下一代防火墻在網絡安全防護中的應用

◆鄭傳德

（廣州商學院 廣東 511363）

下一代防火墻（NGFW）可以全面應對應用層威脅，通過深度過濾網絡流量中的用戶、應用和內容，并借助全新的高性能并行處理引擎，為用戶提供有效的網絡一體化安全防護，幫助用戶安全地開展業務并簡化用戶的網絡安全架構。當前我國自主的主流防火墻產品有華為NGFW、深信服NGAF、網神防火墻等，在政企、教育、銀行、醫療、科研等行業和領域承接著防護網絡及數據安全的重任，下面對下一代防火墻在網絡安全防護中的應用做深入分析。

1 下一代防火墻的比較優勢

下一代防火墻除去傳統防火墻具有的包過濾、網絡地址轉換、狀態檢測和VPN 技術等以外，還具有很多彌補傳統防火墻缺陷的技術優勢。一是多模塊功能的集成聯動，如入侵防御系統（IPS）、病毒檢測系統、VPN、網絡應用防護系統（WAF）等，改變了傳統防護設備疊加部署、串糖葫蘆式的部署模式，節約成本、消除網絡瓶頸和單點故障，數據包單次解析多核并行處理提高檢測速度，多模塊聯動提高響應速度，日志整合提高檢測效率。二是網絡二至七層的全棧檢測能力，克服傳統防火墻包過濾基于IP 和端口檢測的局限性，可以具體應用為粒度設置過濾及安全策略，輔助用戶管理應用。三是數據包深度檢測，通過對數據包進行深層次的協議解碼、內容解析、模式匹配等操作，實現對數據包內容的完全解析，查找相對應的內容安全策略進行匹配。下一代防火墻通過HTTPS 的代理功能，實現對SSL 加密的數據進行解密分析，可以檢測郵件中的非法信息。四是可視化配置界面，結合先進的技術和理念，設備配置可視簡化，功能完善，使技術人員精力從復雜的配置命令中解放出來，更多關注配置規則的現實意義。通過可視化報表不僅能夠全面呈現用戶和業務的安全現狀，還能幫助用戶快速定位安全問題。

2 下一代防火墻設備的選配

下一代防火墻功能強大，成本也相對較高，一些廠商按功能模塊收費，因此在選配防火墻設備時需要考慮性價比。一是要了解使用方的網絡拓撲結構、核心服務、主干網絡帶寬利用率峰值、網絡中安全設備部署現狀和終端用戶網絡使用體驗，挖掘出網絡建設安全需求和亟須解決的問題。二是根據客戶安全需求，選擇對應的防護功能，進而選用功能適配的防火墻設備，在采購防火墻設備的同時需開通對應的功能權限，比如網絡序列號、IPSec VPN 分支機構、SSL VPN 移動用戶數，WEB 防護、網關殺毒、IPS、應用控制、流量控制、各類特征庫升級序號等。三是根據功能需求選擇相應的設備部署方式，接入方式不同，實現的防護功能也有差異，防火墻支持網關模式、網橋模式、混合模式、旁接模式和雙機接入等。四是根據防火墻接入干線的流量來確定防火墻的性能指標，核心指標有接口數量及帶寬、整機吞吐量、應用層吞吐量、每秒最大連接數和并發連接數、設備存儲空間、關鍵部件冗余等，可能制約網絡應用和用戶體驗。

3 下一代防火墻對網絡連通性的影響

防火墻網絡連通配置比較復雜，有的部署模式可能改變原網絡結構，影響原網絡的連通性。一是影響網絡結構。在網關模式和混合模式中，下一代防火墻可替代現有出口路由器，部署在網絡出口配置路由功能。在網橋模式中下一代防火墻具有二層網絡交換機的功能，部署在核心路由器與核心交換機中間。旁接模式中，下一代防火墻通常接入核心交換機，同時將核心交換機的流量鏡像至防火墻，因為實際流量不經過防火墻，防火墻不能實現數據的實時檢測和阻斷，通常在使用監測和審計時采用這種部署方式。兩臺防火墻可支持雙主模式或主備模式，部署在雙核心網絡中，實現防火墻設備的設備冗余和線路冗余[1]。二是對網絡分區管理。按照網絡系統安全等級保護2.0 的要求，網絡要分區管理，實現這一功能的主要設備就是防火墻。除了旁接模式外，使用其他三種模式部署時，均可將原網絡分隔成三個區域，即可信區域、DMZ 區域和不可信區域，便于分區管理和配置防護策略。內網屬于可信區域，對外服務的服務器部署在DMZ 區域，直接連接外網的出口網絡屬于不可信區域，僅對內提供服務的服務器劃入可信區域[2]。三是網絡技術運用。下一代防火墻在網絡出口處支持多線路接入，包括ADSL 線路的PPPoE 接入，可同時接入多條運營商線路，并根據需要實現網絡出口的多種模式的負載均衡，充分利用出口帶寬，實現出口線路冗余。設備支持網絡接口配置成交換口和路由口，支持常用路由協議配置，支持IPV6。使用IPSec VPN 技術建立總部與分支網絡間的VPN 線路，建立總部與分支專線的虛擬備份鏈路。SSL VPN 則可使出差人員異地方便接入內部網絡、資源和服務等，保障移動安全辦公需要。四是防火墻連通性配置。首先配置連通網絡。網橋模式下，先使用既有網絡設備連通網絡，再在路由器與核心交換機中間加裝防火墻。網關模式下，先配置相應的防火墻接口參數，再連通網絡。網絡連通后添加相應的包過濾規則或全通規則，測試防火墻內外網數據是否可達。其次，配置路由參數。選擇網絡通用的路由協議配置相應的路由參數。最后測試私有網絡與公網的連通性。因運營商網絡上不發布私網網段，私網訪問公網時需配置NAT規則，公網訪問私網時配置端口映射或IP 映射規則，添加映射規則后，還須添加相應的包過濾規則才能生效。

