2013年12月，業(yè)界頂尖咨詢機(jī)構(gòu)Forrester發(fā)布報(bào)告，提出”零信任網(wǎng)絡(luò)”的概念，并定義了新的安全產(chǎn)品類別“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”。Forrester羅列了21項(xiàng)標(biāo)準(zhǔn)來定義“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”，并對業(yè)界15家主流廠商的產(chǎn)品進(jìn)行了評估。其中，華為作為唯一被提到的中國廠商，憑借USG6000下一代防火墻產(chǎn)品，滿足20項(xiàng)標(biāo)準(zhǔn)定義，功能覆蓋度排名TOP3。

時(shí)代在變化，安全需要演進(jìn)

自2000年以來，企業(yè)的ICT環(huán)境發(fā)生了巨大的變化，在BYOD、社交網(wǎng)絡(luò)、云計(jì)算等新技術(shù)讓企業(yè)業(yè)務(wù)更自由、更高效，更便捷的同時(shí)，也帶來了邊界愈發(fā)模糊、身份魚龍混雜、數(shù)據(jù)泄露等新的安全挑戰(zhàn)。這對對安全設(shè)備的防護(hù)能力提出了更高的要求。

傳統(tǒng)的安全架構(gòu)通常是零散的、亡羊補(bǔ)牢式的，在防護(hù)效果、可管理性和降低TCO等各方面都無法滿足當(dāng)前的安全需要。2013年12月，業(yè)界頂尖的咨詢機(jī)構(gòu)Forrester Research發(fā)布了《Security Network Segmentation Gateways Q4, 2013》安全報(bào)告，針對傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的不足，提出了“零信任網(wǎng)絡(luò)”的概念。在報(bào)告中，F(xiàn)orrester定義了一個(gè)新的安全產(chǎn)品類別——“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”(Network Segmentation Gateways)，作為零信任網(wǎng)絡(luò)的安全核心，并羅列了21項(xiàng)標(biāo)準(zhǔn)，對15個(gè)業(yè)界主流廠家的產(chǎn)品進(jìn)行評估。

Forrester的“零信任網(wǎng)絡(luò)”和“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”

Forrester認(rèn)為，當(dāng)前以數(shù)據(jù)為中心的世界，威脅不僅僅來自于外部，需要采用 “零信任”模型構(gòu)建安全的網(wǎng)絡(luò)。在“零信任”網(wǎng)絡(luò)中，不再有可信的設(shè)備、接口和用戶，所有的流量都是不可信任的?，F(xiàn)實(shí)中也確實(shí)如此，技術(shù)高超的APT攻擊者總有辦法進(jìn)入企業(yè)網(wǎng)絡(luò)，企業(yè)的內(nèi)部員工有意、無意地也會(huì)對信息安全造成損害。來自任何區(qū)域、設(shè)備和員工的訪問都可能造成安全危害。因此“零信任”是當(dāng)前網(wǎng)絡(luò)對安全的最新要求，必須進(jìn)行嚴(yán)格的訪問控制和安全檢測。通過“零信任”網(wǎng)絡(luò)，網(wǎng)絡(luò)和安全專家可以用多個(gè)并行的交換核心構(gòu)建網(wǎng)絡(luò)，安全地實(shí)現(xiàn)網(wǎng)絡(luò)分段，實(shí)現(xiàn)安全防護(hù)，達(dá)到合規(guī)標(biāo)準(zhǔn)，并能集中地管理網(wǎng)絡(luò)。

在“零信任網(wǎng)絡(luò)”中，“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”位于網(wǎng)絡(luò)的中心。這種新的安全設(shè)備類型，集成了當(dāng)前絕大部分獨(dú)立安全設(shè)備的能力，包括防火墻、IPS、內(nèi)容過濾、反病毒、Web安全和VPN等。現(xiàn)階段，NGFW暫時(shí)扮演了“網(wǎng)絡(luò)隔離網(wǎng)關(guān)’的角色，但兩者并不相同。

圖1 網(wǎng)絡(luò)隔離網(wǎng)關(guān)

Forrester認(rèn)為，“網(wǎng)絡(luò)隔離網(wǎng)關(guān)比NGFW需要的更多”。這不僅僅在于它需要比NGFW集成更多的功能，還在于“零信任”模型中，網(wǎng)絡(luò)隔離網(wǎng)關(guān)位于網(wǎng)絡(luò)的中心，更靠近數(shù)據(jù)的位置。需要處理所有的網(wǎng)絡(luò)流量，因此需要更強(qiáng)的性能和更多的萬兆接口。部署“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”的根本目的，是根據(jù)數(shù)據(jù)的類型和敏感性來隔離網(wǎng)絡(luò)。使用“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”結(jié)合“零信任”模型，能構(gòu)造更可靠的網(wǎng)絡(luò)，保護(hù)關(guān)鍵數(shù)據(jù)并抵御現(xiàn)代威脅。使用“零信任”模型，“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”可以被看作是SDN(Software-Defined Networking，軟件定義網(wǎng)絡(luò))安全的核心，因此它必須支持SDN，并能夠被統(tǒng)一管理。

