下一代智能防火墻邊界在軍綜網中的重要作用

魯田思

摘要：在“互聯網+”的時代IT信息技術的快速發展已經成為必要趨勢，在關注快速發展的同時信息安全也成為主流的關注對象，傳統的網絡架構已經成為基礎建設的必要措施，然而安全是加固這層基建的重要保障，傳統的防火墻對于應用的識別不精準造成數據包的判斷錯誤導致安全風險增大。

關鍵詞：下一代智能防火墻;區域邊界;應用層策略

中圖分類號：TP393 ? ? 文獻標識碼：A

文章編號：1009-3044（2021）32-0046-03

1 背景

防火墻是內外網絡之間的重要保障，是抵御外部威脅的第一道橋梁，傳統的防火墻一般有四種類型分別是包過濾、應用級網關、代理服務器和狀態檢測等功能。

隨著網絡的攻防威脅的日益頻繁和門檻的降低傳統的防火墻已經不能抵御威脅，黑客可以輕易地躲避傳統防火墻的攔截，傳統的防火墻不能對加密的應用數據進行數據包分析、無法檢測加密的Web流量信息、無法擴展檢測的深度、無法聯動其他安全設備經行統籌部署。

下一代智能防火墻相比傳統的防火墻不僅具有傳統防火墻基于四層防護的基本功能其優勢是在于依據傳統的防火墻的數據包進行七層過濾并且配合應用識別特征庫做到包的拆分過濾真正對微小的數據包進行識別對判定存在威脅的數據進行過濾。

2 下一代智能防火墻的由來

2.1 下一代智能防護的誕生

防火墻雖然存在安全域的概念并且端口也應用在安全域下但是端口的狀態檢測仍然不能做到安全地阻止外部威脅，隨著Web2.0的快速發展更小的數據包以及使用更小更常用的數據端口在傳統的防火墻上是檢測不到的，這意味著基于端口/協議的政策已經變得不能很好適應和奏效。

NGFW下一代智能防火墻[1]應該是可以承受高并發并且更加智能聯動的防火墻一般具有以下幾個屬性：

1）典型的初代防火墻：數據包過濾、VPN虛擬專用網絡[2]、NAT網絡地址轉換以及狀態性協議檢測等。

2）下一代智能防火墻有了智能判斷的機制：集合特征庫的分析精準判斷數據包是否存在異常行為特征，當然需要有IPS和AV的授權并實時更新特征庫與病毒庫。

3）應用識別的精準：識別到獨立運行的端口和協議，并非傳統防火墻的協議號來判斷。

4）下一代防火墻深度學習性：下一代智能防火墻具有深度學習功能，可以將數據包與用戶建立起連帶關系，通過全局的黑白名單信任機制可以做到及時有效的身份驗證和阻斷。

2.2 下一代智能防火墻的技術革新

應用的精準識別和設備的聯防聯動是下一代防火墻的重要方向數據包不再區分大小以抵御更多的威脅數據，而且下一代防火墻更加注重性能的要求根據七層協議實時命中應用特征庫的識別。

經典防火墻和Unified Threat Management（統一威脅管理，以下簡稱：UTM）是在“瘦防火墻”的基礎上逐步發展而來，但NGFW防火墻集成的WAF、URL過濾、VPN、IPS、AV、沙箱、態勢感知等功能于一體的安全智能網關系統更加注重應用層的防護，結合自身特有的防護引擎模塊實時精準高效地對于數據包和流量做出處理動作避免造成內部數據安全和威脅，而減少網絡安全設備硬件的數量，更加有利于網絡安全診斷效率。

下一代防火墻對數據流量的細粒度識別更加快速精準，對異常流量和數據能夠及時做出阻止動作，可以基于應用層的QOS對流量進行整流和放行做到更加精準識別和控制，不再依據傳統的ACL的匹配策略進行數據模型的整流模式使得控制更加靈活和安全。

3 下一代智能防火墻的功能

3.1 部署功能

1）路由模式[3]

路由模式一般適用于用戶有少量的公網地址但是需要上網的私網地址用戶較多的模式，因此防火墻需要采取NAT轉換成出接口或者目的地址池內的地址進行轉換上網，防火墻則是起到承上啟下的作用那么DHCP地址池可以在防火墻中設置也可以在下層的交換設備上部署。

2）透明網橋模式

網橋模式是現在部署方式較多的形式，網橋模式的使用相當于接接口對之間形成一路可以監測和管理的網線模式，這種部署方式的好處就是不改變原來的網絡架構省去煩瑣的部署和分析現有網絡拓撲的步驟，并且接口的形式與網絡中二層接口模式相同。

3）旁掛模式

旁路模式又稱旁掛模式也是現實中部署較多的形式，旁路部署一般需要將核心設備的接口開啟流量鏡像，將網絡中的流量鏡像給防火墻讓防火墻進行識別，在不改動和不需要業務終中斷的情況下這種部署模式有效地控制網絡中存在的安全風險。

