下一代防火墻在網(wǎng)絡安全中的應用

摘要：下一代防火墻，即Next Generation Firewall，簡稱NG Firewall，是一款可以全面應對應用層威脅的高性能防火墻。通過深入洞察網(wǎng)絡流量中的用戶、應用和內(nèi)容，并借助全新的高性能單路徑異構并行處理引擎，NGFW能夠為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業(yè)務并簡化用戶的網(wǎng)絡安全架構。當前我國自主的主流防火墻產(chǎn)品有華為NGFW、深信服NGAF、綠盟等，在政企、教育、銀行、醫(yī)療、科研等行業(yè)和領域承接著防護網(wǎng)絡及數(shù)據(jù)安全的重任，下面對下一代防火墻在網(wǎng)絡安全防護中的應用做深入分析。

關鍵詞：下一代;防火墻;網(wǎng)絡;安全防護;包過濾

一、下一代防火墻的三大功能

1、 應用識別的能力

識別的廣度和深度是應用識別最重要的指標，也是下一代防火墻區(qū)別于傳統(tǒng)防火墻的重要特征。在應用識別廣度方面，業(yè)界領先的NGFW產(chǎn)品應用識別數(shù)量基本在3000以上。類似網(wǎng)康等專注于應用領域技術的廠商，目前應用識別數(shù)量應該都在4000以上。除了識別數(shù)量足夠廣之外，識別深度也更為重要。例如，企業(yè)可能會僅允許QQ聊天，但禁止QQ游戲;對跑在HTTP上的應用，能夠精準識別出該應用的具體用途;同時，能夠從逃逸，帶寬等多個維度去判斷應用屬性是否安全。

2、功能與性能兼?zhèn)?/p>

下一代防火墻融合IPS的防護，同時各廠家根據(jù)各自的理解還集成了其他更多的功能，但是有的廠商集成過多功能，甚至是集成Web應用防火墻這樣產(chǎn)品功能，嚴重導致NGFW性能下降，甚至出現(xiàn)死機現(xiàn)象。因此客戶在選擇產(chǎn)品時不能僅看到功能的全面性，卻忽視了開啟這些功能后的性能衰減。不然后期只能被迫禁用一些應用層防護的功能模塊，導致下一代防火墻變成了傳統(tǒng)防火墻或者UTM。業(yè)內(nèi)權威機構認為，優(yōu)秀的下一代防火墻產(chǎn)品開啟IPS功能后整機性能下降不應超過50%。

3、可視化（visibility）和智能分析能力

隨著網(wǎng)絡快速發(fā)展，各式各樣復雜威脅層出不窮，用戶需要更加及時的掌握網(wǎng)絡現(xiàn)狀、風險、威脅、事件以及防御效果等用于支撐安全決策。這就需要下一代防火墻具備良好的可視化和智能分析能力，幫助用戶看得清威脅，防得住攻擊。因此，真正的“可視化智能管理”應該是在多維統(tǒng)計的基礎上加以深入的分析，從應用和用戶視角多層面的將網(wǎng)絡應用的狀態(tài)展現(xiàn)出來。同時，通過引入外部威脅情報，實現(xiàn)安全態(tài)勢感知和風險預測功能，解決單機設備與生俱來的短板，以幫助用戶更加快速的了解網(wǎng)絡風險并及時部署防御措施。

二、下一代防火墻設備的選配

下一代防火墻功能強大，成本也相對較高，一些廠商按功能模塊收費，因此在選配防火墻設備時需要考慮性價比。一是要了解使用方的網(wǎng)絡拓撲結構、核心服務、主干網(wǎng)絡帶寬利用率峰值、網(wǎng)絡中安全設備部署現(xiàn)狀和終端用戶網(wǎng)絡使用體驗，挖掘出網(wǎng)絡建設安全需求和亟須解決的問題。二是根據(jù)客戶安全需求，選擇對應的防護功能，進而選用功能適配的防火墻設備，在采購防火墻設備的同時需開通對應的功能權限，比如網(wǎng)絡序列號、IPSecVPN分支機構、SSLVPN移動用戶數(shù)，WEB防護、網(wǎng)關殺毒、IPS、應用控制、流量控制、各類特征庫升級序號等。三是根據(jù)功能需求選擇相應的設備部署方式，接入方式不同，實現(xiàn)的防護功能也有差異，防火墻支持網(wǎng)關模式、網(wǎng)橋模式、混合模式、旁接模式和雙機接入等。四是根據(jù)防火墻接入干線的流量來確定防火墻的性能指標，核心指標有接口數(shù)量及帶寬、整機吞吐量、應用層吞吐量、每秒最大連接數(shù)和并發(fā)連接數(shù)、設備存儲空間、關鍵部件冗余等，可能制約網(wǎng)絡應用和用戶體驗。

