下一代防火墻（NGFW）特性淺析

◆陳志忠

(四川郵電職業技術學院 四川 610067)

下一代防火墻（NGFW）特性淺析

◆陳志忠

(四川郵電職業技術學院 四川 610067)

應用層受到攻擊的概率越來越大，而傳統網絡防火墻在這方面的檢測及防御存在著明顯不足，對網絡的防護效果不夠明顯。與傳統防火墻相比，下一代防火墻性能有了很大的提升，體現了極強的可視性、融合性、智能化。本文以企業實際應用需求為背景，探討了下一代防火墻應具備的基本功能，為用戶部署下一代防火墻（NGFW）提出實施建議。

下一代防火墻NGFW；網絡安全；應用層安全

0 前言

隨著計算機、互聯網等技術的發展，人們不管是在工作還是生活中都離不開計算機網絡。特別是隨著信息化、大數據時代的到來，計算機網絡在人們日常中發揮著更加重要的作用。據相關部門預測，2017年世界范圍內將有47%的用戶每個月使用互聯網，增幅將達到6.1%。而到了2019年，互聯網普及率將高達50%，世界范圍內互聯網用戶將達到38.2億。而在我國，據中國互聯網絡信息中心發布的信息可知，2016年底我國互聯網用戶已經達到7.31億，互聯網普及率為53.2%。而隨著計算機、互聯網技術的發展和廣泛應用，計算機網絡安全日益受到人們重視。特別是隨著我國進入到“互聯網+”時代后，各行各業和計算機的聯系更加緊密，也使得計算機安全問題成為“互聯網+”時代中較為重要的一個問題。

1 第一代防火墻的缺點

越來越多的企業，開始利用計算機、互聯網技術等進行信息化建設，通過信息化建設實現企業的信息管理，如人力資源管理、員工培訓管理等。互聯網技術的引入有效提高了企業各類事務的管理水平，進而提高了企業競爭力。但企業在開展信息化的同時，由于互聯網具有較強的開放性，企業信息系統容易受到各類網絡攻擊。另外操作系統存在的漏洞也將影響系統安全。因此企業在系統應用過程中，一般都安裝了防火墻，以應對網絡安全問題。企業在應用防火墻時，大多采用的是第一代防火墻，這一防火墻技術主要存在如下缺點：

1.1 安全監測方式陳舊

企業中應用的第一代防火墻技術，系統主要是對數據包的IP、端口等進行識別判斷。而具體判斷識別時，并沒有實現數據包的深度分析，也不清楚數據包的具體類型，更無法實現應用層功能，因此安全問題無法保證。

1.2 無法抵御應用層的網絡攻擊

應用層中，遭受到的網絡較多，但第一代防火墻一般是在網絡層、傳輸層中工作，針對應用層的網絡攻擊，第一代防火墻無法有效地應對和防御，從而使得企業服務器依然經常遭受網絡攻擊，影響企業信息安全。

1.3 花費成本、維護成本高

第一代防火墻應用時，為了實現網絡安全目的，需要借助于其它軟件設備和防火墻技術共同發揮作用。即第一代防火墻應用時還需要配置其他軟件設備，因此這一網絡安全保障時花費的成本較高。而不同的軟件設備，為了發揮出其作用，需要對其進行維護，因此相應維護成本也較高。

基于第一代防火墻的缺點，主要應用于應用層安全防御的下一代防火墻產生和發展起來，隨著下一代防火墻的出現和發展，下一代防火墻開始在企業信息化建設中得到應用。

2 下一代防火墻功能特性

下一代防火墻(Next generation firewall,簡稱 NGFW），是相對于第一代防火墻技術而言的。隨著云計算、移動互聯網等技術的發展，為了消除應用層安全威脅，下一代防火墻技術產生。下一代防火墻技術能為用戶提供提供應用層一體化的防護。集成式入侵防御系統、可視化運用識別、智能防火墻、高性能等是下一代防火墻所具備的基本要素，在這些要素的整合下，實現對應用層安全威脅的防御。如圖1所示為下一代防火墻網絡拓撲結構圖。

圖1 下一代防火墻網絡拓撲結構圖

2.1 在任何端口上識別和控制應用程序

下一代防火墻應用時，除了對標準端口進行識別、控制外，還能實現所有端口的識別和控制。目前很多軟件研發時，越來越多的應用程序都是在非端口上、跳端口等實現的。而第一代防火墻技術只能對標準端口進行識別、控制，因此為了保證應用程序的安全，就需要采用下一代防火墻。下一代防火墻應用時，可以上任何端口上應用，并在其所在端口上，根據應用實現了信息流的分類，以保證應用程序的安全。

