華為下一代防火墻鑄造深圳海事局信息安全長城
隨著國家信息化的不斷發展網絡正迅速融入社會生活的方方面面深刻地改變著人們的生活方式和行為模式互聯網的發展以及IT/CT技術的深度融合也讓國家政府機關的運作以及企業的運營模式發生了巨大改變利用信息和網絡新技術帶來的辦事效率提升政府和企事業機關面臨的安全形式也更加嚴峻
而相對于企業政府機關的網絡信息安全則影響更大和更深政府信息化代表著政府角色的轉變結構的重組流程的再造服務方式的改變在這一進程中以網絡為基礎的應用系統的建設成為政務信息化的主要表現電子政務門戶政務辦公自動化系統政務郵件系統電子財務系統等的建設提高了政府信息化的進程但同時也不可避免的由于政務信息化的發展和不斷深化對網上應用系統信息安全提出了更高要求并且由于當前智能手機iPad 等終端已經普及 移動應用程序Web2.0社交網絡應用于企業運營的方方面面企業網絡邊界變得模糊 信息安全問題日益復雜
作為國家重要的行政機關深圳海事局鑒于政府信息安全防范的重要性與華為合作加強深圳海事局海事內網和行政外網上的非涉密重要信息系統的信息安全保護體系建設通過部署華為下一代防火墻USG6000系列實現深圳海事局信息網絡的安全靈活便捷的一體化組網和接入解決方案
深度調研滿足客戶需求
經過多方面調查研究集合深圳海事局網絡特點華為根據防火墻USG6000系列產品提出全方位的解決方案滿足客戶對信息安全的各方面需求
因為海事局網絡每個節點上的防火墻各自所需要的特性都有所差異為內網提供防護為出口信息提供泄密防護為云中心提供攻擊防護以此實現保障海事局的網絡安全信息安全的目的因此所部屬防火墻需要實現內邊界防護互聯網出口防護云數據中心邊界防護三種場景安全防護
內網邊界防護主要對PC 用戶通過防火墻策略基于用戶信息進行訪問控制對移動用戶采用基于用戶+應用的策略控制實現精細權限管理并記錄日志對郵件IM文件傳輸等進行內容過濾和審計避免數據泄露互聯網出口防護用于出口進行訪問控制阻止一切非認證訪問提供萬兆級應用層威脅實時防護監控社交類應用避免數據泄露并且基于用戶應用時間優先保障核心用戶和關鍵業務的服務質量阻斷掛馬網站和工作無關網站根據角色監控員工訪問的網站和使用的網絡應用云數據中心邊界防護主要進行安全業務和系統資源的虛擬化特性可為每個虛擬環境提供超乎尋常的安全體驗萬兆級入侵防御可有效阻斷各類黑客攻擊提供差異化的防御特性保障數據安全通過 Anti-DDoS 特性對拒絕服務攻擊流量進行清洗 保障數據中心對外業務
想要在各個節點實現上述功能和安全防護需要充分發揮華為下一代防火墻USG6000系列下面幾個特性
精細的訪問控制
為了應對移動化虛擬化社交化除了價值應用用戶和內容外還應該感知位置風險和設備等隨著配置維度的復雜化管理會變為一個瓶頸
華為USG6000系列下一代防火墻提供獨特的ACTUAL管控機制通過六個維度進行管控A是AppC是ContentT是TimeU是UserA是AttackL是Location不僅可識別6000多種應用還可以識別應用中的威脅和攻擊位置提供細粒度的管控可實現對移動辦公云計算等新環境下網絡邊界的感知提供基于應用層用戶位置的精確訪問控制和動態威脅防御比如對于微信可以區分文字聊天和語音對網盤類應用能夠區分出上傳和下載
基于應用 運用多種技術手段準確識別包括移動應用及 Web 應用內的 6000+應用協議及應用的不同功能繼而進行訪問控制和業務加速例如 區分微信的語音和文字后采取不同的控制策略
基于用戶 通過 Radius LDAP AD 等 8 種用戶識別手段集成已有用戶認證系統簡化管理 基于用戶進行訪問控制 QoS 管理和深度防護
基于位置與全球位置信息結合識別流量發起的位置信息 掌控應用和攻擊發起的位置第一時間發現網絡異常情況 根據位置信息可以實現對不同區域訪問流量的差異化控制支持根據 IP 自定義位置
全面的防護范圍
當越來越多的信息連接到了互聯網上網絡攻擊和信息泄密給海事局的信息安全帶來嚴重威脅所以海事局防火墻的防護范圍提出了更高要求
華為認為下一代防火墻不僅可以識別應用還要識別應用威脅識別風險識別未知威脅具有防御APT的技巧和手段告訴使用者存在哪些風險華為下一代防火墻融合PE安全沙箱手機安全沙箱Web安全沙箱建立了沙箱模擬運行系統由此對應用提取特征數據生成信譽數據實現對未知威脅的快速發現
