用好下一代防火墻輕松防范網絡風險

■ 北京 金玲

編者按：眾所周知，網絡安全重在防護，完整、有效的網絡安全防護方案可以確保信息系統的穩定運行。本文以筆者所在單位的信息系統為例，結合工作實際，探討如何利用“下一代防火墻”制定全方位、行之有效的網絡安全防護方案。

在日益增長的網絡安全防護需求推動下，防火墻技術得到飛速發展。筆者所在單位使用的防火墻型號為深信服NGAF-1350，屬于更加安全的“下一代防火墻”，提供更全面的內容級安全防護，具備完整的L2-L7完整的安全防護功能。本文以筆者所在單位的信息系統為例，結合工作實際，探討如何利用“下一代防火墻”制定全方位、行之有效的網絡安全防護方案。

Web攻擊防護

筆者所在單位的門戶網站和用戶上網共用外網線路，在這種網絡環境下，如果作為出口安全網關的防火墻不具備Web應用防護能力，那么在APT攻擊的大環境下，傳統的安全設備很容易被繞過，形同虛設。NGAF則提供基于黑客攻擊過程的完整Web系統安全防護，針對黑客入侵三步曲即掃描、入侵、破壞進行統一的安全防護：

1.掃描：提供網站防掃描、口令暴力破解、關鍵URL防護、應用信息隱藏等。

2.滲透：提供強化的Web攻擊防護（防SQL注入、OS命令注入、XSS攻擊、CSRF攻擊）、多對象漏洞利用防護等。

3.破壞：提供Webshell后門檢測、黑鏈檢測、抗CC攻擊、惡意腳本上傳過濾、僵木蠕檢測、異常流量清洗等。

查看入侵防護情況，登錄設備，點擊“導航菜單”→“運行狀態”→“安全狀況”→“入侵風險”：顯示系統受到Shellcode漏洞攻擊10次、System漏洞攻擊1次、Scan漏洞攻擊3次。

具體情況（如圖1所示）是：IP地址為192.168.31.50的服務器曾被黑客使用Nmap等工具搜集服務器的端口、服務等信息，遭受7個源IP攻擊，攻擊共計14次，其中，檢測到111.230.45.212發起Shellcode漏洞攻擊處于滲透階段，39.104.28.63發起Scan漏洞攻擊處于掃描階段，建議管理員對該服務器加強防護，并對所涉源IP進行黑名單封堵。

圖1 添加用戶到用戶組

NGAF提供了Web防護、IPS入侵防護、病毒防護，以及DDoS防護等功能，識別和阻斷不正常的流量，監控不斷增長和聚合的通訊流量，關閉惡意連接，對SQL注入、常見Web服務器插件漏洞、木馬上傳等OWASP常見攻擊進行防護，防止惡意流量過度地消耗系統資源。

使用NGAF的網頁防篡改防護可以第一時間攔截網頁篡改的信息并通知管理員確認，同時對外提供篡改重定向功能，將用戶的訪問請求重定向到備份的Web服務器上，保證用戶仍可正常訪問網站。

具體配置只需管理員預先在控制臺配置好需要防護的網站，點擊“導航菜單”→“服務器保護”→“網頁篡改防護”→“+新增”，添加防篡改策略，設置完成后，系統向網站請求頁面并且緩存到設備，用以和用戶訪問的頁面進行比對。

圖2 通道配置

應用流量的管理控制

單位的局域網有200多臺計算機聯網且未限制手機等移動設備接入網絡，如果不對流量進行合理管控，各種應用會嚴重擠占帶寬，妨礙正常的網絡辦公應用。管理員可利用NGAF的流量管理模塊規劃上網行為，識別和管控與工作無關的應用，提高帶寬利用率，解決“帶寬永遠不夠寬”問題。

流量分配的原則是確保服務器、重要業務和行政辦公的流量使用，限制流量異常的終端。具體配置過程：第一步，設置用戶組，“導航菜單”→“認證系統”→“用戶管理”→“組/用戶”→“+新增”，選擇“組”選項，在“組名列表”中輸入工作組名稱點擊“提交”。第二步，在用戶組中添加用戶，點擊“待添加用戶組→成員管理→+新增→用戶”進行添加，也可到設備默認的Default用戶組或其他用戶組中勾選待添加用戶，點擊“移動”將用戶轉到待添加的用戶組。第三步，進行通道配置，就是把一條物理線路為用戶組劃分為不同的邏輯線路，以實現網絡帶寬的合理分配，點擊“導航菜單→流量管理→通道配置”，勾選“啟用流量管理系統”，進入通道配置頁面，點擊“+新增通道→添加通道”，進入通道編輯菜單進行通道設置。在如圖2所示的通道設置中，設置內網通道上行帶寬和下行帶寬最多占總帶寬的50%，優先級選擇低，意味著該通道在與服務器爭用空余帶寬時處于劣勢。

單位最初購買的NGAF F-1350無法識別移動終端，導致網絡管理存在盲點，經與廠商工程師溝通后，在防火墻上加裝了移動終端管理模塊，用來識別Wi-Fi熱點、無線聯網用戶和終端，實現對所有網絡用戶的可管可控。通過移動終端管理模塊可對移動終端實施封禁，如圖3所示，依次點擊“導航菜單→安全防護對象→移動終端管理”，進入移動終端管理頁面，找到并選中流量異常的移動終端IP地址，在頁面左上端選擇“拒絕此移動終端”，彈出對話框選擇“是”，最后再頁面右下角點擊“立即生效配置”按鍵。

安全漏洞分析和掃描

對于管理員來說，每天進行安全漏洞分析、軟件更新以及修補系統漏洞是每日必需的基本活動。NGAF通過實時分析網絡流量，發現網絡中存在的業務漏洞，包括：發現網站/OA存在的設計問題、第三方插件的漏洞檢測、Web不安全配置檢測等。

圖4是一臺剛接入網絡的服務器通過NGAF-1350提供的漏洞掃描功能自動檢測出的漏洞，管理員可據此逐一進行自動或手動修復。

圖3 封禁移動終端

圖4 服務器漏洞掃描

面向用戶與應用制定訪問控制策略

根據業務需求，制定L3-L7層一體化基于用戶應用的訪問控制策略，包括應用訪問控制策略的制定和安全防護策略的創建，為網絡提供有效防御。訪問控制策略配置，點擊“導航菜單→內容安全→應用控制策略→+新增”，進入控制策略編輯頁面，確定控制規則的網絡對象、應用動作等選項。控制規則的配置應關閉不需要使用或存在攻擊隱患的服務及端口，刪除過期的無用規則，防止規則膨脹，保留維持系統正常運行所必須開放的端口和服務的最小集合。

總結

安全防護不能存在短板，通常采用設備疊加的方案確保網絡和數據安全， NGAF在端口、協議的檢測和阻斷基礎上，增加了入侵防御、服務器防護、應用流量管理等功能，將內部網絡的安全控制策略集中于防火墻之上，實現集中管理，大大降低了設備疊加防護方案的組網復雜度和不兼容性。在實際使用過程中，以NGAF為核心構建的L2-L7層整體安全防護體系可同時抵擋網絡層和應用層的攻擊，展現了良好的抗攻擊性能，面向用戶與應用的雙向管控，極大的提高了管理員的工作效率，讓管理員可以輕松實現對網絡的有效管控，防范網絡風險。