下一代防火墻（NGFW）特性淺析

◆陳志忠

(四川郵電職業(yè)技術(shù)學(xué)院 四川 610067)

下一代防火墻（NGFW）特性淺析

◆陳志忠

(四川郵電職業(yè)技術(shù)學(xué)院 四川 610067)

應(yīng)用層受到攻擊的概率越來(lái)越大，而傳統(tǒng)網(wǎng)絡(luò)防火墻在這方面的檢測(cè)及防御存在著明顯不足，對(duì)網(wǎng)絡(luò)的防護(hù)效果不夠明顯。與傳統(tǒng)防火墻相比，下一代防火墻性能有了很大的提升，體現(xiàn)了極強(qiáng)的可視性、融合性、智能化。本文以企業(yè)實(shí)際應(yīng)用需求為背景，探討了下一代防火墻應(yīng)具備的基本功能，為用戶部署下一代防火墻（NGFW）提出實(shí)施建議。

下一代防火墻NGFW；網(wǎng)絡(luò)安全；應(yīng)用層安全

0 前言

隨著計(jì)算機(jī)、互聯(lián)網(wǎng)等技術(shù)的發(fā)展，人們不管是在工作還是生活中都離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)。特別是隨著信息化、大數(shù)據(jù)時(shí)代的到來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)在人們?nèi)粘Ｖ邪l(fā)揮著更加重要的作用。據(jù)相關(guān)部門預(yù)測(cè)，2017年世界范圍內(nèi)將有47%的用戶每個(gè)月使用互聯(lián)網(wǎng)，增幅將達(dá)到6.1%。而到了2019年，互聯(lián)網(wǎng)普及率將高達(dá)50%，世界范圍內(nèi)互聯(lián)網(wǎng)用戶將達(dá)到38.2億。而在我國(guó)，據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的信息可知，2016年底我國(guó)互聯(lián)網(wǎng)用戶已經(jīng)達(dá)到7.31億，互聯(lián)網(wǎng)普及率為53.2%。而隨著計(jì)算機(jī)、互聯(lián)網(wǎng)技術(shù)的發(fā)展和廣泛應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)安全日益受到人們重視。特別是隨著我國(guó)進(jìn)入到“互聯(lián)網(wǎng)+”時(shí)代后，各行各業(yè)和計(jì)算機(jī)的聯(lián)系更加緊密，也使得計(jì)算機(jī)安全問(wèn)題成為“互聯(lián)網(wǎng)+”時(shí)代中較為重要的一個(gè)問(wèn)題。

1 第一代防火墻的缺點(diǎn)

越來(lái)越多的企業(yè)，開(kāi)始利用計(jì)算機(jī)、互聯(lián)網(wǎng)技術(shù)等進(jìn)行信息化建設(shè)，通過(guò)信息化建設(shè)實(shí)現(xiàn)企業(yè)的信息管理，如人力資源管理、員工培訓(xùn)管理等。互聯(lián)網(wǎng)技術(shù)的引入有效提高了企業(yè)各類事務(wù)的管理水平，進(jìn)而提高了企業(yè)競(jìng)爭(zhēng)力。但企業(yè)在開(kāi)展信息化的同時(shí)，由于互聯(lián)網(wǎng)具有較強(qiáng)的開(kāi)放性，企業(yè)信息系統(tǒng)容易受到各類網(wǎng)絡(luò)攻擊。另外操作系統(tǒng)存在的漏洞也將影響系統(tǒng)安全。因此企業(yè)在系統(tǒng)應(yīng)用過(guò)程中，一般都安裝了防火墻，以應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題。企業(yè)在應(yīng)用防火墻時(shí)，大多采用的是第一代防火墻，這一防火墻技術(shù)主要存在如下缺點(diǎn)：

1.1 安全監(jiān)測(cè)方式陳舊

企業(yè)中應(yīng)用的第一代防火墻技術(shù)，系統(tǒng)主要是對(duì)數(shù)據(jù)包的IP、端口等進(jìn)行識(shí)別判斷。而具體判斷識(shí)別時(shí)，并沒(méi)有實(shí)現(xiàn)數(shù)據(jù)包的深度分析，也不清楚數(shù)據(jù)包的具體類型，更無(wú)法實(shí)現(xiàn)應(yīng)用層功能，因此安全問(wèn)題無(wú)法保證。

1.2 無(wú)法抵御應(yīng)用層的網(wǎng)絡(luò)攻擊

應(yīng)用層中，遭受到的網(wǎng)絡(luò)較多，但第一代防火墻一般是在網(wǎng)絡(luò)層、傳輸層中工作，針對(duì)應(yīng)用層的網(wǎng)絡(luò)攻擊，第一代防火墻無(wú)法有效地應(yīng)對(duì)和防御，從而使得企業(yè)服務(wù)器依然經(jīng)常遭受網(wǎng)絡(luò)攻擊，影響企業(yè)信息安全。

