您现在的位置:首页 >> IPv6新闻 >> IPv6国内动态 >> 内容

理解下一代安全:大数据和应用感知

时间:2013/10/14 9:08:01 点击:585

  核心提示:什么是下一代安全?这个话题,成为盘桓在2012年信息安全业界的一个重要内容。不过即使在过去的一年中来自不同厂商的下一代防火墙产品屡屡问世,对于下一代安全的定义依然很模糊。  这种对下一代安全的模糊认知,使得一些人认为下一代防火墙其实就是性能加强版的UTM产品。这种对下一代防火墙“盲人摸象”般的理解,...

  什么是下一代安全?这个话题,成为盘桓在2012年信息安全业界的一个重要内容。不过即使在过去的一年中来自不同厂商的下一代防火墙产品屡屡问世,对于下一代安全的定义依然很模糊。

  这种对下一代安全的模糊认知,使得一些人认为下一代防火墙其实就是性能加强版的UTM产品。这种对下一代防火墙“盲人摸象”般的理解,恐怕会让市场分析机构和厂商吐血。

  如同云计算的发展一样,任何理念都有一个从宏观构建到微观释疑的过程。经过了2012年一整年的探讨和博弈,2013年,对于下一代安全的定义有了更清晰的轮廓。越来越多的人认识到,下一代安全的核心,是由网关设备自身来抵御住未知的攻击,而这些就建立在对应用的全面感知以及对大数据时代下的快速应用处理之上。

  近期,华为正式对外发布下一代防火墙产品USG6000。尽管华为在下一代防火墙的发布时间上并不占先,但是在产品实质上,可以说华为确实更好理解了下一代安全的定义。

  下一代的传承与区隔

  下一代是一个意思很明确的词语,其可以给人以很鲜明的区隔感。无论是下一代安全、下一代防火墙,还是下一代互联网、下一代电视,理论上其应该包含两层涵义:一方面有传承,延续其名词定义;另一方面又能够确实地从本质上体现与“上一代”的迥异之处,来印证其定语“下一代”。

  Gartner对下一代防火墙的定义就体现了这样的传承和区隔感:标准的第一代防火墙能力、集成而非仅仅共处一个位置的网络入侵检测、应用感知和全栈可见性以及额外的防火墙智能。

  对于Gartner的这一定义,全球安全企业基本都持有认可的态度。在这种定义之下,业界出现了很多下一代防火墙产品,其中不乏一些在防火墙功能上增加应用行为管理、将应用控制与IPS结合的产品。这种将“上一代”功能改头换面的做法,理论上并不能够提高应用感知的精度和对未知威胁的防护水平,对于设备运行效率也没有很大改善,其实并非是真正的下一代防火墙。

  华为安全产品营销经理朱峰表示:“下一代防火墙要符合几点要求,首先应该具备NAT、VPN等防火墙的基本功能,以及应用识别能力。此外要与IPS深度集成,不能是简单的功能叠加。最后,还要提供诸如智能联动和智能分析的一些辅助功能。另外下一代防火墙在设计之初主要应用场景是大型企业的出口,中高端用户。”

  

  如何理解下一代

  信息安全形式的变化趋势如今已无需多言。很早以前,信息安全从业者就在研究,如何让安全防护产品实现主动防护,自行适应安全形势,而不是被动的依靠样本库更新以及既定规则定义。

  这一理想有望在下一代防火墙身上得以实现。

  在USG6000身上,华为主要做了四件事来实现其心中的下一代:

  首先,其采用了6维管控手段对超过6000种应用进行识别。在这个过程中,华为有100多位专职的协议分析专家进行特性维护和更新。另外,华为还采用脚本语言来描述应用协议,更新周期更短、灵活性更高;

  其次,USG6000采用主动流量学习和自动流量分析对日常应用进行分析。并根据学习结果自动提供基于应用的安全策略建议,提高安全策略部署准确性和效率。;

  第三,针对大型企业,USG6000提供万兆级全业务保护,并拥有防躲避防混淆功能,应对现在已经出现的高级逃逸技术;

  最后,华为基于云的未知威胁检测提供了全业务未知威胁特征动态更新。

  华为企业网络产品线安全产品领域总经理左文树认为,数据中心、智能终端、大带宽、大网络以及移动办公发展迅猛,这催生了大数据时代、大带宽时代、应用泛滥时代的到来。“在这样一个背景下,各个行业都在面临新的挑战:移动办公整个网络边界没有了,数据中心的云化、面向云和面向虚拟机的安全需求日趋迫切。这么多的应用和这么多的社交网络,给我们安全管控也会带来很大的挑战。”左文树表示,“面对这些挑战,华为安全也有我们自己的主张。目前, 华为安全解决方案覆盖了云数据中心安全、园区网和广域网安全、移动办公安全等各个层面,在安全产品设计和规划中已将各种应用场景考虑在内。”

  华为此次发布的USG6000系列下一代防火墙, 共有10余款, 覆盖1G-40G应用层性能,拥有20G全威胁防护性能,可满足不同规模企业的防护需求。

作者:IPv6edu.com 来源:计世网


相关文章
  • 没有相关文章
共有评论 0相关评论
发表我的评论
  • 大名:
  • 内容:

  • IPv6教育(www.ipv6edu.com) © 2017 版权所有 All Rights Reserved.
  • Email:master@ipv6edu.com 京ICP备09058832号
  • Powered by ipv6edu!