理建议。华为NGFW通过应用类型、传输方式、应用分析三个维度描述应用,快速准确定位应用,将6000余种应用分为5大类、33个子类,基于应用子类提供部署模板,实现产品快速部署。同时,华为NGFW通过流量分析,生成调优建议,通过应用风险评估,生成防护动作建议。
第三,全面防护。华为认为,NGFW不仅要识别应用,还要识别应用威胁,具备未知威胁和APT的防御机制。
第四,高性能体验。华为认为,NGFW的基础性能是防火墙+应用识别。考量下一代防火墙性能一定是以应用为基础,而不再是所谓的大包吞吐量、小包吞吐量。在开启全部威胁防护时,性能下降不应高于50%。
