華為企業(yè)網絡產品線安全產品管理部 呂穎軒

　　下一代防火墻，即NGFW，已在硬件安全網關市場引起了一場“工業(yè)革命”。國內外主流安全網關廠商爭先恐后將自有產品升級到NGFW或推出全新的NGFW系列產品，NGFW已成為硬件安全市場最為閃耀的一顆新星。

　　雖然業(yè)界對NGFW對傳統(tǒng)安全網關的革命已經達成共識，但對于防火墻的3大基本功能（訪問控制、威脅防御、安全管理），各安全廠商的NGFW產品卻只是選擇性地強調部分功能，這種選擇性解決部分問題的方式，反而使得企業(yè)客戶對NGFW更加迷惑。

　　華為圍繞防火墻的3大基本功能，同時對NGFW的定義進行了擴展和增強，融合華為公司在安全領域的長期技術積累，打造出全新的NGFW產品，應對網絡安全的新挑戰(zhàn)。

　　挑戰(zhàn)一：環(huán)境的變化，增加了訪問控制的難度

　　移動化、社交化、云和大數據是當前ICT發(fā)展的4大趨勢。Facebook 2013年Q1財報顯示，Facebook月活躍用戶達11.1億人，也就是說全球有1/6人口在使用社交應用，其中移動終端占據7.51億，比去年同期增長54%。而根據Dimensional Research的調查結果，55%以上的受訪企業(yè)認為移動安全是當前首要的安全問題，其中71%的受訪企業(yè)認為移動設備增加了安全事件，47%的受訪企業(yè)有大量客戶數據存儲在移動設備上。

　　隨著企業(yè)數字化需求的增加，ICT業(yè)務日益增多，特別是SDN技術的成熟，網絡與策略的改變會頻繁發(fā)生。而NGFW作為企業(yè)網絡重要的安全守衛(wèi)，必須能夠適配網絡環(huán)境的不斷變化，才能盡忠職守，提供精確的安全防護。BYOD讓網絡邊界日漸模糊，企業(yè)環(huán)境更加開放，社交應用為信息的傳遞提供了更便捷的途徑，云和虛擬化正在改變企業(yè)的信息化使用方式。這一系列的變化僅僅依靠NGFW定義中的“應用+用戶”識別很難支撐。

　　怎樣才能主動感知環(huán)境，實現精準的策略部署，保障威脅無孔可入，將是NGFW的巨大挑戰(zhàn)。因為，防護的精準程度直接取決于感知的準確與否。如何主動感知移動終端類型，進行訪問控制？如何主動感知用戶，識別權限？如何主動感知應用及子應用的每一個風險？如何在虛擬機環(huán)境下，主動感知業(yè)務遷移從而進行策略遷移？這些都是NGFW在新的ICT環(huán)境和技術下需要考慮的問題。

　　華為NGFW，基于環(huán)境感知的精準控制訪問控制是NGFW的基礎能力，訪問控制應該更加精準。受益于超過10年的業(yè)務感知（Service Awareness）技術積累和不斷增加的研發(fā)投入，華為提供了業(yè)界最精細的訪問控制能力。

　　華為NGFW能夠基于應用、用戶、時間、內容、威脅、位置6個維度對網絡流量進行管控。在應用管控方面，能夠準確識別超過6000種網絡應用，數量業(yè)界最多。與其他廠商不同，華為NGFW不僅能識別出應用，更能對應用的不同功能進行區(qū)分。例如：對于Line應用，可以區(qū)分文字聊天和語音；對網盤類應用RapidShare，能夠區(qū)分出上傳和下載。

　　當前的應用為了避免被網關設備識別并控制，采用了很多躲避技術，例如：端口偽裝、亂序、隨機填充、加密等，如果僅僅依靠報文的特征碼很難準確識別。華為拓展了正則語法（PCRE，Perl Compatible Regular Expressions），開發(fā)出PCREX語言作為應用特征的描述語言，讓應用特征變成可以運行在華為智能感知引擎（IAE，Intelligence Awareness Engin）上的一段代碼。通過報文分片重組、協(xié)議去干擾、統(tǒng)計識別、行為識別等綜合手段，準確識別各類復雜應用。使用PCREX描述應用特征還帶來另一優(yōu)勢，更新應用識別能力無需升級防火墻軟件，不會中斷企業(yè)業(yè)務。這個特點使華為NGFW的識別能力更新速度遠超其他廠家。

　　華為的NGFW利用“多”、“細”、“準”、“快”的應用識別提供了最精細的訪問控制能力。

　　挑戰(zhàn)二：被動的威脅防御，讓企業(yè)左右為難

　　企業(yè)防火墻對于威脅的檢測，通常有兩類做法：

　　第一類：保守型。這類企業(yè)通常會開啟防火墻的全部檢測手段，通過采取這種“獅子撲兔”的方式，確實能帶給企業(yè)足夠的安全保障，但對于威脅較少的企業(yè)，這種“大炮打蚊子”的方式往往會影響企業(yè)的正常業(yè)務，例如會產生大量無關流量的誤報警，大幅降低防火墻的檢測效率。

　　這種方式往往會消耗企業(yè)IT管理人員的大量時間和精力，去處理無關的告警信息，帶來大量的多余管理成本開銷，同時還因為防火墻處理效率的降低，影響企業(yè)業(yè)務的體驗。

　　第二類：自信型。這類企業(yè)的IT管理員通常對內網安全狀況很自信，會根據自己的判斷，針對性地開啟部分檢測模塊，以保障效率，但這樣往往會讓攻擊者有空子可鉆。例如企業(yè)新上線某應用時，黑客往往可以利用策略未及時部署，進行入侵和攻擊。