對網絡安全防護技術方案探討

范強

摘要：隨著計算機技術、通信技術和網絡技術的發展，接入專網的應用系統越來越多。對整個系統和專網的安全性、可靠性、實時性提出了新的嚴峻挑戰。防火墻是最具策略性的網絡安全基礎結構組件，可以檢測所有通信流。因此，防火墻是企業網絡安全控制的中心，通過部署防火墻來強化網絡的安全性，是實施安全策略的最有效位置。

關鍵詞：網絡安全;防護技術

近年來，隨著互聯網在全球的迅速發展和各種互聯網應用的快速普及，互聯網已成為人們日常工作生活中不可或缺的信息承載工具。同樣，隨著網絡規模在不斷擴大、信息的內容和信息量在不斷增長，網絡應用和規模的快速發展同時帶來了更大程度的安全問題，這些安全威脅以不同的技術形式同步地在迅速更新，并且以簡單的傳播方式泛濫，使得網絡維護者不得不對潛在的威脅進行防御及網絡安全系統建設，多種威脅技術的變化發展及威脅對企業專網系統的IT安全建設提出了更高的要求。

1.安全風險背景

隨著計算機技術、通信技術和網絡技術的發展，接入專網的應用系統越來越多。特別是隨著信息化的普及需要和總部的數據交換也越來越多。對整個系統和專網的安全性、可靠性、實時性提出了新的嚴峻挑戰。而另一方面，Internet技術已得到廣泛使用，E-mail、Web2.0和終端PC的應用也日益普及，但同時病毒和黑客也日益猖獗，系統和數據網絡系統的安全性和可靠性已成為一個非常緊迫的問題。

2.網絡安全方案

防火墻是最具策略性的網絡安全基礎結構組件，可以檢測所有通信流。因此，防火墻是企業網絡安全控制的中心，通過部署防火墻來強化網絡的安全性，是實施安全策略的最有效位置。

由此帶來的可視化和控制喪失會使管理員處于不利地位，失去應用控制的結果會讓企業暴露在商業風險之下，并使企業面臨網絡中斷、違反規定、運營維護成本增加和可能丟失數據等風險。用于恢復可視化和控制的傳統方法要求在防火墻的后面或通過采用插接件集成的組合方式，單獨部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲（將引發掃描進程）的不足，均無法解決可視化和控制問題。現在需要一種完全顛覆式的方法來恢復可視化和控制。而新一代防火墻也必須具備如下要素：

（1）識別應用程序而非端口：準確識別應用程序身份，檢測所有端口，而且不論應用程序使用何種協議、SSL、加密技術或規避策略。應用程序的身份構成所有安全策略的基礎。（識別七層或七層以上應用）

（2）識別用戶，而不僅僅識別 IP 地址。利用企業目錄中存儲的信息來執行可視化、策略創建、報告和取證調查等操作。

（3）實時檢查內容。幫助網絡防御在應用程序通信流中嵌入的攻擊行為和惡意軟件，并且實現低延遲和高吞吐速度。

（4）簡化策略管理。通過易用的圖形化工具和策略編輯器（來恢復可視化和控制

（5）提供數千兆位或萬兆位的數據吞吐量。在一個專門構建的平臺上結合高性能硬件和軟件來實現低延遲和數千兆位的數據吞吐量性能

2.1 產品與部署方式

本文就Palo Alto Networks 新一代安全防護網關部署方案進行探討，該產品采用全新設計的軟/硬件架構，可在不影響任何服務的前提下，以旁路模式、透明模式等接入現有網絡架構中，協助網管人員進行環境狀態分析，并將分析過程中各類信息進行整理后生成報表，從而進一步發現潛在安全風險，作為安全策略調整的判斷依據。

2.2 解決方案功能

本方案產品突破了傳統的防火墻和UTM的缺陷，從硬件設計和軟件設計上進一步強化了網絡及應用的安全性和可視性的同時保持應用層線速的特性。主要功能如下：

（1）應用程序、用戶和內容的可視化

管理員可使用一組功能強大的可視化工具來快速查看穿越網絡的應用程序、這些應用程序的使用者以及可能造成的安全影響，從而使管理員能夠制定更多與業務相關的安全策略。

（2）應用程序命令中心：這是一項無需執行任何配置工作的標準功能，以圖形方式顯示有關當前網絡活動（包括應用程序、URL 類別、威脅和數據）的大量信息，為管理員提供所需的數據，供其做出更為合理的安全策略決定。

（3）管理：管理員可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多種方式來控制防火墻。可基于角色的管理，將不同的管理職能委派給合適的個人。

（4）日志記錄和報告：可完全自定義和安排的預定義報告提供有關網絡上的應用程序、用戶和威脅的詳細視圖。

2.3 解決方案特色

（1）以 APP-ID、User-ID 及 Content-ID 三種獨特的識別技術，以統一策略方式對使用者（群組）、應用程序及內容提供訪問控制、安全管理及帶寬控制解決方案，此創新的技術建構于“單通道平行處理（SP3）”先進的硬件+軟件系統架構下，實現低延遲及高效率的特性，解決傳統FW+IPS+UTM對應用處理效能不佳的現況。

（2）實現了對應用程序和內容的前所未有的可視化和控制（按用戶而不僅僅是按 IP 地址），并且速度可以高達 10Gbps，精確地識別應用程序使用的端口、協議、規避策略或 SSL 加密算法，掃描內容來阻止威脅和防止數據泄露。

（3）對網絡中傳輸的應用程序和用戶進行深度識別并進行內容的分析，提供完整的可視度和控制能力。

（4）提供多樣化NAT轉址功能：傳統NAT服務，僅能利用單一或少數外部IP地址，提供內部使用者做為IP地址轉換之用，其瓶頸在于能做為NAT轉換的外部IP地址數量過少，當內部有不當使用行為發生，致使該IP地址被全球ISP服務業者列為黑名單后，將造成內部網絡用戶無法存取因特網資源;本方案提供具有多對多特性的地址轉換服務功能，讓IT人員可以利用較多的外部IP地址做為地址轉換，避免因少數外部IP被封鎖而造成無法上網，再次提升網絡服務質量。

（5）用戶行為控制：不僅具備廣泛應用程序識別能力，還將無線網絡用戶納入集中的控制管理，可對無線網絡使用情況，提供最為詳細豐富的用戶使用數據。

（6）流量地圖功能：流量地圖清楚呈現資料流向并能連結集中化的事件分析界面。

3.總結

新一代防火墻解決了網絡應用的可視性問題，有效杜絕利用跳端口技術、使用SSL、80端口或非標準端口繞過傳統防火墻攻擊企業網絡行為，從根本上解決傳統防火墻集成多個安全系統，卻無法真正有效協同工作的缺陷，大大提高數據實時轉發效率，有效解決企業信息安全存在的問題。