3.2 安全功能

1）業務安全

業務安全是從業務角度進行安全展示，展示網絡中業務相關的整體安全狀況，包括業務風險匯總、安全事件匯總攻擊和實時漏洞分析三個功能。

①業務風險匯總是從業務角度進行安全展示。可以查看到業務是否存在被攻擊或者看到潛在的風險。

關于風險等級說明如表1所示。

表1 ? 風險等級

[風險等級 說明 已被入侵 已有數據證明服務器已被黑，如被掛webshell、黑鏈等。 曾被入侵 無數據證明服務器被黑，會存在被攻擊的證據：包括SQL注入、暴力破解、webshell上傳等攻擊類型的日志。 曾被收集信息 無數據證明服務器被黑，會記錄被搜集信息的證據。 存在漏洞 無數據證明服務器被黑，無被攻擊記錄，說明服務器本身存在漏洞。 ]

關鍵風險類型包含：監管通報、敏感信息泄露、公眾形象受損，高中低危漏洞

②安全事件匯總攻擊可關注到攻擊事件類型TOP5和攻擊者地圖以及熱點事件。

熱點事件是防火墻收集的某段時間內來自全網的排列TOP10的安全事件，這些安全事件中，如果有對應的攻擊威脅經過防火墻，就可以被防火墻能識別到。

③實時漏洞風險分析可以實時分析策略、安全策略、安全防護策略等產生的日志信息，可以分析業務中存在的安全漏洞風險。

2）用戶安全

用戶安全是從用戶角度進行安全展示，掌握網絡中用戶端的安全狀況，包括用戶風險匯總和用戶攻擊事件兩個功能。

①用戶風險匯總包括安全狀態分布和所處階段分布。

用戶安全狀態分布：用于顯示受影響的用戶分布情況。

用戶詳情：用于顯示最近用戶發生的攻擊事件。

內容包括：用戶、安全等級、狀態、威脅性、確定性、威脅類型、所處階段、高危活躍次數、待處理文件/關聯文件、聯動狀態、操作。

②用戶攻擊事件

用戶安全事件是從攻擊類型的角度進行用戶安全展示，可以收集來自全網熱點事件中流量經過防火墻來識別的用戶風險。

全網實時熱點事件是根據當前的熱點事件進行整理，結合當前的攻擊日志分析內網用戶是否有遭受熱點事件的攻擊。

內容包括：序號、最后通信時間、影響用戶、威脅等級、威脅類型、威脅描述、事件次數以及操作。

3）專項防護

專項防護提供設備特有防護功能模塊的展示，能夠快速了解專項防護功能模塊的防護情況并進行響應，包括勒索專項防護、主動誘捕總覽、熱點事件預警、云端黑客IP防護和賬號安全專項防護等功能。

①勒索專項防護是防火墻通過針對的防護對象而自動生成策略，可以達到全面防護勒索風險。同時可以全面以及可視化地識別勒索風險，并提供處置建議和處置思路。

②部署主動誘捕功能，設置蜜罐服務。

隨著黑客的攻擊手法變得越加隱晦，提供了攻擊溯源的難度，單靠產品的傳統基于規則、引擎、甚至云腦威脅情報等防護識別方式，已很難百分百識別攔截所有的攻擊行為，所以我們可通過主動誘捕。

一方面可達到轉移黑客攻擊的效果，另一方面可以實現主動誘捕黑客攻擊，掌握黑客使用的攻擊手法和反制目的，也可通過竊聽黑客之間的聯系，掌握他們的社交網絡行為，從而能夠讓防御方清晰地了解其所面對的安全威脅，并通過技術和管理手段來增強真實業務系統的安全防護能力。

③云端黑客IP防護是通過防火墻連接到云端，主動獲取到云端的黑客數據并同步到本地中，將防護列表中的黑客IP進行防護。

當黑客流量經過防火墻后，匹配成功的源IP將自動攔截。若存在誤報情況，會禁用該IP的訪問;禁用后，云端黑客IP庫將不再對該IP進行識別攔截。云端黑客IP庫每隔2小時自動更新，保證最新情報信息。

④賬號安全是以客戶的業務對象為視角，通過分析該個業務對象是否存在賬號安全的風險，比如是否存弱口令、是否遭受過口令爆破攻擊、是否存在過賬號異常登錄等異常現象，幫助我們可視化地分析賬號的相關安全風險，并給予對應的修復防護意見，從源頭阻斷攻擊行為，從而大大降低業務的安全風險。

另外，還可以梳理所有業務資產的賬號入口都有哪些，能夠可視化地分析內網業務是否開發了什么不必要的賬號登錄入口，并給予對應賬號登錄入口的管理建議，有效梳理賬號入口，減少資產暴露面。

4 下一代智能防火墻的優勢

4.1 應用識別和控制

下一代智能防火墻在應用識別上相比傳統防火墻有質的飛躍，下一代防火墻可以精準識別上萬種應用的特征并正確地將它們識別出來，打破數據偽裝和加密技術躲避安全防護。

下一代防火墻對固定端口小于1024以下的穩定端口能夠迅速識別并與之分析流量特征做到是否存在偽裝等問題，配合讀取數據包載荷內的OSI模型解析和拆分數據包的特征匹配實時聯動的特征庫來確定是否安全。

