最注重的安全技術及措施「數據中心安全技術有哪些」

防火牆概述

「防火牆」一詞起源於建築領域，用來隔離火災，阻止火勢從一個區域蔓延到另一個區域。引入到通信領域，防火牆這一具體設備通常用於兩個網路之間有針對性的、邏輯意義上的隔離。這種隔離是選擇性的，隔離「火」的蔓延，而又保證「人」可以穿牆而過。這裡的「火」是指網路中的各種攻擊，而「人」是指正常的通信報文。

為什麼需要防火牆？

安全無處不在。路由器和交換機構建了互聯互通的網路，帶來便利的同時也帶來了安全隱患。

例如在網路邊界，企業有了如下安全訴求：

外部網路安全隔離
內部網路安全管控
內容安全過濾
入侵防禦
防病毒

什麼是防火牆？

在通信領域，防火牆是一種安全設備。它用於保護一個網路區域免受來自另一個網路區域的攻擊和入侵，通常被應用於網路邊界，例如企業互聯網出口、企業內部業務邊界、數據中心邊界等。

防火牆根據設備形態分為，框式防火牆、盒式防火牆和軟體防火牆，支持在雲上雲下靈活部署。

嚴格意義上，防火牆還有更多的部署形態，例如桌面型防火牆（盒式防火牆的一種）。桌面型防火牆適用於小型企業、行業分支、連鎖商業機構等場景。華為盒式防火牆同時支持傳統模式和雲管理模式。雲管理模式由雲端統一管理分支機構的安全接入，支持設備即插即用、業務配置自動化、運維可視化和網路大數據分析。

防火牆與交換機、路由器功能對比

以園區網為例，交換機作用是接入終端和匯聚內部路由，組建內部互聯互通的區域網。

路由器作用是路由的分發、定址和轉發，構建外部連接網路。

防火牆作用是流量控制和安全防護，區分和隔離不同安全區域。

防火牆與路由器轉發流程對比

防火牆的轉發流程比路由器複雜。以框式設備為例，硬體上除了介面、LPU（Line Processing Unit）、交換網板等外，防火牆還特有SPU（Service Processing Unit），用於實現防火牆的安全功能。

防火牆的典型應用場景

DMZ（Demilitarized Zone）起源於軍方，是介於嚴格的軍事管制區和鬆散的公共區域之間的一種有著部分管制的區域。防火牆設備引用了這一術語，指代一個邏輯上和物理上都與內部網路和外部網路分離的安全區域。在企業中一般用於伺服器的放置。

數據中心網路一般採用Spine-Leaf架構。Spine為骨幹節點負責流量高速轉發，Leaf為葉子節點負責伺服器、防火牆或其他設備接入。Spine-Leaf之間全三層互聯。

防火牆的發展歷程

縱觀防火牆的發展歷史，防火牆經歷了從低級到高級、從功能簡單到功能複雜的過程。網路技術的不斷發展和新需求的不斷提出，推動著防火牆的發展。

防火牆從包過濾防火牆發展起經歷了狀態檢測、統一威脅管理、NGFW等到AI防火牆，有以下特點：

訪問控制越來越精細
防護能力越來越強
性能越來越高

包過濾防火牆

包過濾是指基於五元組對每個數據包進行檢測，根據配置的安全策略轉發或丟棄數據包。

包過濾防火牆的基本原理是：通過配置訪問控制列表（Access Control List，ACL）實施數據包的過濾。

包過濾防火牆主要基於數據包中的源/目的IP地址、源/目的埠號、IP 標識和報文傳遞的方向等信息。

包過濾防火牆的設計簡單，非常易於實現，而且價格便宜。

包過濾防火牆的缺點主要表現以下幾點：

隨著ACL複雜度和長度的增加，其過濾性能呈指數下降；
靜態的ACL規則難以適應動態的安全要求；
包過濾不檢查會話狀態也不分析數據，這很容易讓黑客矇混過關。例如，攻擊者可以使用假冒地址進行欺騙，通過把自己主機IP地址設成一個合法主機IP地址，就能很輕易地通過報文過濾器。

狀態檢測防火牆

狀態檢測是包過濾技術的發展，它考慮報文前後的關聯性，檢測的是連接狀態而非單個報文。

狀態檢測防火牆就是支持狀態檢測功能的防火牆。

狀態檢測防火牆通過對連接的首個數據包（後續簡稱首包）檢測而確定一條連接的狀態。後續數據包根據所屬連接的狀態進行控制（轉發或阻塞）。

AI防火牆

AI防火牆是結合AI技術的新一代防火牆。它通過結合AI演算法或AI晶元等多種方式，進一步提高了防火牆的安全防護能力和性能。

華為AI防火牆，內置的惡意文件檢測引擎CDE、誘捕Sensor、APT檢測引擎和探針，支持與沙箱和華為大數據分析平台CIS聯動檢測，打造智能防禦體系。

華為HiSecEngine USG6000E系列是業界首批推出的AI防火牆。AI防火牆沒有統一的標準，例如通過用大量數據和演算法「訓練」防火牆，讓其學會自主識別威脅；通過內置AI晶元，提高應用識別和轉發性能，都可以被稱為AI防火牆。

APT（Advanced Persistent Threat，高級持續性威脅）是指用先進的攻擊手段對特定目標進行長期持續性攻擊的攻擊形式。

沙箱（Sandbox）是一個用於檢測病毒的安全設備，它為疑似病毒構建虛擬環境，通過觀察其後續行為檢測病毒。沙箱是APT檢測的重要設備。華為的沙箱產品為Firehunter。

CIS（Cybersecurity Intelligence System）能夠對網路中的流量及各類設備的網路、安全日誌等海量網路基礎數據執行有效採集，通過大數據實時及離線分析，結合機器學習技術、專家信譽、情報驅動，有效的發現網路中的潛在威脅和高級威脅，實現企業內部的全網安全態勢感知，同時可以結合華為HiSec解決方案高效地完成威脅的處置閉環，防患未然。

自研惡意文件檢測引擎（CDE）引入PE Class 2.0 AI演算法，對全文件進行還原，對文件內容進行深度檢測。（業界主流基於流檢測。流檢測的檢測速度快，但只還原文件頭，不對文件內容進行檢查。

華為獨創的AIE APT檢測引擎，引入AI演算法，持續防禦最新威脅。