基于下一代防火墙安全防护的应用

胡建胜，黄 侠

国网安徽省电力公司宿州供电公司,安徽宿州 234000

基于下一代防火墙安全防护的应用

胡建胜，黄 侠

国网安徽省电力公司宿州供电公司,安徽宿州 234000

随着信息技术的发展，网络服务形态呈现多元化，网络之间的关系变得越来越复杂。面对新型的面向服务的架构和不断增加的Web2.0应用所带来的网络风险，传统安全网关已无法根据单纯网络数据流量来深入识别安全风险。现代企业需要在保障其基础网络稳定运行的同时，又需针对于各种网络应用流量的风险进行检测识别。下一代防火墙提供数据包4层以上深度检测、威胁控制和应用感知，来帮助企业监管其网络外围。本文首先介绍了安全防护的核心问题，并从下一代防火墙与传统防火墙之差异入手，对企业信息化应用如何评估和平滑过渡至下一代防火墙进行了相关探讨。

下一代安全网关；安全防护；迁移

传统防火墙作为一款目前应用最广的安全产品，在IP/Port的网络时代，起到了重要作用，它根据用户业务流量特点创建不同的安全域，在这些安全域间进行访问控制列表的定义，有效针对于安全域间非法访问进行限制，但是我们也应该看到它的不足之处。黑客以及黑客软件与工具，可以绕过网络防火墙过滤策略，使得防火墙的保护功能失效，进而直接针对目标应用程序进行攻击。另外他们通过伪装技术，利用防火墙开放的端口，植入木马、黑客工具等软件，已达到一些非法目的。随信息化高速发展，网络安全应用日趋复杂化，现有防火墙的技术以不满足安全需求，针对网络安全发展要求，传统防火墙网关存在以下问题：

1）Web2.0中的大量应用，很多是使用HTTP协议。传统防火墙有它强大的检测过滤功能，但是这些包过滤是基于端口与IP地址以及IP协议，无法检测与过滤这些应用。

2）传统防火墙无法检测加密的Web流量。比如传统防火墙对于加密的SSL流中的数据无法截取和对其数据进行解密，所以不能有效防范利用类似应用程序的攻击。

3）L7层防护特性，不适用于复杂的情况。在大的数据中心机房中，服务器经常会发生应用变动，面对应用不断更的需求，传统防火墙没有相关自动应对机制。虽然一些先进的网络防火墙供应商，提出了应用层防护的特性，但只在简单的环境中有效。通过研究不难发现，在企业应用的实际环境中，这些特征存在着局限性。大多数情况下，弹性概念的特征无法很好的应用于数据中心级中的应用。通过分析就会发现，这些供应商通过将捕获的含80端口数据流中的URL长度进行拒绝的办法，来实现安全防护特性。如果使用这个规则，将对所有的应用程序生效。如果一个程序或者是一个特殊的Web网页，确实需要涉及到很长的URL时，就要屏蔽该规则。传统防火墙的体系结构，只能是针对于网络端口和协议进行操作的，无法通过现有的过滤规则对应用层漏洞进行识别与防护，除非涉及到的应用程序比较简单。

4）随着网络应用的范围扩大，应用效率提高的网络带宽需求迅速增长，桌面终端已进入千兆时代，企业接入网络带宽已进入万兆或都更高十万兆时代，传统防火墙数据处理性能，已不能满足高带宽现状。

1 网络安全防护核心问题

我们认为，网络安全防护的核心问题大体可以分为两类：一类是网络中存在威胁，但是现有安全防护手段是否可以及时发现；还有一类是现有的网络安全部署，是否可以防得住层出不穷的网络攻击。下面我们就将针对这两类问题进行分析：

是否能及时发现业务漏洞：没有攻击并不意味着业务系统就不存在漏洞，一旦漏洞被利用就会造成资料被破坏以及数据被盗用等风险。比如，近期曝出的某国内知名旅游门户安全漏洞攻击来看，攻击者会想尽一切办法将自己隐藏起来，直到窃取到重要机密信息之前。所以，安全的解决方案应该是针对于企业本身制定相应的安全级别与安全级别，及时快速的发现业务漏洞，才能有效的避免重要数据失窃。

因此，只有真正看到业务系统中存在哪些攻击与业务漏洞，及时将其藏匿之处进行定位，并能对该类攻击进行必要的安全防护，这才是解决网络安全防护的首要任务。

2 下一代防火墙

通过对业务应用L4-7层安全应用防护的核心问题进行实验与研究，我们得知以被动防御为主的传统防火墙将不能很好的应对基于应用协议的网络攻击，企业在大力发展信息化的同时，不仅需要保证网络平台的稳定运行，又需要对业务应用流量有更深入的了解，也就是化被动为主动的防御理念。根据以上论述，在安全防火产品的大家族中增加了出现了新一代产品——下一代防火墙（NGFW），它基于L4-7层应用程序识别技术、不论是采用何种网络端口和协议的应用层数据流量。真正的下一代防火墙应该具备以下特点：

