基于下一代防火墻技術的企業網絡安全應用

廖偉國 蕭鴻希 文明瑤

摘要：在互聯網高速發展的今天，網絡的安全使用已成為企業信息化管理和正常發展的重要保證。本文基于下一代防火墻技術，對企業網絡安全的設計與實現進行研究，首先介紹研究的背景及意義;然后傳統防火墻的缺陷;接著對下一代防火墻進行特性分析并進行了安全策略研究及方案部署。

關鍵詞：下一代防火墻 網絡安全 安全策略

一、 論文綜述

（一）背景

隨著互聯網發展，企業加大了信息化的建設投入，以此提高企業的競爭力。企業的網絡規模越來越大，網上業務越來越重要，網絡的安全問題也越來越突出。

傳統防火墻是保障企業網絡安全的重要手段，也是目前應用最廣的安全產品。防火墻通過硬件或軟件形式，控制企業與外部網絡的信息傳輸，根據用戶需求，制定不同的安全策略，有效針對外部網絡對企業內部網絡的非法訪問，防止企業內部資料遭到竊取。防火墻也可以控制企業內部網絡對外部網絡的訪問，防止員工進行不安全的網絡活動。

（二）傳統防火墻的缺陷

傳統防火墻用以下幾種方式進行報文過濾：

（1） 防火墻以端口作為依據控制報文的訪問。根據報文的協議、源端口、目的端口來判斷網絡服務。例如防火墻收到80端口的TCP報文，判斷為HTTP服務。

（2）防火墻以IP地址作為依據，控制報文的訪問。

（3）防火墻以五元組作為依據，定義一條網絡流。防火墻通過源IP、目的IP、源端口、目的端口、報文協議共五項數據來劃分網絡流。同一條網絡流的所有報文的安全性是一致的。防火墻只對一條網絡流的首個報文進行合法性檢查，首個報文通過后，建立會話，后續的報文通過會話進行轉發，無需重復檢查，提高轉發效率。

隨著網絡發展，傳統的防火墻已經無法滿足新的安全需求，無法良好的應對基于應用協議的攻擊。

在新的網絡應用中出現了各種P2P軟件，通過非知名端口或隨機端口進行通信。傳統防火墻通過端口識別的方式無法有效識別非法程序。

傳統防火墻以五元組作為依據定義一條網絡流安全性的方式雖然效率高，但是卻缺少對流量持續的安全防護，攻擊者可以在一次正常的訪問中植入木馬與病毒。

VPN技術在企業中的應用十分廣泛，但傳統防火墻無法檢測加密后的報文，容易被加密后的數據繞過，是一個很大的安全隱患。

二、下一代防火墻

（一） 下一代防火墻簡介

由于以被動防御為主的傳統防火墻，無法良好應對基于應用協議的攻擊，所以已經無法滿足企業新的網絡安全需求。企業在發展信息化的過程中，需要網絡的穩定運行，又需要對業務流量有足夠的控制能力，于是就出現了以主動防御為主的新產品——下一代防火墻（Next Generation Firewall，簡稱NGFW）。NGFW在傳統五元組上加入了應用和用戶，以七元組作為依據，為企業制定安全策略。NGFW具備傳統防火墻功能的同時融合了入侵防御系統的能力，通過全新的高性能引擎技術，提供了應用內容識別能力。

（二） 下一代防火墻特性分析

NGFW提供了兩種先進的機制完善了應用層和內容識別的安全防護能力：

（1）一次掃描，對報文進行一次掃描，通過全新的高性能引擎，提取報文數據，智能識別出流量的應用類型、報文的內容、存在的網絡威脅。

（2）實時檢測，通過全新的高性能引擎，實時檢測流量傳輸過程中的報文，實時阻攔不安全報文，持續保障網絡安全。

三、基于下一代防火墻的企業網絡安全方案

（一）遷移注意事項

企業目前使用的安全方案是傳統防火墻、入侵檢測設備、防病毒設備等多種安全產品的組合。由于現有的設備部署了大量的安全策略，所以在現有的環境直接將安全產品替換為下一代防火墻會對企業的網絡服務造成很大的影響，一旦出現差錯，會造成企業出現不可逆的損失。所以在遷移過程中，我們一定要注意以下事項：

（1）注意產品的兼容性。最好選購與原有防火墻同一廠家的新設備。防止設備不兼容造成網絡的不穩定。同時網絡管理員熟悉同一廠商的配置命令，遷移服務時的效率更高。

（2）逐步遷移，減少影響。不可以一次性將全部服務轉移到新設備上，逐步遷移能控制風險，降低出錯的概率，減少出錯造成的損失。

（二）部署方案

1部署在三層的初始化配置

這種場景下的下一代防火墻工作在網絡層（如下圖1），作為網絡層的網關，實現內部網絡與外部網絡的安全防護。需要對NGFW進行以下初始化配置：

（1）在NGFW上運行原有網關設備上有關于網絡層協議的全部配置，例如IP地址的配置、路由協議的配置，盡量避免修改周邊連接設備，影響整個網絡拓撲。

（2）配置NAT，進行內網地址與外網地址的轉換，保證內外網互通的同時，可以將內網地址隱藏，起到安全防護作用。

2部署在二層的初始化配置

這種場景下的下一代防火墻工作在數據鏈路層（如下圖2），以透明網橋的方式加入網絡，無需改變網絡拓撲，基于MAC地址對流量進行控制。需要對NGFW進行以下初始化配置：

（1）配置二層接口為Trunk模式，允許VLAN100與VLAN200的流量。

（2）預留接口與三層連接，用作管理口，保證管理員可以登錄設備進行后期的升級維護。為三層接口創建VLAN子接口，分別加入VLAN100、VLAN200。

3 安全策略

（1）雙機熱備，兩臺防火墻互相備份，在一臺防火墻出現問題后，另一臺防火墻自動接替工作，保證網絡正常運行，提高網絡可靠性。

（2）防病毒功能，防止內網用戶下載病毒文件、外網用戶上傳病毒文件到企業內網。

（3）入侵防御功能，檢測外網入侵行為則阻斷連接，內網用戶訪問外網惡意網頁則阻斷連接。

四、 總結

下一代防火墻用一臺設備集成了防火墻、IPS等多種安全功能，降低了企業維護安全設備的難度，降低了企業網絡安全的維護成本，并能有效應對傳統防火墻無法解決的問題。使用下一代防火墻，制定有效的安全策略，提升企業網絡安全水平，能有效保障企業利益不受侵害。

參考文獻：

[1]喻曉. 企業網絡的優化與安全[J]. 信息網絡安全， 2010（9）：46-47.

[2]張鐵志. 網站服務器安全維護探討[J]. 通訊世界， 2015， 000（007）：262-263.

[3]梅夢. 以防火墻技術為核心的網絡安全架構[J]. 硅谷， 2013， 000（006）：47-47.

作者簡介：

廖偉國，男 ，工程碩士，華南農業大學珠江學院，講師，主要研究方向：計算機網絡、計算機科學與技術。

項目名稱：廣東省高等教育教學研究和改革項目《“移動互聯網+”環境下的微信公眾平臺在高校課程教學中的應用探索與實踐》