三、下一代防火墻安全策略配置

下一代防火墻通常配置的安全策略包括漏洞攻擊策略、Web應用防護策略、僵尸網(wǎng)絡策略、內(nèi)容安全策略、應用控制策略、連接數(shù)控制策略、DoS/DDoS防護策略、流量管理策略、用戶認證策略和認證選項等。安全策略制定時需注意以下事項：一是安全策略的可讀性設置。為保證防火墻規(guī)則的可讀性，在為各類資源、服務、應用、規(guī)則命名時要有明顯區(qū)分，體現(xiàn)其分類、功能和用途，有利于安全策略的可視化配置和策略解讀。二是安全策略的細粒度配置。安全策略源目地址、出入網(wǎng)口和源目端口與實際對應。下一代防火墻可以對區(qū)域、IP分組及用戶、應用或服務、時間及生效狀態(tài)等進行細粒度配置，進行個性化設置，也可以針對某個具體應用進行細節(jié)化配置，如允許用戶通過HTTPS訪問互聯(lián)網(wǎng)，但是禁止通過HTTPS下載數(shù)據(jù);允許用戶使用QQ，但是禁止用戶通過QQ接收文件。三是調(diào)整安全策略執(zhí)行順序。防火墻的安全策略通常按順序執(zhí)行，遇到滿足條件的策略直接放行數(shù)據(jù)包，而不檢查后續(xù)策略的適用性，因此策略順序在防火墻功能發(fā)揮中的作用尤為重要。下一代防火墻在防御層面融合了多種安全技術，防火墻內(nèi)部傳統(tǒng)防火墻、網(wǎng)關殺毒、IPS、WAF等模塊聯(lián)動防御，對網(wǎng)絡數(shù)據(jù)進行L2-7層的安全防護，同時與其他安全設備聯(lián)動取得更好的防護效果。下一代防火墻與終端檢測響應平臺聯(lián)動，持續(xù)檢測發(fā)現(xiàn)、快速響應處置，形成多層次立體化的威脅防御體系，彌補防火墻對內(nèi)部發(fā)起和內(nèi)部用戶之間的網(wǎng)絡攻擊無法檢測的缺陷。

四、結束語

下一代防火墻在傳統(tǒng)防火墻的基礎上，采用先進的架構設計和技術實現(xiàn)，具有更強大的設備性能、網(wǎng)絡功能和安全防護功能，實現(xiàn)設備部署、網(wǎng)絡連通和策略配置等，尤其是基于認證用戶和應用靈活配置安全策略，實現(xiàn)了數(shù)據(jù)包的深度過濾和網(wǎng)絡L2-7層的安全防護。與內(nèi)部模塊和外部安全設備間的聯(lián)動響應，提高了檢測能力，通過對安全威脅全流程的分析，實現(xiàn)對數(shù)據(jù)流向全程的安全防護。

參考文獻：

[1]趙菁.防火墻在網(wǎng)絡安全中的應用[J].網(wǎng)絡安全技術與應用，2020（10）：21.

[2]趙彬.計算機網(wǎng)絡安全與防火墻技術研究[J].電子技術與軟件工程，2020（17）：251-252.

[3]何恩南.計算機網(wǎng)絡安全及防火墻技術分析研究綜述[J].珠江水運，2020（18）：52.

作者簡介：李偉偉 ?性別：男 ?民族：漢 ?籍貫：山西臨汾 ?出生年月日：1985年1月11日 ?學歷：本科 ? 工作單位：西部機場集團天水機場有限公司 ? 職稱：工程師 ? 研究方向：計算機網(wǎng)絡安全與維護。