华为USG6000下一代防火墙

 

 

　　自2000年以来，企业的ICT环境发生了巨大的变化，在BYOD、社交网络、云计算等新技术让企业业务更自由、更高效，更便捷的同时，也带来了边界愈发模糊、身份鱼龙混杂、数据泄露等新的安全挑战。这对对安全设备的防护能力提出了更高的要求。

 

　　传统的安全架构通常是零散的、亡羊补牢式的，在防护效果、可管理性和降低TCO等各方面都无法满足当前的安全需要。2013年12月，业界顶尖的咨询机构Forrester Research发布了《Security Network Segmentation Gateways Q4, 2013》安全报告，针对传统网络安全架构的不足，提出了“零信任网络”的概念。在报告中，Forrester定义了一个新的安全产品类别--“网络隔离网关”（Network Segmentation Gateways），作为零信任网络的安全核心，并罗列了21项标准，对15个业界主流厂家的产品进行评估。

 

 

　　Forrester认为，当前以数据为中心的世界，威胁不仅仅来自于外部，需要采用 “零信任”模型构建安全的网络。在“零信任”网络中，不再有可信的设备、接口和用户，所有的流量都是不可信任的。现实中也确实如此，技术高超的APT攻击者总有办法进入企业网络，企业的内部员工有意、无意地也会对信息安全造成损害。来自任何区域、设备和员工的访问都可能造成安全危害。因此“零信任”是当前网络对安全的最新要求，必须进行严格的访问控制和安全检测。通过“零信任”网络，网络和安全专家可以用多个并行的交换核心构建网络，安全地实现网络分段，实现安全防护，达到合规标准，并能集中地管理网络。

 

　　在“零信任网络”中，“网络隔离网关”位于网络的中心。这种新的安全设备类型，集成了当前绝大部分独立安全设备的能力，包括防火墙、IPS、内容过滤、反病毒、Web安全和VPN等。现阶段，NGFW暂时扮演了“网络隔离网关’的角色，但两者并不相同。

 

 

　　图1 网络隔离网关

 

　　Forrester认为，“网络隔离网关比NGFW需要的更多”。这不仅仅在于它需要比NGFW集成更多的功能，还在于“零信任”模型中，网络隔离网关位于网络的中心，更靠近数据的位置。需要处理所有的网络流量，因此需要更强的性能和更多的万兆接口。部署“网络隔离网关”的根本目的，是根据数据的类型和敏感性来隔离网络。使用“网络隔离网关”结合“零信任”模型，能构造更可靠的网络，保护关键数据并抵御现代威胁。使用“零信任”模型，“网络隔离网关”可以被看作是SDN（Software-Defined Networking，软件定义网络）安全的核心，因此它必须支持SDN，并能够被统一管理。

 

 

　　Forrester从21项标准，来评估产品是否满足“网络隔离网关”的要求。这些标准大致分为三个方面：

 

　　v安全能力：防火墙特性、IPS特性、应用感知、Active Directory集成、用户感知、内容过滤、行为监控、遵从性报表、VPN 网关能力、DLP（数据防泄漏）、加密流量检测、第三方测试、Anti-DDoS能力、高级的恶意软件检测；

 

　　v管理能力：集中管理、基于Web的管理、自动签名升级、软件虚拟机防火墙；

 

　　v性能和接口：10G能力和接口、多接口、专有硬件。

 

　　安全能力多达14项。可见，全面完备的安全能力是“网络隔离网关”的基础。其中，对DLP（数据防泄漏）和内容过滤的要求是NGFW定义中没有的，足见“网络隔离网关”对数据保护的重视。有4项标准是对可管理性的要求，如集中管理、虚拟化，这是为了适配未来SDN网络的要求。剩余的3项标准用来衡量性能和接口丰富度，评价产品是否适合部署在网络核心位置。