一種下一代防火墻系統設計

文/唐宏斌 覃曉寧

隨著以WEB2.0為代表的網絡時代的到來，互聯網進入了以論壇、博客、社交、視頻、P2P分享等應用為代表的下一代互聯網時代，越來越多的應用呈現出WEB化。傳統的防火墻的基本原理是根據五元組，包括IP地址、端口號或協議標識符等來檢測網絡流量，對中標的數據包執行相應的策略。針對WEB2.0應用，傳統防火墻無法有效區分各種應用程序。傳統防火墻無法鑒別和防護應用層攻擊手段。 同時，以竊取企業核心數據為目的的APT攻擊逐漸增多，傳統防火墻被動防御已經無法應對日益嚴峻的網絡安全風險。

為了解決傳統防火墻的不足，本文設計了下一代防火墻系統，該系統覆蓋一代墻的所有功能且滿足了Gartner定義的下一代防火墻的功能要求。

1 下一代防火墻功能架構

Gartner將下一代防火墻定義為在不同信任級別的網絡之間實時執行網絡安全策略的聯機控制，其應該具有以下屬性:

首先，在不影響網絡運行之下支持內嵌的bump-in-the-wire配置；

其次，作為網絡流監測和網絡安全策略執行平臺，應至少具有以下特性：

（1）具有標準的一代防火墻功能；

（2）具有集成而非僅僅堆砌的網絡入侵防御系統；

（3）應用感知和全棧可見性；

（4）超級智能防火墻。

針對上述需求，本文設計了一種下一代防火墻系統，該系統的功能架構如圖 1所示。

1.1 高性能基礎平臺

基礎平臺采用了多核并發技術，使并發處理數據包無需排隊等待；一體化安全引擎技術，統一對數據包進行基礎解析，避免每個功能模塊重復解析數據包；零拷貝技術，數據面與控制面共享內存，避免同步時的數據拷貝動作；三種技術結合使第二代防火墻性能較傳統墻有極大提升,可獲得極高吞吐量。

1.2 基本功能

二代墻覆蓋了一代墻的基本功能，包過濾、網絡地址轉換、身份認證、防DDoS攻擊、VPN、流量控制、地址綁定、內容檢測過濾、上網行為管理、Web應用防護、木馬防護、入侵防御、惡意代碼防護、僵尸網絡檢測、支持802.1Q VLAN Trunk協議、監控與審計、日志審計、雙機熱備等基本功能。

1.3 智能分析

圖1：下一代防火墻功能架構圖

平臺支持精細化上網行為管控，采用基于機器學習的流量異常檢測和行為異常檢測，綜合使用端口識別、關聯識別、DPI識別、DFI識別幾種技術，抽絲剝繭逐步解析流經設備的網絡數據，從而達到對應用的精準識別。

1.4 主動防御

平臺提供虛擬網絡服務，主動追蹤黑客軌跡；支持對應用的精確識別，感知網絡安全態勢，智能調整安全策略達到主動防御的目的；同時集成DOS防御、用戶認證、應用控制、入侵防御、站點分類過濾、病毒過濾、Web應用防御、數據防泄密等多種安全防御手段為用戶提供集成式的多方位的安全防護。

1.5 智能防御與對抗

本平臺搭載最新的AI威脅檢測引擎，能夠識別惡意代碼變種、未知威脅等特征匹配模式無法識別的高級威脅，不再特征庫規則匹配，而是通過機器學習模型判定安全威脅，能夠識別變種木馬，檢測未知威脅攻擊和預防零日攻擊等。

2 關鍵技術路線

2.1 過濾技術

包過濾是防火墻所要實現的基本功能，現在的防火墻已經由最初的地址、端口判定控制，發展到判斷通信報文協議頭的各部分，以及通信協議的應用層命令、內容、用戶認證、用戶規則甚至狀態檢測等等。尤其是狀態監測技術，在不影響網絡正常工作的前提下，模塊在網絡層截取數據包，繼而在所有的協議層上提取相關狀態信息，據此判斷該數據包是否符合安全策略。過濾技術包括包過濾防火墻、應用層防火墻和混合型防火墻，本平臺采用混合型防火墻技術。

2.2 防DDoS攻擊技術

DoS（Denial of Service） 和DDoS（Distributed Denial of Service）是近年來黑客最常用的也是最難防御的攻擊模式，DDoS攻擊主要包括Syn f lood、Land-based、Teardrop attack、Ping of Death、Smurf attack、Ping sweep、Ping flood等幾種類型。本平臺采用 “零積累智能識別”技術，不但能有處理各種SYN攻擊包，而且徹底解決了積累問題。

2.3 Web應用防火墻技術

防火墻的Web應用防護模塊，應用了先進的多維防護體系，對Web應用滲透攻擊形成一套專用特征規則庫，對時下主要的Web滲透攻擊實現了有效的防范，可防范的攻擊類型包括SQL注入攻擊、跨站腳本攻擊、沖區溢出、遍歷目錄、信息泄露、DDoS攻擊等。

2.4 虛擬防火墻技術

本平臺具備虛擬防火墻功能，一臺物理防火墻在邏輯上可虛擬出多個虛擬防火墻，每臺虛擬防火墻都是獨立的虛擬設備，有獨立的管理系統，能夠實現防火墻基礎路由功能、訪問控制功能、安全防護功能和審計管控功能。每個虛擬防火墻之間不能直接通信，有獨立的管理系統、管理員賬號、安全策略、審計日志、安全域等，可以分配獨立的物理接口或者邏輯接口。

2.5 AI威脅檢測引擎技術

本平臺搭載最新的AI威脅檢測引擎，能夠識別惡意代碼變種、未知威脅等特征匹配模式無法識別的高級威脅。平臺可采用千萬級樣本庫對模型進行訓練，同時不斷從全網收集最新的威脅樣本用于模型的訓練，為設備提供模型更新服務。

3 結論

進入以WEB 2.0為代表的網絡時代的到來，傳統防火墻在防護功能上已經心有余而力不足。本文設計了一種下一代防火墻系統，系統基于高性能基礎平臺，覆蓋了一代墻的功能，并提供入侵防御功能、Web應用防火墻功能，具有策略自動演進的內核和人工智能監測大腦，既滿足了傳統防御，也能針對APT等高級攻擊類型進行防御。