因此作為華為下一代防火墻的主要型號USG6000系列具備全方位防護性能其一機多能 集傳統防火墻 VPN入侵防御防病毒數據防泄漏帶寬管理上網行為管理等功能于一身 簡化部署提高管理效率可進行IPS(入侵防護)防護以及AV防病毒防護具有超過 5000 種漏洞特征的攻擊檢測和防御支持 Web 攻擊識別和防護如跨站腳本攻擊 SQL 注入攻擊等內置高性能病毒引擎可防護 500 萬種以上的病毒和木馬病毒特征庫每日更新
數據防泄露讓USG6000對你的數據進行保護對傳輸的文件和內容進行識別過濾 可識別 120+種常見文件類型防止通過修改后綴名的病毒攻擊 能對 Word Excel PPT PDF RAR 等 30+文件進行還原和內容過濾防止企業關鍵信息通過文件泄露而且加作為代理USG6000可對SSL 加密流量進行應用層安全防護可以識別加密流量并進行關鍵字等識別防止敏感數據通過加密的方式泄露出去如 IPS AV數據防泄漏URL 過濾等
USG6000具有豐富的VPN 特性 確保企業總部和分支間高可靠安全互聯基于應用靈活的管理流量帶寬的上限和下限可基于應用進行策略路由和 QoS標簽著色 支持對 URL 分類的 QoS 標簽著色多種安全多種安全業務的虛擬化包括防火墻入侵防御反病毒 VPN 等保證不同用戶可在同一臺物理設備上進行隔離的個性化管理
簡單的安全管理
下一代防火墻的防護范圍和控制精度比傳統防火墻大大增加這對使用者的經驗和技能提出了更高的要求
對于許多運維人員來說設置防火墻都是一件非常復雜的事情但是如果你體驗過華為USG6000防火墻一定會贊嘆它的便捷與智能USG6000防火墻通過SmartPolicy技術很好地解決了NGFW的管理難題通過對經過設備流量的自學習關聯設備內置的知識庫自勱生成安全策略用戶僅需簡單確認即可將轉換后的策略用于網絡轉換時間縮短3~5倍
和設置防火墻類似設置策略同樣是一件很麻煩的事情特別是如果管理的用戶很多則需要設置不同的組策略和個人策略這往往是一件勞心勞力又耽誤時間的事情有了USG6000防火墻它可以動態發現安全風險并自動生成應對的防護策略;同時對于已經失效冗余或過期的策略它也能實現智能取消并幫助管理員自動發現配置錯誤的策略
SmartPolicy 主要具備以下功能
快速部署策略內置場景策略模板不依賴使用者的經驗也能快速地部署常用防護策略例如如果希望使用網絡存儲管理員僅需基于使用網盤這個策略模板就能建立一系列策略在策略中對網盤類應用允許下載并進行病毒檢測但禁止文件上傳
智能優化策略 根據內置應用風險庫和網絡實際流量對已部署的安全策略進行評估和優化使其符合最小授權原則在企業遺留大量端口防護策略需要轉換為 NGFW 使用的應用防護策略時尤其有用
智能精簡策略 自動發現重復的和長期沒有使用的策略精簡策略規模簡化管理
三位一體的防護
華為USG6000防火墻在開啟所有安全功能時全面滿足大企業場景的使用需要在信息防護方面華為利用遍布全球的安全中心擁有豐富的可疑樣本來源不僅要識別應用還要識別應用威脅識別風險以及識別未知威脅要擁有APT的防御技巧和手段在云端采用沙箱技術在模擬環境中監控可疑樣本的運行行為高效發現未知威脅
USG6000系列下一代防火墻采用全新架構的智能感知引擎( IAE, Intelligence AwarenessEngine) 采用了一次解析多業務并行處理的架構 確保多重防御下的高性能體驗 IAE高性能體驗得益于三個核心技術第一所有應用識別 IPS AV特征采用統一的描述語言對網絡流量的解析只做一次解析的結果在后續的檢測中可以共用避免了重復解析的資源消耗第二不同于UTM中各個安全模塊的串行處理華為NGFW在應用識別后多項安全功能的處理是并行的每個步驟一次性做好 確保多安全業務開啟情況下對整體性能影響最小縮短了整體時延第三華為NGFW針對大流量大運算能力例如報文加解密特征匹配配備了專門的協處理器避免對防火墻訪問控制性能的影響也大幅提高了IPS等內容安全的性能對小規模的運算仍然用軟件處理軟硬結合一體化的處理方式讓整體性能更高
結語
現如今類似于深圳海事局這樣的政府機關系統向以移動寬帶大數據社交化和云服務為核心的下一代網絡演進移動APPWeb2.0社交網絡讓企業處于開放的網絡環境攻擊者通過身份仿冒網站掛馬惡意軟件僵尸網絡等多種方式進行網絡滲透政府部門面臨前所未有的安全風險傳統防火墻面對變革卻無能為力華為應用USG6000系列為深圳海事局附屬的下一代防火墻系統主要面向下一代網絡環境基于ACTUAL感知實現安全管理自我優化通過云技術識別未知威脅高性能地為深圳海事局此類政府客戶提供以應用層威脅防護為核心的下一代網絡安全
