下一代防火墻在網(wǎng)絡(luò)安全中的應(yīng)用

摘要：下一代防火墻，即Next Generation Firewall，簡(jiǎn)稱NG Firewall，是一款可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻。通過深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，并借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠?yàn)橛脩籼峁┯行У膽?yīng)用層一體化安全防護(hù)，幫助用戶安全地開展業(yè)務(wù)并簡(jiǎn)化用戶的網(wǎng)絡(luò)安全架構(gòu)。當(dāng)前我國(guó)自主的主流防火墻產(chǎn)品有華為NGFW、深信服NGAF、綠盟等，在政企、教育、銀行、醫(yī)療、科研等行業(yè)和領(lǐng)域承接著防護(hù)網(wǎng)絡(luò)及數(shù)據(jù)安全的重任，下面對(duì)下一代防火墻在網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用做深入分析。

關(guān)鍵詞：下一代;防火墻;網(wǎng)絡(luò);安全防護(hù);包過濾

一、下一代防火墻的三大功能

1、 應(yīng)用識(shí)別的能力

識(shí)別的廣度和深度是應(yīng)用識(shí)別最重要的指標(biāo)，也是下一代防火墻區(qū)別于傳統(tǒng)防火墻的重要特征。在應(yīng)用識(shí)別廣度方面，業(yè)界領(lǐng)先的NGFW產(chǎn)品應(yīng)用識(shí)別數(shù)量基本在3000以上。類似網(wǎng)康等專注于應(yīng)用領(lǐng)域技術(shù)的廠商，目前應(yīng)用識(shí)別數(shù)量應(yīng)該都在4000以上。除了識(shí)別數(shù)量足夠廣之外，識(shí)別深度也更為重要。例如，企業(yè)可能會(huì)僅允許QQ聊天，但禁止QQ游戲;對(duì)跑在HTTP上的應(yīng)用，能夠精準(zhǔn)識(shí)別出該應(yīng)用的具體用途;同時(shí)，能夠從逃逸，帶寬等多個(gè)維度去判斷應(yīng)用屬性是否安全。

2、功能與性能兼?zhèn)?/p>

下一代防火墻融合IPS的防護(hù)，同時(shí)各廠家根據(jù)各自的理解還集成了其他更多的功能，但是有的廠商集成過多功能，甚至是集成Web應(yīng)用防火墻這樣產(chǎn)品功能，嚴(yán)重導(dǎo)致NGFW性能下降，甚至出現(xiàn)死機(jī)現(xiàn)象。因此客戶在選擇產(chǎn)品時(shí)不能僅看到功能的全面性，卻忽視了開啟這些功能后的性能衰減。不然后期只能被迫禁用一些應(yīng)用層防護(hù)的功能模塊，導(dǎo)致下一代防火墻變成了傳統(tǒng)防火墻或者UTM。業(yè)內(nèi)權(quán)威機(jī)構(gòu)認(rèn)為，優(yōu)秀的下一代防火墻產(chǎn)品開啟IPS功能后整機(jī)性能下降不應(yīng)超過50%。

3、可視化（visibility）和智能分析能力

隨著網(wǎng)絡(luò)快速發(fā)展，各式各樣復(fù)雜威脅層出不窮，用戶需要更加及時(shí)的掌握網(wǎng)絡(luò)現(xiàn)狀、風(fēng)險(xiǎn)、威脅、事件以及防御效果等用于支撐安全決策。這就需要下一代防火墻具備良好的可視化和智能分析能力，幫助用戶看得清威脅，防得住攻擊。因此，真正的“可視化智能管理”應(yīng)該是在多維統(tǒng)計(jì)的基礎(chǔ)上加以深入的分析，從應(yīng)用和用戶視角多層面的將網(wǎng)絡(luò)應(yīng)用的狀態(tài)展現(xiàn)出來(lái)。同時(shí)，通過引入外部威脅情報(bào)，實(shí)現(xiàn)安全態(tài)勢(shì)感知和風(fēng)險(xiǎn)預(yù)測(cè)功能，解決單機(jī)設(shè)備與生俱來(lái)的短板，以幫助用戶更加快速的了解網(wǎng)絡(luò)風(fēng)險(xiǎn)并及時(shí)部署防御措施。

二、下一代防火墻設(shè)備的選配

下一代防火墻功能強(qiáng)大，成本也相對(duì)較高，一些廠商按功能模塊收費(fèi)，因此在選配防火墻設(shè)備時(shí)需要考慮性價(jià)比。一是要了解使用方的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、核心服務(wù)、主干網(wǎng)絡(luò)帶寬利用率峰值、網(wǎng)絡(luò)中安全設(shè)備部署現(xiàn)狀和終端用戶網(wǎng)絡(luò)使用體驗(yàn)，挖掘出網(wǎng)絡(luò)建設(shè)安全需求和亟須解決的問題。二是根據(jù)客戶安全需求，選擇對(duì)應(yīng)的防護(hù)功能，進(jìn)而選用功能適配的防火墻設(shè)備，在采購(gòu)防火墻設(shè)備的同時(shí)需開通對(duì)應(yīng)的功能權(quán)限，比如網(wǎng)絡(luò)序列號(hào)、IPSecVPN分支機(jī)構(gòu)、SSLVPN移動(dòng)用戶數(shù)，WEB防護(hù)、網(wǎng)關(guān)殺毒、IPS、應(yīng)用控制、流量控制、各類特征庫(kù)升級(jí)序號(hào)等。三是根據(jù)功能需求選擇相應(yīng)的設(shè)備部署方式，接入方式不同，實(shí)現(xiàn)的防護(hù)功能也有差異，防火墻支持網(wǎng)關(guān)模式、網(wǎng)橋模式、混合模式、旁接模式和雙機(jī)接入等。四是根據(jù)防火墻接入干線的流量來(lái)確定防火墻的性能指標(biāo)，核心指標(biāo)有接口數(shù)量及帶寬、整機(jī)吞吐量、應(yīng)用層吞吐量、每秒最大連接數(shù)和并發(fā)連接數(shù)、設(shè)備存儲(chǔ)空間、關(guān)鍵部件冗余等，可能制約網(wǎng)絡(luò)應(yīng)用和用戶體驗(yàn)。

