淺談主動式防火墻的技術原理及創新應用

王 楊（民航新疆空中交通管理局，新疆 烏魯木齊 830016）

?

淺談主動式防火墻的技術原理及創新應用

王 楊
（民航新疆空中交通管理局，新疆 烏魯木齊 830016）

摘 要：隨著網絡規模進一步擴大和網絡資源日趨豐富，云計算、大數據等創新技術蓬勃發展，防火墻作為一種和互聯網共生共榮的主流安全技術，在新的互聯網+時代將會迎來新的挑戰和機遇，基于此，本文對主動式防火墻的技術原理進行分析，并提出創新觀點，以供參考。

關鍵詞：網絡安全；包過濾；主動式防火墻；下一代防火墻新型防火墻

隨著網絡規模進一步擴大和網絡資源日趨豐富，云計算、大數據等創新技術蓬勃發展，計算機網絡安全技術也隨之進入了新的時代：復雜性不斷增加，異構性越來越高。防火墻作為一種和互聯網共生共榮的主流安全技術，在新的互聯網+時代將會迎來哪些新的挑戰和機遇，我們又該如何設計、部署新型防火墻？筆者將結合工作經驗淺談一下主動式防火墻的技術原理及創新應用。

1 吞吐量是選型關鍵，立足應用層看“吞吐”

防火墻作為內部網與外部網之間的一種訪問控制設備，通常安裝在內部網和外部網的交界點上。從技術原理的角度看，防火墻經歷了從早期的簡單包過濾到今天的狀態包過濾技術和應用代理的發展，一步步從被動走向主動，即能夠執行不依賴于IP、端口的應用、用戶和內容控制策略。實時檢測網絡流量中的惡意網址、病毒、漏洞利用、間諜軟件等行為。

主動式防火墻的基礎原理，是對網絡應用層中的數據包執行深度檢測，也就是將數據包解封到應用層。對于這樣的防火墻產品，數據包封裝和解封層次越多，CPU的計算負載就會越高。因此，設備的吞吐量成為評估防火墻的主要指標。

在實際工作中，吞吐量的評估指標與測試方法可以如下檢測。

（1）UDP裸包處理性能（Raw Packet Processing Performance （UDP Traffic））。

（2）延遲（Latency）。

（3）最大性能（Maximum Capacity）。

（4）無延時情況下的HTTP性能（HTTP Capacity With No Transaction Delays）。

（5）應用平均響應時間（Application Average Response Time： HTTP）。

（6）有延時情況下的HTTP性能（HTTP Capacity With Transaction Delays）。

（7）“逼近真實”的通信（“Real-World” Traffic）。

在實際的防火墻設備選型中，筆者建議主要考核設備在進行應用層處理情況下的轉發性能，也就是俗稱的應用層吞吐量，如HTTP性能、應用平均響應時間等參數。

2 讓應用識別成為管理核心，簡化人工干預

新的主動式防火墻能提供基于用戶、應用和內容作為管控平臺，功能更加強大，這已經意味著訪問控制能力由原先的五元組擴充至了八元組，控制一個數據包的訪問和轉發，可基于用戶、源IP、目的IP、源端口、目的端口、協議（端口）、應用類型以及數據內容進行更加精細的過濾，這給管理人員帶來了新的難題。筆者在日常維護防火墻策略時，面對網絡中大量的防火墻策略，常常也會有很多疑問：哪臺主機已經失陷？哪些安全策略從來沒被使用過？哪些安全策略被使用得最頻繁？

不同的網絡技術人員，配置防火墻安全的策略也會不同，這就導致甲配置的安全策略在乙看來是可以刪除的，乙配置的安全策略在甲看來是影響效率的。如何才能盡可能減少人為因素，使防火墻安全策略最優化呢？筆者認為，關鍵還是需要建立具備真正的應用識別能力的防火墻管理系統，筆者認為以下舉措值得借鑒：

（1）建立中心化可擴展的防火墻系統結構

建立一個中心化的，能夠管理整個系統數據并給予安全管理團隊快速響應能力的管理系統，才能化繁為簡，用起來得心應手。中心化管理可以在一個應用界面下部署、查看和控制所有的防火墻活動，還可以自動化日常任務、復用元素、部署快速路徑和深度調查，以最小的工作成本產生最大的工作成果。