1.3 花費(fèi)成本、維護(hù)成本高

第一代防火墻應(yīng)用時(shí)，為了實(shí)現(xiàn)網(wǎng)絡(luò)安全目的，需要借助于其它軟件設(shè)備和防火墻技術(shù)共同發(fā)揮作用。即第一代防火墻應(yīng)用時(shí)還需要配置其他軟件設(shè)備，因此這一網(wǎng)絡(luò)安全保障時(shí)花費(fèi)的成本較高。而不同的軟件設(shè)備，為了發(fā)揮出其作用，需要對(duì)其進(jìn)行維護(hù)，因此相應(yīng)維護(hù)成本也較高。

基于第一代防火墻的缺點(diǎn)，主要應(yīng)用于應(yīng)用層安全防御的下一代防火墻產(chǎn)生和發(fā)展起來(lái)，隨著下一代防火墻的出現(xiàn)和發(fā)展，下一代防火墻開(kāi)始在企業(yè)信息化建設(shè)中得到應(yīng)用。

2 下一代防火墻功能特性

下一代防火墻(Next generation firewall,簡(jiǎn)稱 NGFW），是相對(duì)于第一代防火墻技術(shù)而言的。隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的發(fā)展，為了消除應(yīng)用層安全威脅，下一代防火墻技術(shù)產(chǎn)生。下一代防火墻技術(shù)能為用戶提供提供應(yīng)用層一體化的防護(hù)。集成式入侵防御系統(tǒng)、可視化運(yùn)用識(shí)別、智能防火墻、高性能等是下一代防火墻所具備的基本要素，在這些要素的整合下，實(shí)現(xiàn)對(duì)應(yīng)用層安全威脅的防御。如圖1所示為下一代防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

圖1 下一代防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

2.1 在任何端口上識(shí)別和控制應(yīng)用程序

下一代防火墻應(yīng)用時(shí)，除了對(duì)標(biāo)準(zhǔn)端口進(jìn)行識(shí)別、控制外，還能實(shí)現(xiàn)所有端口的識(shí)別和控制。目前很多軟件研發(fā)時(shí)，越來(lái)越多的應(yīng)用程序都是在非端口上、跳端口等實(shí)現(xiàn)的。而第一代防火墻技術(shù)只能對(duì)標(biāo)準(zhǔn)端口進(jìn)行識(shí)別、控制，因此為了保證應(yīng)用程序的安全，就需要采用下一代防火墻。下一代防火墻應(yīng)用時(shí)，可以上任何端口上應(yīng)用，并在其所在端口上，根據(jù)應(yīng)用實(shí)現(xiàn)了信息流的分類，以保證應(yīng)用程序的安全。

2.2 用戶身份識(shí)別

下一代防火墻能對(duì)用戶身份進(jìn)行識(shí)別，這是下一代防火墻的另一大特性。本地通信設(shè)備、用戶等如果不合法，則會(huì)給系統(tǒng)帶來(lái)安全威脅，因此下一代防火墻中具備的認(rèn)證系統(tǒng)，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)進(jìn)出通信的用戶身份、類型識(shí)別，并對(duì)數(shù)據(jù)接收者的用戶身份進(jìn)行判斷，從而實(shí)現(xiàn)數(shù)據(jù)的有效傳輸，這些都是用戶身份識(shí)別的表現(xiàn)。

2.3 惡意軟件檢測(cè)

下一代防火墻還具備惡意軟件檢測(cè)特性。根據(jù)業(yè)務(wù)行為學(xué)習(xí)構(gòu)建動(dòng)態(tài)安全模型，下一代防火墻對(duì)服務(wù)器等應(yīng)用程序中出現(xiàn)的各種異常行為進(jìn)行偏離度分析，從而對(duì)存在的惡意軟件進(jìn)行檢測(cè)。如網(wǎng)絡(luò)爬蟲(chóng)、掃描攻擊、信息泄露等都能檢測(cè)出來(lái)，以保證應(yīng)用層的安全。

2.4 具備應(yīng)用程序控制功能

企業(yè)信息化建設(shè)主要是提高企業(yè)管理水平、員工工作效率的，因此就需要對(duì)應(yīng)用程序進(jìn)行控制，而下一代防火墻中則具備了應(yīng)用程序控制功能。應(yīng)用程序控制主要是以用戶身份、角色、應(yīng)用特征等為基礎(chǔ)搭建出程序控制策略，也可以通過(guò)用戶名、域名等的擴(kuò)充、系統(tǒng)日志、系統(tǒng)報(bào)表等記錄和表現(xiàn)出來(lái)應(yīng)用程序日常情況，為應(yīng)用程序控制奠定基礎(chǔ)。

2.5 集成入侵防御系統(tǒng)（IPS）功能

操作系統(tǒng)、應(yīng)用程序運(yùn)行時(shí)面臨著嚴(yán)重的安全隱患，黑客會(huì)根據(jù)系統(tǒng)、程序漏洞等進(jìn)行網(wǎng)絡(luò)攻擊，給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全隱患。在下一代防火墻中，集成式入侵防御系統(tǒng)的存在，則能有效應(yīng)對(duì)web、服務(wù)器等應(yīng)用層面臨的網(wǎng)絡(luò)攻擊。IPS的存在，能夠?qū)?shù)據(jù)包進(jìn)行拆分、檢查，并對(duì)其類型進(jìn)行識(shí)別，從而判斷是否允許該數(shù)據(jù)包進(jìn)入。在服務(wù)器網(wǎng)絡(luò)保護(hù)方面，主要通過(guò)網(wǎng)站攻擊防護(hù)、口令防護(hù)、權(quán)限控制、網(wǎng)站掃描、異常檢測(cè)等方式實(shí)現(xiàn)的。隨著網(wǎng)絡(luò)攻擊方式等的不斷變化，IPS特征庫(kù)也不斷處于更新中，如特洛伊、SQL注入等都包括在其中，因此集成入侵防御系統(tǒng)是下一代防火墻的一個(gè)重要特征。

