下一代防火墻的技術與優勢

摘 要：防火墻是企業應用安全的第一道防御系統，所以其設計思想就決定了整個網絡系統的安全性能。下一代防火墻從底層處理器芯片，到引擎，到樣本庫無疑都有新的設計和安全策略，而在產品的功能組合方面，也比以前要豐富實用了許多本文分析防火墻的技術，闡述下一代防火墻的應用優勢。

關鍵詞：下一代防火墻，；云計算；，SSL加密

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2013） 24-0000-01

一、什么是下一代防火墻

隨著云計算、移動、社交網絡等新興IT技術的發展，互聯網應用類型的不斷增加以及應用形式的不斷變化，越來越多的安全威脅伴隨著我們，這為IT系統的安全帶來全新的挑戰，同時也給企業IT基礎架構帶來了翻天覆地的變化。在這種情況下，第一代防火墻已基本無法探測到利用僵尸網絡作為傳輸方法的威脅。傳統的安全防護手段無法識別出網絡應用，僅僅根據目的地IP地址阻止對此類服務的已知源訪問再也無法達到安全要求，沒有辦法對其進行管理和防護，是必須要經過改進來應對各種各樣新的安全威脅挑戰，下一代防火墻，即Next Generation Firewall，簡稱NG Firewall適時出現。下一代防火墻就是以應用識別技術為基礎的。下一代防火墻的執行范例包括阻止與針對細粒度網絡安全策略違規情況發出警報，如：使用Web郵件、anonymizer、端到端或計算機遠程控制等。“下一代”功能，具體描述如下：

1.（1）功能部署預配置： 提供高吞吐量低延遲防火墻，基于不同規模下的個性化的需求譬如分布式企業安全控制管理的多功能應用，這種部署選項設置目的在于對用戶提供隨需應變的網絡與安全選擇。

（2）2.關聯可視性： 基于網絡中應用，用戶與設備即時或查看過往的網絡使用狀況，及時的調配流量，應用控制以及安全策略。

3.（3）高級威脅防護（ATP）：提供強化的安全工具，抵御多面向的持續性滲透攻擊。能確保網絡安全不會成為網絡效能的瓶頸。

二、下一代防火墻技術特點

下一代防火墻應該能夠為不同規模的行業用戶的數據中心、廣域網邊界、互聯網邊界等場景提供更加精細、更加全面、更高性能的應用內容防護方案，具有包括如下的技術特點：

（一）基于用戶進行防護

傳統防火墻策略都是依賴IP與MAC地址來區分數據流，這不利于管理也很難完成對網絡狀況的清晰掌握與精確的控制。下一代防火墻集成了安全準入控制功能，支持多種認證協議和認證的方式，實現了基于用戶的安全防護策略部署和可視化管控。

（二）更加安全的面向應用

在應用安全方面，下一代防火墻應可以做到對各種應用的深層次的識別；；另外在數據安全性問題方面的解決方面，通過遠程接入技術，虛擬化技術相結合，為遠程接入終端提供虛擬應用發布和虛擬桌面功能，不用執行任何應用系統客戶端程序，使其本地完成和內網服務器端的數據交互，實現了終端到業務系統的“無痕訪問”，從而達到了終端與業務分離的目的。

（三）轉發平臺更加高效

下一代防火墻將NSE（網絡服務引擎）和SE（安全引擎）獨立部署。網絡服務引擎完成底層路由/交換轉發，并且，對整機各模塊進行管理和狀態監控；；安全引擎負責把數據流進行網絡層安全處理和應用層安全處理。通過部署多安全引擎與多網絡服務引擎的方式來實現整機流量的分布式并行處理與故障切換功能。下一代防火墻為了突破傳統網關設備的性能瓶頸。

（四）擁有多層級冗余架構

下一代防火墻在設計中，通過板卡冗余，模塊冗余和鏈路冗余來構建底層物理級冗余，它使用雙操作系統來提供系統級冗余，而采用多機冗余及負載均衡進行設備部署實現了方案級冗余。由物理級，系統級和方案級共同構成了多層級的冗余化架構體系結構。下一代防火墻設備擁有完善的業務連續性保障方案。采用多層級冗余化設計方案。

（五）可視化全方位視角

下一代防火墻對于管理范圍內所有主機，設備的網絡應用情況和安全事件信息進行準確的定位和實時跟蹤，包括對歷史精確還原與對各種數據智能的統計分析，使得管理者清晰的認知網絡運行狀態。從應用和用戶視角多層面的將網絡應用的狀態展現出來，對于全網產生的海量安全事件信息內容，通過深入的數據挖掘能夠形成安全趨勢的分析，與各種圖形化的統計分析報告。

（六）防護和安全技術融合

下一代防火墻的整套安全防御體系都應該是基于動態云防護而進行設計的。一方面可以通過云來收集安全威脅信息并且快速尋找解決方案，及時的更新攻擊防護規則庫，并且以動態的方式實時部署到各用戶設備中，從而保證用戶的安全防護策略得到及時的，準確的動態更新。動態云防護和全網威脅聯防是技術的一大融合。

三、下一代防火墻的優勢

下一代防火墻作為邊界安全防護手段的核心技術，在經歷了無數次的技術變革后，早已不是傳統防概念了。下一代防火墻之所以受到各界的追捧，主要原因是由于當今的網絡威脅來源發生了重大的變化，過去以郵件附件形式為主的攻擊手段已經構不成威脅了，取而代之的是，來自隱藏的在數以萬計的網絡應用中的網絡攻，。下一代防火墻可以讓管理員分別控制管理與業務相關的網絡數據流，能夠保證企業的網絡生產效率保持高水平，還可以將所有安全和程序控制技術應用到SSL加密數據流中，確保SSL數據流中沒有惡意代碼。掃描各個端口的文件，不限制文件大小，也不會在掃描時影響數據的安全性或網絡的效率。

四、結束語

云計算、大數據和移動技術都正以迅猛的速度發展，反映在企業網絡安全領域。下一代防火墻為不同規模的行業用戶的數據中心、廣域網邊界、互聯網邊界等場景提供更加精細、更加全面、更高性能的應用內容防護方案，以智能化識別、精細化控制、一體化掃描為核心理念，滿足了在下一代網絡中的安全應用需求，集中體現了識別安全風險、保障應用安全的客戶價值。

參考文獻：

[1]肖堅.淺析入侵防御系統[J].電腦知識與技術，，2011（14）.

[2]王純.探析防火墻技術[J].無線互聯科技，，2011（06）.

[3]余光華.計算機網絡安全性問題探析[J].信息安全與技術，，2011（06）.

[基金項目]吉林省教育廳“十二五”科學技術研究基金資助項目（吉教科合字[2012]第371號）。