“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”解讀

Forrester從21項(xiàng)標(biāo)準(zhǔn)，來評估產(chǎn)品是否滿足“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”的要求。這些標(biāo)準(zhǔn)大致分為三個(gè)方面:

安全能力：防火墻特性、IPS特性、應(yīng)用感知、Active Directory集成、用戶感知、內(nèi)容過濾、行為監(jiān)控、遵從性報(bào)表、VPN 網(wǎng)關(guān)能力、DLP(數(shù)據(jù)防泄漏)、加密流量檢測、第三方測試、Anti-DDoS能力、高級的惡意軟件檢測;

管理能力：集中管理、基于Web的管理、自動(dòng)簽名升級、軟件虛擬機(jī)防火墻;

性能和接口：10G能力和接口、多接口、專有硬件。

安全能力多達(dá)14項(xiàng)。可見，全面完備的安全能力是“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”的基礎(chǔ)。其中，對DLP(數(shù)據(jù)防泄漏)和內(nèi)容過濾的要求是NGFW定義中沒有的，足見“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”對數(shù)據(jù)保護(hù)的重視。有4項(xiàng)標(biāo)準(zhǔn)是對可管理性的要求，如集中管理、虛擬化，這是為了適配未來SDN網(wǎng)絡(luò)的要求。剩余的3項(xiàng)標(biāo)準(zhǔn)用來衡量性能和接口豐富度，評價(jià)產(chǎn)品是否適合部署在網(wǎng)絡(luò)核心位置。

“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”對安全能力的訴求

在“零信任”模型中，所有的訪問流量都是不可信的，隔離網(wǎng)關(guān)要保證網(wǎng)絡(luò)必須滿足兩個(gè)層次的要求：

首先，保證訪問是合理合法的。最小授權(quán)原則始終是網(wǎng)絡(luò)安全的第一信條。無論訪問來自哪里，必須遵循最嚴(yán)格的控制策略，只有業(yè)務(wù)必需的訪問才被允許。這將大大縮減APT攻擊的通道，也防止了內(nèi)部人員有意、無意行為可能對安全的損害。移動(dòng)化和社交化的趨勢對管控粒度要求更加細(xì)致，隔離網(wǎng)關(guān)必須能夠基于應(yīng)用和用戶進(jìn)行訪問控制，對非法的訪問異常行為能夠及時(shí)發(fā)現(xiàn)。所有的訪問行為的日志應(yīng)被記錄下來，便于日后的行為審計(jì)。

其次，被訪問的數(shù)據(jù)是安全的。隔離網(wǎng)關(guān)要對合法的訪問流量進(jìn)行檢測，不僅僅包括基本的IPS和AV檢測，對數(shù)據(jù)的保護(hù)更是重中之重。必須通過內(nèi)容過濾和DLP的功能防止關(guān)鍵信息資產(chǎn)外泄。再次，保證訪問的通道是安全的。當(dāng)前，企業(yè)溝通、協(xié)作的強(qiáng)烈需求使網(wǎng)絡(luò)邊界變的模糊，合作單位、客戶和供應(yīng)商對網(wǎng)絡(luò)的訪問通常來自Internet。無論訪問來自哪里，隔離網(wǎng)關(guān)必須通過VPN加密數(shù)據(jù)，保障數(shù)據(jù)在整個(gè)傳輸過程中的安全。

“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”對管理和性能的訴求

傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全是由眾多分離設(shè)備來共同保障的。設(shè)備間的信息同步是一個(gè)嚴(yán)重的管理問題。例如：當(dāng)網(wǎng)絡(luò)中的某臺設(shè)備IP需要變更時(shí)，管理人員可能需要同步修改防火墻、IPS、AV、Anti-DDoS、DLP等眾多設(shè)備上的配置，這將是非常可怕的工作量。一旦配置修改不完全，出現(xiàn)設(shè)備間信息不一致的情況，整個(gè)網(wǎng)絡(luò)的安全防護(hù)效率就會(huì)大打折扣。當(dāng)網(wǎng)絡(luò)中增加了新安全防護(hù)需求，又要增加新的獨(dú)立設(shè)備，網(wǎng)絡(luò)會(huì)變得更加復(fù)雜，管理成本和操作成本滾雪球般地增加。

