【11月20日 PCHOME南京分站】还记得小学五年级的语文中的课文《冀中的地道战》吗?这篇课文从冀中地道战的出现原因、作用、地道的样式结构及特点等方面进行了介绍和说明,并对冀中地道战作了高度评价。其中在描述地道的内部结构时是这样说的:地道里每隔一段就有个很窄的“孑口”,只能容一个人爬过去。只要一个人拿一根木棒,就可以把“孑口”守住,真是“一夫当关,万夫莫开”。
我们都知道,企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。移动APP、Web2.0、社交网络让企业处于开放的网络环境,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业面临前所未有的安全风险,传统防火墙面对变革却无能为力。
咱们一起来看看传统安全网关设备到底有哪些不足?
1、无法准确识别互联网应用
由于互联网应用的普及和日益多样化,同一端口下会包含多种应用。例如:营销部门会利用社交网络进行营销活动,会使用网络存储交换资料,会在共享网站上下载自己需要的软件。这些软件可能都是基于web2.0技术开发的,使用相同的80端口。正常的网页流量也是通过80端口进行通信的。传统的安全网关基于IP和port进行访问控制。对于使用80端口的web2.0程序无法区分,全部放行到企业内网中。而这直接导致的结果63%的企业感染了僵尸病毒、50%以上的企业,每天感染一次新恶意软件;
2、无法准确识别用户及访问地点
移动设备被广泛使用,用户不再能被固定IP所标识。传统网关无法准确识别移动的用户,无法识别用户的接入位置,也就无法根据用户的接入身份和位置执行恰当的访问控制策略。在园区网中,用户的接入位置和所能访问的资料密切相关,对资源的权限受制于用户、以及用户登录地点。因此我们都希望在高安全区无线接入,用户可以访问核心业务和一般业务,但是受制访问internet;在一般的区域,移动用户可以自由访问普通业务和internet,但是受制访问高安全业务区;当用户在公司外部访问时,则用户可以自由访问internet,而被拒绝访问高安全区,同时受制访问一般区域;但遗憾的是,传统安全网关却无法做到这一点……
3、网络边界防护,安全和性能无法兼顾
随着黑客产业化,攻击密度增加、大量“灰”色应用,应用不能简单分为好坏,边界安全的应用层防护成为刚需——基于应用的访问控制已经是必然选择,同时还要进行深度防御(IPS、AV)。但传统网关一旦开启应用层的防护性能会急剧下降,甚至完全不可使用。只能在性能和安全性中做出选择,无法统筹兼顾。
那到底什么样的产品才能为我们所用呢?
华为Secospace USG6600系列下一代防火墙应需而生,面向当前如此复杂的网络环境,它基于"ACTUAL"感知,实现安全管理自我优化,通过云技术识别未知威胁,高性能地为企业提供以应用层威胁防护为核心的下一代网络安全。
在传统的网络中,基于IP和端口管理网络安全。而在新一代网络中,必须基于业务展现和管理网络安全。华为NGFW基于ACTUAL(Application,Content,Time,User,Attack,Location)感知体系通过6个维度将模糊的网络环境映射为实际的业务环境,准确描述是谁,在什么时间,什么地点,用什么应用,做了什么事,有什么结果。为用户提供真正面向业务的安全管理。
当前华为USG6600系列产品包括:USG6650/6660/6680三个型号产品,均为标准化设备,提供多个扩展槽,拥有极高的设备性能且支持多种IO模块选配。
华为USG6000系列下一代防火墙,凭借其最精准的访问控制、最简单的安全管理和最高的性能体验,真正做到了重新定义企业边界安全,正所谓“一夫当关,万夫莫开”!
网友评论