三、下一代防火墻安全策略配置

下一代防火墻通常配置的安全策略包括漏洞攻擊策略、Web應(yīng)用防護(hù)策略、僵尸網(wǎng)絡(luò)策略、內(nèi)容安全策略、應(yīng)用控制策略、連接數(shù)控制策略、DoS/DDoS防護(hù)策略、流量管理策略、用戶認(rèn)證策略和認(rèn)證選項(xiàng)等。安全策略制定時(shí)需注意以下事項(xiàng)：一是安全策略的可讀性設(shè)置。為保證防火墻規(guī)則的可讀性，在為各類資源、服務(wù)、應(yīng)用、規(guī)則命名時(shí)要有明顯區(qū)分，體現(xiàn)其分類、功能和用途，有利于安全策略的可視化配置和策略解讀。二是安全策略的細(xì)粒度配置。安全策略源目地址、出入網(wǎng)口和源目端口與實(shí)際對(duì)應(yīng)。下一代防火墻可以對(duì)區(qū)域、IP分組及用戶、應(yīng)用或服務(wù)、時(shí)間及生效狀態(tài)等進(jìn)行細(xì)粒度配置，進(jìn)行個(gè)性化設(shè)置，也可以針對(duì)某個(gè)具體應(yīng)用進(jìn)行細(xì)節(jié)化配置，如允許用戶通過HTTPS訪問互聯(lián)網(wǎng)，但是禁止通過HTTPS下載數(shù)據(jù);允許用戶使用QQ，但是禁止用戶通過QQ接收文件。三是調(diào)整安全策略執(zhí)行順序。防火墻的安全策略通常按順序執(zhí)行，遇到滿足條件的策略直接放行數(shù)據(jù)包，而不檢查后續(xù)策略的適用性，因此策略順序在防火墻功能發(fā)揮中的作用尤為重要。下一代防火墻在防御層面融合了多種安全技術(shù)，防火墻內(nèi)部傳統(tǒng)防火墻、網(wǎng)關(guān)殺毒、IPS、WAF等模塊聯(lián)動(dòng)防御，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行L2-7層的安全防護(hù)，同時(shí)與其他安全設(shè)備聯(lián)動(dòng)取得更好的防護(hù)效果。下一代防火墻與終端檢測(cè)響應(yīng)平臺(tái)聯(lián)動(dòng)，持續(xù)檢測(cè)發(fā)現(xiàn)、快速響應(yīng)處置，形成多層次立體化的威脅防御體系，彌補(bǔ)防火墻對(duì)內(nèi)部發(fā)起和內(nèi)部用戶之間的網(wǎng)絡(luò)攻擊無(wú)法檢測(cè)的缺陷。

四、結(jié)束語(yǔ)

下一代防火墻在傳統(tǒng)防火墻的基礎(chǔ)上，采用先進(jìn)的架構(gòu)設(shè)計(jì)和技術(shù)實(shí)現(xiàn)，具有更強(qiáng)大的設(shè)備性能、網(wǎng)絡(luò)功能和安全防護(hù)功能，實(shí)現(xiàn)設(shè)備部署、網(wǎng)絡(luò)連通和策略配置等，尤其是基于認(rèn)證用戶和應(yīng)用靈活配置安全策略，實(shí)現(xiàn)了數(shù)據(jù)包的深度過濾和網(wǎng)絡(luò)L2-7層的安全防護(hù)。與內(nèi)部模塊和外部安全設(shè)備間的聯(lián)動(dòng)響應(yīng)，提高了檢測(cè)能力，通過對(duì)安全威脅全流程的分析，實(shí)現(xiàn)對(duì)數(shù)據(jù)流向全程的安全防護(hù)。

參考文獻(xiàn)：

[1]趙菁.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（10）：21.

[2]趙彬.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].電子技術(shù)與軟件工程，2020（17）：251-252.

[3]何恩南.計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析研究綜述[J].珠江水運(yùn)，2020（18）：52.

作者簡(jiǎn)介：李偉偉 ?性別：男 ?民族：漢 ?籍貫：山西臨汾 ?出生年月日：1985年1月11日 ?學(xué)歷：本科 ? 工作單位：西部機(jī)場(chǎng)集團(tuán)天水機(jī)場(chǎng)有限公司 ? 職稱：工程師 ? 研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全與維護(hù)。