USG6000 高调亮相的华为下一代防火墙

PChome | 编辑: 蒋斌 2013-11-19 06:30:00原创

   

    【PChome电脑之家IT咨询】一、防火墙的发展历程

纵观防火墙的发展历史很是有趣,初期的防火墙是软件形态,采用包过滤技术,可以进行基本的访问控制。九十年代网络的兴起使得会话机制被引入,出现了基于状态检测的防火墙,而为了专门处理网络流量,又增加了专用芯片来提升防火墙的处理速度与性能,形成了基于ASIC的专业硬件防火墙。进入Web2.0时代, 安全防护需求越来越多,防火墙所拥有的功能也愈加多了起来,逐渐形成了UTM统一威胁管理类产品,以及通过采用专门多核芯片和分布式架构来大幅提升性能的防火墙产品。随着移动互联网时代的到来,传统防火墙管理机制开始无法胜任新的网络变化,基于应用+用户+内容作为管控基础的下一代防火墙逐渐涌现,而这也正是Gartner对Next Generation Firewall(NGFW)——下一代防火墙的定义。

二、传统防火墙面临的挑战

l         无法准确识别互联网应用

Check Point 2013年安全报告中称,目前企业边界存在许多安全风险,其中发生最频繁与最需要重视的安全风险重要是僵尸病毒、恶意软件、有潜在风险的Web2.0应用、数据泄露等。统计数据如下:

Ø         僵尸病毒、恶意软件:

ü         63%的企业感染了僵尸病毒

ü         50%以上的企业,每天感染一次新恶意软件

Ø         有潜在风险的Web2.0应用:

ü         91%的企业使用的应用存在潜在风险

Ø         数据泄露:

ü         文件共享软件占有风险软件的61%

而作为传统防火墙,对互联网应用的识别相当有限,同时,通过开启IPS功能来识别应用会严重影响传统防火墙的性能。

l         无法准确识别用户及访问地点

Ø         IT趋势带来的变化:

ü         办公移动化,可在任何地点接入企业网络

ü         用户的IP地址丌再固定

ü         安全网关需要更灵活的安全策略,基于用户、位置进行不同程度的保护。

而作为传统防火墙设备,没有办法去识别用户和位置。

l         安全和性能无法兼顾

Ø         边界安全:应用层防护成为刚需

ü         黑客产业化,攻击密度增加;

ü         大量“灰”色应用,应用丌能简单分为好坏;

ü         访问控制丌再足够,需要深度防护;

Ø         传统网关:性能、安全难以两全

ü         仅使用基本防火墙功能,有较高性能

ü         启用应用层防护(如IPSAV),性能下降明显

三、华为的下一代防火墙USG6000

华为下一代防火墙USG6000够进行细粒度管控、提供智能管理、实现全面防护,并具有高性能的体验。

 

l         细粒度控制

下一代防火墙要能做更细粒度的管控,匹配IT的移动化、虚拟化、社交化,除了感知应用、 用户和内容外,还应该感知位置、风险、设备等。华为下一代防火墙提供最细粒度的访问控制:ACTUAL管控。AAppCContentT TimeUUserAAttackLLocation,面对日益变化的IT环境ACTUAL环境感知能够提供全新访问控制视角,实现六维度的管控。华为下一代防火墙能够识别6000多种应用,是国内唯一识别应用威胁的厂家。拥有8500万多URL过滤,除按类别分类外,还专门提供恶意URL 库。其基于位置的访问策略,可以支持地区级的识别控制。还能对数十种文件的内容进行过滤,并支持对伪装文件的识别。

l         智能管理

随着配置维度的复杂化,管理会变为一个瓶颈。华为希望下一代防火墙能够提供最简单的管理控制,让使用者和管理者更简便的实现管控而不会产生太多的困惑,自动识别网络中的应用、风险和问题,给出合理的意见和建议。大型企业希望最终访问控制要精 确到每个应用,要精确找到网络里面应用的部署情况。华为对应用进行了多维、多级分类,能够快速准确定位应用,并基于应用子类进行快速部署。另外,华为下一代防火墙还能够进行策略主动优化:通过流量分析生成调优建议,通过对应用风险的监控生成防护动作建议。而且还能够实现对策略的冗余分析,极大节省用户的配 置时间,将企业TCO降低30%

l         全面的威胁防护

华为认为下一代防火墙不仅可以识别应用,还要识别应用威胁、识别风险、识别未知威胁,具 有防御APT的技巧和手段,告诉使用者存在哪些风险。华为下一代防火墙融合PE安全沙箱、手机安全沙箱、Web安全沙箱建立了沙箱模拟运行系统,由此对应 用提取特征数据、生成信誉数据,实现对未知威胁的快速发现。

l         高性能体验

下一代防火墙的基础性能是防火墙加上应用识别,在全威胁防护开启时,性能下降不应超过50%。华为重新设计了下一代防火墙的软件和硬件:高速的硬件平台和架构支撑,专门的DLP加速处理器,单次解析引擎提升软件性能,由此达到最大性能的优化。

内容安全检查会消耗50%以上的CPU资源,导致性能迅速下降。华为采用硬件加速的方法 将内容安全硬件化处理,保护了CPU资源,而弹性扩容设计可实现硬件处理能力的翻倍。华为设计的单次解析引擎实现一次性的解析和匹配,通过多模块并行处理 最优化CPU性能。而精确协议解码可以对威胁进行并行匹配,提供全面的安全体验。

四、      华为NGFW全家福

ü         USG6300/USG6600系列共计13款设备

ü         覆盖1G-40G应用层性能,20G全威胁防护性能

ü         接口最少8GE,最大扩展支持64GE+14*10GE

五、      华为NGFW——掌控下一代安全

华为下一代防火墙可环境感知,更可识别位置;可防护病毒,更可抵御未知威胁;可管理身份,更可管理应用;可优化策略,更可提供安全建议;强于心,简于身,基于云;全感知,全防护,全智能。华为下一代防火墙帮助用户重新掌控网络,看得更清,管得更细,用得更易。


 

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