對于數據流量的識別更加精準，大流量的數據包一般都具有固定的特征比如P2P的流量數據包的大小都在450字節，一般行為特征都是占用時間長、下載或者上傳速率高、斷點續傳等特征;對于視頻流量一般采用UDP的傳輸協議流量模型一般為前期波峰較高后期持續平穩的形狀，并且伴隨著大量的UDP連接持續。

4.2 用戶識別和控制

下一代智能防火墻采用了用戶和用戶組的概念，可以基于對用戶的單獨、批量、區間段的控制，同時配合VPN的聯動和策略的聯動可以靈活地查看用戶的流量和協議使用情況，而且對于人員較多的情況可以批量導入導出方便管理，同時還可以基于用戶的源來控制訪問可以訪問哪些地址、應用、IP段范圍以及用戶認證方式等。

4.3 內容識別和控制

下一代智能防火墻可以將數據包的數據分析還原對異常的數據包和流量進行反向分析，下一代智能防火墻不僅要防護內部安全和阻止外部威脅，還要進行逆向溯源來判斷黑客采用了哪些攻擊手段和地理位置。

同時還要處理內部威脅，對內部用戶的網絡情況進行識別，識別哪些用戶經過防火墻的流量存在病毒信息和攻擊行為及時阻止避免安全事件范圍的擴大。

4.4 防護模塊聯動

下一代智能防火墻不僅僅是應用上的識別事實上它可以認定是一個安全網關，基于對功能多維度的數據空間管理聯合多模塊多功能多接口的形式而存在，應用識別的精準需要特征庫的強大。安全的模塊的防護則是需要多模塊的組合和聯動。

入侵防御系統[4]（IPS： Intrusion Prevention System）可以有效地抵御DDOS、蠕蟲、垃圾郵件、木馬等更加智能的數據威脅，在數據進入防火墻的初始階段進行扼殺在萌芽之中并及時通告IPS庫之中配合其他聯動設備進行東西向和南北向的防護形成田字格的區域防護和攔截避免造成數據的大面積網絡威脅。

5 下一代智能防火墻的架構

5.1 硬件架構

傳統的ARM架構存在硬件拓展能力差運算效率低等問題已經不是市場上的主流，而下一代智能防火墻采用X86的硬件結構不僅可以實時靈活地拓展硬件資源同時架構的改變增加了運算的速度，智能防火墻的模塊結構增多必須伴隨更多的“大腦”進行配合運算才能最大地優化數據安全的效果。

采用CPU+ASIC融合硬件架構，CPU處理連接的新建與維護等功能，多組ASIC芯片[5]處理應用識別和安全檢查。在應用層防護功能全部開啟的情況下，CPU利用率依然保持正常范圍，不影響網絡層安全的處理性能。強勁的融合架構，不僅提高了數據轉發的效率，也保障了應用層安全防護的性能。

5.2 軟件平臺架構

軟件平臺的架構也不是單一的五元組進行數據分析，打破了單一的網絡壁壘形成群集性的安全防護是下一代防火墻的獨特特性，在網絡中形成一個“安全中心”的概念，多中心多聯動多防護的特點保護數據安全的每一個角落，軟件平臺不僅是靠模塊的堆積更需要性能的優化和設備之間的配合。

軟件平臺的升級極大增加了運算性能而且對數據識別和防護采用零信任的機制做到自動處置及時通告和聯動。

6 結束語

軍隊信息化的建設不是靠設備的堆積而是設備的智能聯防聯動，下一代智能防火墻在網絡邊界的重要位置是首先接觸威脅數據的設備起著重要的作用，傳統的防護形式已經不能滿足多樣化的安全威脅，安全威脅不僅僅只來自互聯網，也可能來自內部網絡，那么下一代智能防火墻則是把好網絡大門的第一關，NGFW實現了基于傳統防火應有的特點同時依靠模塊的聯動和擴展使數據包的過濾變得更加細粒度，同時配合其他安全設備的防護變得更加立體，并且日志的可視化可以快速地定位安全問題出現的時間、事件內容、觸發的防護模塊、信息內容以及命中的防護策略。

設備成本方面也大大減少了設備的數量，下一代防火可以實現多設備功能的集合統一使功能的配合更加密切和無縫連接。

軍隊信息安全是關乎國家和人民命運的，信息安全在當下的時代中更為重要，在日益突出的國際矛盾問題上做好軍隊信息化的防護和加強防患于未然既是重中之重也是國家的安全保障。

參考文獻：

[1] 陳志忠.下一代防火墻（NGFW）特性淺析[J].網絡安全技術與應用，2017（10）：21-22.

[2] 趙旭輝，劉江輝.探析下一代防火墻安全特征及發展趨勢[J].信息與電腦（理論版），2013（22）：152-154.

[3] 李洪亮.防火墻部署模式的研究與實現[J].信息與電腦（理論版），2013（18）：71-72.

[4] 邱遠興.淺談下一代防火墻的發展趨勢[J].網絡與信息，2012，26（4）：68-69.

[5] 王華.防火墻發展趨勢研究[J].軟件導刊，2008，7（1）：132-133.

【通聯編輯：謝媛媛】