1）高速的处理能力。下一代防火墙需要具备高交换容量的网络处理性能，从而可以突破核心网络性能瓶颈，防火墙的部署不会影响用户网络处理性能。

2）具备传统防火墙的功能。下一代防火墙就应当具备代替传统防火墙全部功能，其中必须包含但不限于包过滤，NAT，状态监测，VPN等功能。

3）融合的IPS能力。通过新一代引擎技术，IPS可作为模块化设备融合于新一代引擎技术防火墙设备通过安全策略框架等技术实现IPS策略与传统安全策略的融合，从而最大化的保证系统运行效率，模块化的设计可减少用户硬件采购成本。

4）应用可视和身份鉴别能力。应用识别能力,且是下一代防火墙所有安全管控的基础，而非简单的根据IP/Port进行包过滤控制。

2.1下一代防火墙特性分析

防应用层攻击。应用层安全防护是下一代防火墙与传统防火墙最大的区别之一，它要求设备在收到数据包后，会对数据包进行应用识别，精确识别应用后，在对应的特征识别库中与其进行匹配及详细扫描。通过这种方式，不仅提高了数据包的扫描率，也增加了扫描的精确性，降低了误报率。

2.2企业迁移下一代防火墙

下一代防火墙提供深度数据包检测、细粒度控制和应用感知，来帮助企业监管其网络外围。尽管这些新平台这么具有吸引力，“下一代”的标签并没有很好地描述如何解决当企业迁移到下一代防火墙时所涉及的技术、功能和支持问题。现在市面上“大多数现代防火墙都有一些‘下一代’功能，包括集成入侵防御（IPS）以及更好的应用控制，Gartner研究主管Eric Maiwald表示，这是现在的防火墙的标准，所有主要安全厂商都声称拥有下一代产品”。但是这些说法并不总是很准确，知道如何评估和迁移到下一代平台才是至关重要的。目前，在企业迁移到下一代防火墙主要集中以下几点问题：

1）良好的应用控制。细粒度应用控制是迁移到下一代防火墙的一个很大的原因，但是在现有环境下进行防火墙的更换并不是一个轻松的过程。首先，现有防火墙中部署了大量的安全策略，实现迁移必须保证迁移以后应用服务器不受影响，需要进行大量的前期准备和协调工作，所以除非必要和进行了充分的准备，否则在迁移过程中会产生诸多意想不到的问题。

2）现有防火墙难以淘汰和替换。部署下一代防火墙可能带来技术更换、网络设置变更和安全政策的问题。网络管理员通常需要考虑更换防火墙后是否能适应管理方式，规则集的配置是否熟练，以及更换下一代防火墙后是否与原有网络架构兼容等问题。建议与厂家进行深入的沟通和交流，另外为了避免出现复杂的网络架构，升级到下一代防火墙最好与最好与原有防火墙统一品牌。

3）产品选型。目前，市场上出现的下一代防火墙品牌多如雨后春笋，这其中有传统防火墙厂商，IDS入侵检测系统厂商、IPS入侵防御系统厂商、安全评估系统厂商、流量检测流控的厂商、上网行为管理等都全部研发出自己专属的新下一代防火墙。面对各有特色、纷繁复杂的下一代防火墙市场，用户又该如何根据自身的需求选择合适的产品呢?企业需要在制定和实施具体的信息网络安全解决方案的时候，首先要具备对现有的网络信息安全系统、业务应用安全需求、硬件部署情况进行分析与统计。

3 结论

随着网络信息安全的发展，下一代安全网关的出现是大势所趋，它可以解决传统防火墙很多不能解决的问题，下一代安全网关给我们带来全新的安全模式，在应用部署、安全管理乃安全应用防御概念上都与传统防火墙有很大的不同，下一代安全网关能够把整个网络及应用访问策略实现原理和对网络应用资源调度提升到新的应用管理水平，为用户提供更好的网络安全体验，带来了全新的管理视角，它的实现让我们有信心去迎接更大的安全挑战。

[1]Jane.什么是真正的下一代防火墙[EB/OL].（2014-1-3）[2014-5-20]http://www.searchsecurity.com.cn/ showcontent_75329.htm.

[2]David Strom.是否迁移到下一代防火墙？[EB/OL].（2013-9-27）[2014-5-20]http://www.searchsecurity.com.cn/ showcontent_76916.htm.

TP3

A

1674-6708（2016）171-0104-02

胡建胜，高级工程师，国网安徽省电力公司宿州供电公司，研究方向为信息通信管理。黄侠，高级工程师，国网安徽省电力公司宿州供电公司，研究方向为计算机及其应用。