基于下一代防火墻安全防護的應用

胡建勝，黃 俠

國網安徽省電力公司宿州供電公司,安徽宿州 234000

基于下一代防火墻安全防護的應用

胡建勝，黃 俠

國網安徽省電力公司宿州供電公司,安徽宿州 234000

隨著信息技術的發展，網絡服務形態呈現多元化，網絡之間的關系變得越來越復雜。面對新型的面向服務的架構和不斷增加的Web2.0應用所帶來的網絡風險，傳統安全網關已無法根據單純網絡數據流量來深入識別安全風險。現代企業需要在保障其基礎網絡穩定運行的同時，又需針對于各種網絡應用流量的風險進行檢測識別。下一代防火墻提供數據包4層以上深度檢測、威脅控制和應用感知，來幫助企業監管其網絡外圍。本文首先介紹了安全防護的核心問題，并從下一代防火墻與傳統防火墻之差異入手，對企業信息化應用如何評估和平滑過渡至下一代防火墻進行了相關探討。

下一代安全網關；安全防護；遷移

傳統防火墻作為一款目前應用最廣的安全產品，在IP/Port的網絡時代，起到了重要作用，它根據用戶業務流量特點創建不同的安全域，在這些安全域間進行訪問控制列表的定義，有效針對于安全域間非法訪問進行限制，但是我們也應該看到它的不足之處。黑客以及黑客軟件與工具，可以繞過網絡防火墻過濾策略，使得防火墻的保護功能失效，進而直接針對目標應用程序進行攻擊。另外他們通過偽裝技術，利用防火墻開放的端口，植入木馬、黑客工具等軟件，已達到一些非法目的。隨信息化高速發展，網絡安全應用日趨復雜化，現有防火墻的技術以不滿足安全需求，針對網絡安全發展要求，傳統防火墻網關存在以下問題：

1）Web2.0中的大量應用，很多是使用HTTP協議。傳統防火墻有它強大的檢測過濾功能，但是這些包過濾是基于端口與IP地址以及IP協議，無法檢測與過濾這些應用。

2）傳統防火墻無法檢測加密的Web流量。比如傳統防火墻對于加密的SSL流中的數據無法截取和對其數據進行解密，所以不能有效防范利用類似應用程序的攻擊。

3）L7層防護特性，不適用于復雜的情況。在大的數據中心機房中，服務器經常會發生應用變動，面對應用不斷更的需求，傳統防火墻沒有相關自動應對機制。雖然一些先進的網絡防火墻供應商，提出了應用層防護的特性，但只在簡單的環境中有效。通過研究不難發現，在企業應用的實際環境中，這些特征存在著局限性。大多數情況下，彈性概念的特征無法很好的應用于數據中心級中的應用。通過分析就會發現，這些供應商通過將捕獲的含80端口數據流中的URL長度進行拒絕的辦法，來實現安全防護特性。如果使用這個規則，將對所有的應用程序生效。如果一個程序或者是一個特殊的Web網頁，確實需要涉及到很長的URL時，就要屏蔽該規則。傳統防火墻的體系結構，只能是針對于網絡端口和協議進行操作的，無法通過現有的過濾規則對應用層漏洞進行識別與防護，除非涉及到的應用程序比較簡單。

4）隨著網絡應用的范圍擴大，應用效率提高的網絡帶寬需求迅速增長，桌面終端已進入千兆時代，企業接入網絡帶寬已進入萬兆或都更高十萬兆時代，傳統防火墻數據處理性能，已不能滿足高帶寬現狀。

1 網絡安全防護核心問題

我們認為，網絡安全防護的核心問題大體可以分為兩類：一類是網絡中存在威脅，但是現有安全防護手段是否可以及時發現；還有一類是現有的網絡安全部署，是否可以防得住層出不窮的網絡攻擊。下面我們就將針對這兩類問題進行分析：

是否能及時發現業務漏洞：沒有攻擊并不意味著業務系統就不存在漏洞，一旦漏洞被利用就會造成資料被破壞以及數據被盜用等風險。比如，近期曝出的某國內知名旅游門戶安全漏洞攻擊來看，攻擊者會想盡一切辦法將自己隱藏起來，直到竊取到重要機密信息之前。所以，安全的解決方案應該是針對于企業本身制定相應的安全級別與安全級別，及時快速的發現業務漏洞，才能有效的避免重要數據失竊。

因此，只有真正看到業務系統中存在哪些攻擊與業務漏洞，及時將其藏匿之處進行定位，并能對該類攻擊進行必要的安全防護，這才是解決網絡安全防護的首要任務。

2 下一代防火墻

通過對業務應用L4-7層安全應用防護的核心問題進行實驗與研究，我們得知以被動防御為主的傳統防火墻將不能很好的應對基于應用協議的網絡攻擊，企業在大力發展信息化的同時，不僅需要保證網絡平臺的穩定運行，又需要對業務應用流量有更深入的了解，也就是化被動為主動的防御理念。根據以上論述，在安全防火產品的大家族中增加了出現了新一代產品——下一代防火墻（NGFW），它基于L4-7層應用程序識別技術、不論是采用何種網絡端口和協議的應用層數據流量。真正的下一代防火墻應該具備以下特點：