SDN是解決網(wǎng)絡(luò)管理復(fù)雜性，保證業(yè)務(wù)敏捷、靈活的良藥。“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”采用了類似的思路：集中管理、集成和虛擬化。網(wǎng)絡(luò)隔離網(wǎng)關(guān)將安全功能集成到一個(gè)設(shè)備上，各個(gè)安全防護(hù)功能間的共用信息(如IP、應(yīng)用、用戶)自然地保持了一致，通過統(tǒng)一調(diào)度安全功能對流量的處理，避免了獨(dú)立設(shè)備功能重疊所造成的額外時(shí)延。同時(shí)，極大簡化了網(wǎng)絡(luò)結(jié)構(gòu)，有效降低管理復(fù)雜性。通過Web的集中式管理將“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”資源池化，以統(tǒng)一的視圖管理所有的安全資源。

如上所述，“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”需要適配SDN網(wǎng)絡(luò)對安全的訴求。它被部署在網(wǎng)絡(luò)的核心層靠近數(shù)據(jù)的位置，自然要求密集的高速接口(當(dāng)前是萬兆接口)和強(qiáng)大的處理能力。為了保證性能，通常要求“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”采用一體化處理的軟件架構(gòu)和專用的業(yè)務(wù)處理硬件。

華為下一代防火墻USG6000：“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”的最佳選擇

在Forrester對“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”的21項(xiàng)評判標(biāo)準(zhǔn)中，華為USG6000系列下一代防火墻滿足其中20項(xiàng)評判標(biāo)準(zhǔn)，在參與評估的15家國際主流安全廠家中，能力匹配度排名TOP3。

在安全能力方面，USG6000不僅集成了Forrester報(bào)告中要求“網(wǎng)絡(luò)隔離網(wǎng)關(guān)”所具備的全部安全功能，并且在訪問控制的精細(xì)程度上做得更好：從6個(gè)維度感知網(wǎng)絡(luò)業(yè)務(wù)環(huán)境并進(jìn)行訪問控制，識別6000+以上的應(yīng)用，為業(yè)界最多;能夠區(qū)分應(yīng)用的不同功能，滿足用戶更精準(zhǔn)的控制需求(例如：區(qū)分微信的文字和語音，區(qū)分網(wǎng)盤類應(yīng)用的上傳和下載);依托華為遍布全球的安全中心，在云端采用沙箱技術(shù)，監(jiān)控可疑樣本的運(yùn)行，高效發(fā)現(xiàn)未知威脅，抵御APT攻擊。

在管理能力方面，USG6000支持基于Web的集中式管理和硬件虛擬防火墻。作為華為敏捷網(wǎng)絡(luò)中的重要組件，配合大數(shù)據(jù)分析技術(shù)進(jìn)行安全的智能聯(lián)動(dòng)和協(xié)同。值得一提的是，憑借獨(dú)家的“智能策略生成”技術(shù)，USG6000可以主動(dòng)分析網(wǎng)絡(luò)中的實(shí)際流量，遵循最小授權(quán)原則對已部署的安全策略提出優(yōu)化建議，解決了策略管理復(fù)雜性的問題。

在性能和接口方面，USG6000系列具備同級設(shè)備中最豐富的接口能力，并采用三種手段來保證設(shè)備的高性能：1，特征描述方面，采用華為自主研發(fā)的PCREX語言，來描述應(yīng)用、IPS和病毒等特征，在報(bào)文解析時(shí)使用統(tǒng)一的智能感知軟件引擎(IAE，Intelligence Awareness Engine)進(jìn)行特征匹配分析;2，軟件方面，采用一體化處理架構(gòu)，一次性識別應(yīng)用后共享信息，后續(xù)安全功能統(tǒng)一調(diào)度、并行處理;3，硬件方面，采用多核架構(gòu)，使用專有硬件對特定、重復(fù)的耗費(fèi)CPU性能的業(yè)務(wù)(如加解密、壓縮解壓縮和模式匹配等)進(jìn)行單獨(dú)處理，性能遠(yuǎn)高于采用串行處理機(jī)制的獨(dú)立安全設(shè)備或UTM設(shè)備。

USG6000系列下一代防火墻發(fā)布于2013年9月的HENC(Huawei Enterprise Network Congress)大會(huì)，面向園區(qū)和企業(yè)提供高性能、全方位的下一代安全防護(hù)能力。發(fā)布以來，成功突破歐洲多個(gè)行業(yè)，德國多特蒙德體育場，阿姆斯特丹地鐵，葡萄牙教育部等項(xiàng)目陸續(xù)簽單，并獲得西班牙最大集成商Indra青睞，中標(biāo)沙特高速鐵路項(xiàng)目;在中國，USG6000也憑借優(yōu)異的產(chǎn)品能力，迅速拿下深圳廣電，廣州電網(wǎng)，舞陽鋼鐵等多個(gè)行業(yè)項(xiàng)目。

更多USG6000產(chǎn)品信息，敬請?jiān)L問：

http://enterprise.huawei.com/topic/2013_Firewall/index.html