2.6 具備橋接和路由模式

橋接、路由模式是下一代防火墻中的一個(gè)重要特性。企業(yè)當(dāng)前應(yīng)用的防火墻中，并非都是下一代防火墻，很多都是第一代防火墻。而要實(shí)現(xiàn)兩代防火墻的過(guò)度，則需要橋接或路由模式的實(shí)現(xiàn)，進(jìn)而實(shí)現(xiàn)下一代防火墻的應(yīng)用。

2.7 具備為受信遠(yuǎn)程用戶提供應(yīng)用程序可視化的能力

下一代防火墻還具備為受信遠(yuǎn)程用戶提供應(yīng)用程序可視化的能力，以實(shí)現(xiàn)應(yīng)用的精細(xì)訪問(wèn)控制，保證寬帶應(yīng)用的合理性、安全性。其中，下一代防火墻的可視化能力主要有DPI、DFI兩種。DPI即深度數(shù)據(jù)包監(jiān)測(cè)，該監(jiān)測(cè)除了具備第一代防火墻的作用外，還實(shí)現(xiàn)了應(yīng)用層的分析，即將數(shù)據(jù)包進(jìn)行拆分、識(shí)別，實(shí)現(xiàn)精細(xì)訪問(wèn)控制。DFI即流特征監(jiān)測(cè)，將流量特征和后臺(tái)模型進(jìn)行比較分析，實(shí)現(xiàn)精細(xì)識(shí)別控制。

2.8 具備使網(wǎng)絡(luò)安全管理趨于簡(jiǎn)單

下一代防火墻中，融合了多種硬件設(shè)備，并能實(shí)現(xiàn)可視化的智能管理，因此下一代防火墻配置簡(jiǎn)單，管理方便，管理員無(wú)需掌握多種管理技術(shù)即可實(shí)現(xiàn)網(wǎng)絡(luò)安全管理，因此下一代防火墻還具備網(wǎng)絡(luò)安全管理趨于簡(jiǎn)單的特性。在這一特性下，企業(yè)在應(yīng)用下一代防火墻時(shí)，只需對(duì)網(wǎng)絡(luò)安全管理員進(jìn)行簡(jiǎn)單培訓(xùn)，使其掌握下一代防火墻應(yīng)用方法、網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、異常采取措施等，便能實(shí)現(xiàn)網(wǎng)絡(luò)安全管理。

2.9 具備服務(wù)質(zhì)量和帶寬管理功能

下一代防火墻還具備服務(wù)質(zhì)量和寬帶管理功能特性。為了保證服務(wù)質(zhì)量，下一代防火墻的應(yīng)用，能夠?qū)ζ髽I(yè)內(nèi)網(wǎng)用戶應(yīng)用進(jìn)行相應(yīng)控制，防止由于過(guò)多訪問(wèn)、下載現(xiàn)象所導(dǎo)致的占用寬帶數(shù)據(jù)流量，從而影響網(wǎng)絡(luò)其它程序的正常應(yīng)用，從而保證了系統(tǒng)應(yīng)用的服務(wù)質(zhì)量。同時(shí)，管理員也能對(duì)網(wǎng)絡(luò)使用情況進(jìn)行定期查看，并根據(jù)應(yīng)用情況確定其合適的應(yīng)用帶寬，實(shí)現(xiàn)帶寬的有效管理。

3 結(jié)語(yǔ)

隨著攻擊變得越來(lái)越復(fù)雜，企業(yè)必須更新網(wǎng)絡(luò)防火墻和入侵防御能力來(lái)保護(hù)業(yè)務(wù)系統(tǒng)。下一代應(yīng)用層防火墻技術(shù)克服了傳統(tǒng)“邊界防火墻”的缺點(diǎn)，集成了IPS、防病毒等安全技術(shù)，實(shí)現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案，滿足企業(yè)實(shí)際應(yīng)用和發(fā)展的安全要求。

[1]西安交大捷普網(wǎng)絡(luò)科技有限公司.下一代防火墻技術(shù)探討[J].信息安全與通信保密，2014.

[2]陳科.做更完善的下一代防火墻[J].中國(guó)政府采購(gòu)，2014.

[3]龐博，張寶峰，張驍?shù)?我國(guó)下一代防火墻的現(xiàn)狀與發(fā)展[J].中國(guó)信息安全，2014.

[4]孫浩峰.下一代防火墻進(jìn)化論[J].網(wǎng)絡(luò)運(yùn)維與管理，2014.