1）高速的處理能力。下一代防火墻需要具備高交換容量的網絡處理性能，從而可以突破核心網絡性能瓶頸，防火墻的部署不會影響用戶網絡處理性能。

2）具備傳統防火墻的功能。下一代防火墻就應當具備代替傳統防火墻全部功能，其中必須包含但不限于包過濾，NAT，狀態監測，VPN等功能。

3）融合的IPS能力。通過新一代引擎技術，IPS可作為模塊化設備融合于新一代引擎技術防火墻設備通過安全策略框架等技術實現IPS策略與傳統安全策略的融合，從而最大化的保證系統運行效率，模塊化的設計可減少用戶硬件采購成本。

4）應用可視和身份鑒別能力。應用識別能力,且是下一代防火墻所有安全管控的基礎，而非簡單的根據IP/Port進行包過濾控制。

2.1下一代防火墻特性分析

防應用層攻擊。應用層安全防護是下一代防火墻與傳統防火墻最大的區別之一，它要求設備在收到數據包后，會對數據包進行應用識別，精確識別應用后，在對應的特征識別庫中與其進行匹配及詳細掃描。通過這種方式，不僅提高了數據包的掃描率，也增加了掃描的精確性，降低了誤報率。

2.2企業遷移下一代防火墻

下一代防火墻提供深度數據包檢測、細粒度控制和應用感知，來幫助企業監管其網絡外圍。盡管這些新平臺這么具有吸引力，“下一代”的標簽并沒有很好地描述如何解決當企業遷移到下一代防火墻時所涉及的技術、功能和支持問題。現在市面上“大多數現代防火墻都有一些‘下一代’功能，包括集成入侵防御（IPS）以及更好的應用控制，Gartner研究主管Eric Maiwald表示，這是現在的防火墻的標準，所有主要安全廠商都聲稱擁有下一代產品”。但是這些說法并不總是很準確，知道如何評估和遷移到下一代平臺才是至關重要的。目前，在企業遷移到下一代防火墻主要集中以下幾點問題：

1）良好的應用控制。細粒度應用控制是遷移到下一代防火墻的一個很大的原因，但是在現有環境下進行防火墻的更換并不是一個輕松的過程。首先，現有防火墻中部署了大量的安全策略，實現遷移必須保證遷移以后應用服務器不受影響，需要進行大量的前期準備和協調工作，所以除非必要和進行了充分的準備，否則在遷移過程中會產生諸多意想不到的問題。

2）現有防火墻難以淘汰和替換。部署下一代防火墻可能帶來技術更換、網絡設置變更和安全政策的問題。網絡管理員通常需要考慮更換防火墻后是否能適應管理方式，規則集的配置是否熟練，以及更換下一代防火墻后是否與原有網絡架構兼容等問題。建議與廠家進行深入的溝通和交流，另外為了避免出現復雜的網絡架構，升級到下一代防火墻最好與最好與原有防火墻統一品牌。

3）產品選型。目前，市場上出現的下一代防火墻品牌多如雨后春筍，這其中有傳統防火墻廠商，IDS入侵檢測系統廠商、IPS入侵防御系統廠商、安全評估系統廠商、流量檢測流控的廠商、上網行為管理等都全部研發出自己專屬的新下一代防火墻。面對各有特色、紛繁復雜的下一代防火墻市場，用戶又該如何根據自身的需求選擇合適的產品呢?企業需要在制定和實施具體的信息網絡安全解決方案的時候，首先要具備對現有的網絡信息安全系統、業務應用安全需求、硬件部署情況進行分析與統計。

3 結論

隨著網絡信息安全的發展，下一代安全網關的出現是大勢所趨，它可以解決傳統防火墻很多不能解決的問題，下一代安全網關給我們帶來全新的安全模式，在應用部署、安全管理乃安全應用防御概念上都與傳統防火墻有很大的不同，下一代安全網關能夠把整個網絡及應用訪問策略實現原理和對網絡應用資源調度提升到新的應用管理水平，為用戶提供更好的網絡安全體驗，帶來了全新的管理視角，它的實現讓我們有信心去迎接更大的安全挑戰。

[1]Jane.什么是真正的下一代防火墻[EB/OL].（2014-1-3）[2014-5-20]http://www.searchsecurity.com.cn/ showcontent_75329.htm.

[2]David Strom.是否遷移到下一代防火墻？[EB/OL].（2013-9-27）[2014-5-20]http://www.searchsecurity.com.cn/ showcontent_76916.htm.

TP3

A

1674-6708（2016）171-0104-02

胡建勝，高級工程師，國網安徽省電力公司宿州供電公司，研究方向為信息通信管理。黃俠，高級工程師，國網安徽省電力公司宿州供電公司，研究方向為計算機及其應用。