网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

【IT168行情】防火墙能做什么?很多兄弟们都在问，封端口?恭喜你，回答对了，这是防火墙最基础的功能，一般来说，我们完全部署的设备，被管理的端口数量一般在100个左右，一般的防火墙都是完全可以胜任的，再说，目前对于端口的运用是最为低级的。但是目前，我们很多防火墙的需求都是基于应用进行防护，需要管理的应用数量数以千计，管理复杂度呈数量级递增，很难制定出符合最小授权原则的策略。

　　防火墙管理的复杂性对管理员的技能提出更高要求。首先，为了基于应用对防火墙做管控，管理人员需要熟悉大量的应用，以便有针对性的对其实施管控和安全防护;其次，手工配置策略必然导致低效、易出错，进而导致大量冗余策略或低效策略，而管理人员却很难发现;再次，手工配置的策略适应性差，由于新的网络应用层出不穷，几个月前运转良好的策略可能不再胜任，此时，管理人员需要及时察觉到防火墙策略面临的问题并重新调整策略。

　　鉴于应用策略管理的种种挑战，迫切需要一种简单、高效、自适应的策略管理技术解决当前策略管理存在的问题，华为公司创新性地提出了智能管理技术，大大简化了策略管理的复杂度，将TCO降低30%。

　　智能管理是一种系统化的策略管理解决方案，其特点是：简单、高效和自适应，该方法由四大组件组成：智能学习引擎(engine)、智能策略发生器(generator)、智能策略分析器(analyzer)、策略快速部署组件。其中，“智能学习引擎”部件负责学习网络流量，并对学习到的流量做智能分析，进而获取当前网络的应用种类和策略命中情况;“智能策略发生器”部件根据学习到的网络应用以及应用的潜在安全风险，有针对性向管理人员推荐基于应用的安全策略;“智能策略分析器”部件通过静态分析和动态分析两种方式识别出存在的冗余策略和低效策略，从而有效地帮助管理人员精简防火墙策略。通过有机组织此四大组件，智能管理有效解决了下一代防火墙策略管理面临的问题。

　　那么华为USG6000智能管理方面有什么优势呢?

　　1. 快速部署

　　对于中小企业，其应用防护的精细化要求并不高。IT管理人员身兼多职，部分企业甚至没有专门的安全管理人员。 对于此类客户，智能管理提供了策略快速部署功能，使用该功能，管理员只需简单引用预置的策略模板即可生成一条实用的安全一体化策略。 策略快速部署功能极大的方便了中小企业的策略部署，使得管理人员乃至非专业管理人员也能轻松配置一体化策略。

　　2. 基于应用的安全防护

　　为了尽可能保证网络安全，防火墙管理必须遵循最小化授权原则。传统防火墙策略基于端口进行防护，违背了最小授权原则，例如，80端口既可以承载http应用，也可以承载邮件应用，为授权普通员工访问http应用而放行80端口会导致员工权限的放大，基于此原因，下一代防火墙的一体化安全策略基于应用做防护;另外，为下一代防火墙配置的基于应用的安全策略如果授权范围不当，也会违反最小授权原则，导致潜在的安全风险，例如，为了授权普通员工访问Webmail应用而配置了允许其访问http应用的策略，会导致员工可以访问与工作无关的其他网站。智能管理的策略调优功能完美地解决了上述两种场景存在的问题

　　3. 策略精简

　　防火墙在使用过程中，不可避免的会产生大量垃圾策略、冗余策略。即使是拥有较高技能的管理人员也很难发现此类策略。由于防火墙缺少发现此类策略的有效手段，导致策略规模愈加庞大，维护愈加困难。客户不得不耗费重金购买第三方提供的冗余策略分析软件，增加了管理费用。 针对防火墙策略过于臃肿的问题，智能管理解决方案提供了策略精简功能。该功能不仅能帮助管理人员识别出现有策略中的冗余策略，还能识别出现有策略中的无效策略。策略精简功能有效地解决了策略规模越来越庞大的问题，通过策略静态分析和动态分析技术，不仅能协助管理员发现冗余策略，还能通过指导管理员识别出无效策略，为管理员简化配置策略提供了依据，减少了防火墙配置的安全策略数量，极大提升了防火墙的业务性能。 为防止误判，整个的操作都会是在管理员的确认以后生效，做到高效的人机互动。