2.2 用戶身份識別

下一代防火墻能對用戶身份進行識別，這是下一代防火墻的另一大特性。本地通信設備、用戶等如果不合法，則會給系統帶來安全威脅，因此下一代防火墻中具備的認證系統，能夠實現對網絡進出通信的用戶身份、類型識別，并對數據接收者的用戶身份進行判斷，從而實現數據的有效傳輸，這些都是用戶身份識別的表現。

2.3 惡意軟件檢測

下一代防火墻還具備惡意軟件檢測特性。根據業務行為學習構建動態安全模型，下一代防火墻對服務器等應用程序中出現的各種異常行為進行偏離度分析，從而對存在的惡意軟件進行檢測。如網絡爬蟲、掃描攻擊、信息泄露等都能檢測出來，以保證應用層的安全。

2.4 具備應用程序控制功能

企業信息化建設主要是提高企業管理水平、員工工作效率的，因此就需要對應用程序進行控制，而下一代防火墻中則具備了應用程序控制功能。應用程序控制主要是以用戶身份、角色、應用特征等為基礎搭建出程序控制策略，也可以通過用戶名、域名等的擴充、系統日志、系統報表等記錄和表現出來應用程序日常情況，為應用程序控制奠定基礎。

2.5 集成入侵防御系統（IPS）功能

操作系統、應用程序運行時面臨著嚴重的安全隱患，黑客會根據系統、程序漏洞等進行網絡攻擊，給網絡帶來嚴重的安全隱患。在下一代防火墻中，集成式入侵防御系統的存在，則能有效應對web、服務器等應用層面臨的網絡攻擊。IPS的存在，能夠對數據包進行拆分、檢查，并對其類型進行識別，從而判斷是否允許該數據包進入。在服務器網絡保護方面，主要通過網站攻擊防護、口令防護、權限控制、網站掃描、異常檢測等方式實現的。隨著網絡攻擊方式等的不斷變化，IPS特征庫也不斷處于更新中，如特洛伊、SQL注入等都包括在其中，因此集成入侵防御系統是下一代防火墻的一個重要特征。

2.6 具備橋接和路由模式

橋接、路由模式是下一代防火墻中的一個重要特性。企業當前應用的防火墻中，并非都是下一代防火墻，很多都是第一代防火墻。而要實現兩代防火墻的過度，則需要橋接或路由模式的實現，進而實現下一代防火墻的應用。

2.7 具備為受信遠程用戶提供應用程序可視化的能力

下一代防火墻還具備為受信遠程用戶提供應用程序可視化的能力，以實現應用的精細訪問控制，保證寬帶應用的合理性、安全性。其中，下一代防火墻的可視化能力主要有DPI、DFI兩種。DPI即深度數據包監測，該監測除了具備第一代防火墻的作用外，還實現了應用層的分析，即將數據包進行拆分、識別，實現精細訪問控制。DFI即流特征監測，將流量特征和后臺模型進行比較分析，實現精細識別控制。

2.8 具備使網絡安全管理趨于簡單

下一代防火墻中，融合了多種硬件設備，并能實現可視化的智能管理，因此下一代防火墻配置簡單，管理方便，管理員無需掌握多種管理技術即可實現網絡安全管理，因此下一代防火墻還具備網絡安全管理趨于簡單的特性。在這一特性下，企業在應用下一代防火墻時，只需對網絡安全管理員進行簡單培訓，使其掌握下一代防火墻應用方法、網絡實時監控、異常采取措施等，便能實現網絡安全管理。

2.9 具備服務質量和帶寬管理功能

下一代防火墻還具備服務質量和寬帶管理功能特性。為了保證服務質量，下一代防火墻的應用，能夠對企業內網用戶應用進行相應控制，防止由于過多訪問、下載現象所導致的占用寬帶數據流量，從而影響網絡其它程序的正常應用，從而保證了系統應用的服務質量。同時，管理員也能對網絡使用情況進行定期查看，并根據應用情況確定其合適的應用帶寬，實現帶寬的有效管理。

3 結語

隨著攻擊變得越來越復雜，企業必須更新網絡防火墻和入侵防御能力來保護業務系統。下一代應用層防火墻技術克服了傳統“邊界防火墻”的缺點，集成了IPS、防病毒等安全技術，實現從網絡到服務器以及客戶端全方位的安全解決方案，滿足企業實際應用和發展的安全要求。

[1]西安交大捷普網絡科技有限公司.下一代防火墻技術探討[J].信息安全與通信保密，2014.

[2]陳科.做更完善的下一代防火墻[J].中國政府采購，2014.

[3]龐博，張寶峰，張驍等.我國下一代防火墻的現狀與發展[J].中國信息安全，2014.

[4]孫浩峰.下一代防火墻進化論[J].網絡運維與管理，2014.