4 下一代防火墻安全策略配置

下一代防火墻通常配置的安全策略包括漏洞攻擊策略、Web 應用防護策略、僵尸網絡策略、內容安全策略、應用控制策略、連接數控制策略、DoS/DDoS 防護策略、流量管理策略、用戶認證策略和認證選項等。安全策略制定時需注意以下事項：一是安全策略的可讀性設置。為保證防火墻規則的可讀性，在為各類資源、服務、應用、規則命名時要有明顯區分，體現其分類、功能和用途，有利于安全策略的可視化配置和策略解讀。防止大型網絡配置規則過多后，因命名混亂而制造后期管理和維護難度。資源命名時以分組或類命名，在策略中調用分組，后期維護中方便添加和刪除單個資源。二是安全策略的細粒度配置。安全策略源目地址、出入網口和源目端口與實際對應。下一代防火墻可以對區域、IP 分組及用戶、應用或服務、時間及生效狀態等進行細粒度配置，進行個性化設置，也可以針對某個具體應用進行細節化配置，如允許用戶通過HTTPS 訪問互聯網，但是禁止通過HTTPS 下載數據；允許用戶使用QQ，但是禁止用戶通過QQ接收文件。三是調整安全策略執行順序。防火墻的安全策略通常按順序執行，遇到滿足條件的策略直接放行數據包，而不檢查后續策略的適用性，因此策略順序在防火墻功能發揮中的作用尤為重要。在配置規則時需將地址范圍小、用戶數量少、服務端口少等局部生效的安全策略序號調整至同類策略列表的前列優先執行。四是多方式的用戶認證策略。防火墻實現精確管控首先要確定用戶身份，通過用戶認證策略可以確定單位內部每一個用戶，即某個IP 地址上某個時刻是哪個用戶在使用的信息，對上網用戶的身份進行認證，從而實現基于用戶的上網行為管理。通常支持本地用戶名密碼登錄、借助其他身份認證系統的單點登錄、跨交換機和網段的IP－MAC 地址綁定建立用戶和IP 對應關系，鎖定上網用戶身份，實現用戶無感知地上網。

5 下一代防火墻對數據的全程防護

下一代防火墻具有風險感知、多設備多模塊聯動防御、數據深度檢測、日志分析可視化等功能，通過技術手段的融合，在網絡威脅下全程對數據進行防護，包括事前的網絡安全風險檢測、事中的多手段聯動防御、事后的快速響應，并將防護信息通過多種形式以可視化的方式呈現給用戶。一是事前網絡安全風險感知。安全威脅發生前，防火墻通過流經流量的IP 地址檢測及端口檢測快速識別內部的服務器，檢測服務器上開放端口、存在的漏洞和弱密碼等風險；利用豐富的掃描插件對WEB 服務器進行掃描，識別網站類型，提供漏洞分析和修復建議，通過流量檢測、策略對比、版本檢測等多個維度檢測服務器對應的安全策略是否存在和生效。二是事中多設備多模塊聯動防御。下一代防火墻在防御層面融合了多種安全技術，防火墻內部傳統防火墻、網關殺毒、IPS、WAF 等模塊聯動防御，對網絡數據進行L2-7 層的安全防護，同時與其他安全設備聯動取得更好的防護效果。下一代防火墻與終端檢測響應平臺聯動，持續檢測發現、快速響應處置，形成多層次立體化的威脅防御體系，彌補防火墻對內部發起和內部用戶之間的網絡攻擊無法檢測的缺陷[3]。下一代防火墻與云安全平臺聯動，借助廠家強大的技術支持、威脅云端檢測、快速響應和全網威脅情報分享等，對抗高級威脅和未知威脅，為客戶保駕護航。三是事后快速響應。下一代防火墻在黑客入侵之后，能夠幫助客戶及時發現入侵后的惡意行為，如檢測僵尸主機發起的惡意攻擊行為，網頁篡改，網站黑鏈植入及網站后門檢測等，并快速推送警告事件，協助用戶進行響應處置。通過數據中心分析可發現被攻擊的主機數量和被攻擊的嚴重等級，利用策略動作自動執行、專用工具和云端聯動等方式快速響應。

6 結束語

下一代防火墻在傳統防火墻的基礎上，采用先進的架構設計和技術實現，具有更強大的設備性能、網絡功能和安全防護功能，實現設備部署、網絡連通和策略配置等，尤其是基于認證用戶和應用靈活配置安全策略，實現了數據包的深度過濾和網絡L2-7 層的安全防護。與內部模塊和外部安全設備間的聯動響應，提高了檢測能力，通過對安全威脅全流程的分析，實現對數據流向全程的安全防護。鑒于篇幅所限，下一代防火墻詳細配置需另做深入探討。