建立中心化可擴展的防火墻體系機構的另一個隱性作用是保護防火墻主機自身的安全。現在，針對防火墻本身的攻擊越來越多，防火墻中心化可擴展體系可以結合主機型防火墻和個人計算機型防火墻及傳統防火墻功能，取長補短，全方位的優化防火墻的防衛結構。其目的是利用各區域的加強防衛動作來化解對手的攻擊行為。各終端設置相應的防護功能，彼此之問相互防護，從而保護個人和企業的業務安全。

（2）部署更多單向防火墻或給防火墻加智能芯片

由于現在網絡需求的不斷增加，防火墻也有向專業化、硬件化發展的趨勢。單向防火墻是為了讓信息單向流動，只能從外網流入內網，而不能從內網流出到外網，從而達到一定的保密功能。當然如果將其固化到硬件中，不但會提高防火墻的執行速度，也會大大降低防火墻導致的網絡延時。而且如果防火墻嵌入智能芯片則會更有效的識別惡意數據流量和阻斷惡意數據攻擊且切斷惡意病毒的流量攻擊。如果防火墻可以基于MAC設計訪問控制機制的話，則可以更好的支持MAC過濾，從而將其訪問控制發展到數據鏈路層，這樣便可防止MAC欺騙。

（3）為防火墻配置優秀的應用識別引擎

互聯網應用程序越來越復雜，增加了防火墻應用識別的難度。比如說，如何識別員工是在用社交應用程序（如Facebook）工作還是游戲？這就需要防火墻具備更強大的識別引擎。如果其不能識別應用則根本談不上應用層威脅的防御。好的防火墻需要配備一個真正優秀的應用識別引擎，借此知道通過的流量信號是什么，并且知道是誰在使用這個流量信號訪問這個程序。應用程序控制要比端口和協議控制高級的多，它可以基于用戶身份、角色，網頁應用的特征來建立詳細的控制策略，更高級的控制還包括擴充用戶組、域名、安全傳輸層協議（TLS）的匹配，以及用報告、日志和統計報表形式表現出來的用戶信息和應用程序使用細節。

3 立足現在關注未來，心中始終存有“防火墻”

當今時代是一個云計算和大數據的時代，海量信息被封裝為一個個數據包在網絡上高速流轉，就好像把不同信件裝在同樣的信封里，大量威脅藏身其中。所以有人說，云計算時代將會意味著防火墻的終結，也有人說，云計算時代代表著防火墻的新一輪繁榮。筆者認為，問題的核心不是防火墻還有沒有必要，而是如何讓防火墻變得更加強大。比如說提高防火墻的應用“透視化”技術，能夠透過信封看到信件，可以根據應用的行為和特征實現對應用的識別和控制；能夠實現與多種認證系統（AD、LDAP等）無縫對接，還可以進一步自動識別出網絡中當前IP所對應的用戶信息，勾畫出人—內容—應用的立體畫像。

移動互聯網時代，任何人都可以拿起手機，在任何時間、地點都可以上網，這還會導致企業將大量敏感資產存儲在智能終端上。此時，移動信息泄密的風險遠非一道簡單的防火墻所能堵住：員工安全意識欠缺、設備被盜丟失，存儲數據外泄、不安全的網頁瀏覽、不安全的WiFi、藍牙連接以及補丁升級不及時導致被入侵等，都可能帶來安全隱患。所以說，移動應用無論從產品上還是意識上都在面臨一個安全的空窗期，惡意攻擊者往往利用這一時期發起更多攻擊，亟需新的基于移動互聯網的新型防火墻保護安全。

在云計算、大數據和移動互聯面前，防火墻技術新一輪挑戰也許才剛剛開始！

參考文獻

［1］許一凡.防火墻新技術分析［J］.計算機安全，2003（11）.

［2］廉育功.立體防護體系的新手段——聯動防火墻［J］.電腦知識與技術（經驗技巧），2002（6）.

［3］王曉聰，黃赪東，畢建權，龐訓龍，李智強.探析防火墻的現狀與發展［J］.信息與電腦（理論版），2013（5）.

［4］孔佳泉.淺談下一代防火墻及其應用［J］.信息安全與技術，2012（11）.

［5］江峰面向IPv6防火墻的高性能規則匹配關鍵技術研究與實現［D］.國防科學技術大學，2011.

中圖分類號：TP393

文獻標識碼：A