对网络安全防护技术方案探讨

范强

摘要：随着计算机技术、通信技术和网络技术的发展，接入专网的应用系统越来越多。对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。防火墙是最具策略性的网络安全基础结构组件，可以检测所有通信流。因此，防火墙是企业网络安全控制的中心，通过部署防火墙来强化网络的安全性，是实施安全策略的最有效位置。

关键词：网络安全;防护技术

近年来，随着互联网在全球的迅速发展和各种互联网应用的快速普及，互联网已成为人们日常工作生活中不可或缺的信息承载工具。同样，随着网络规模在不断扩大、信息的内容和信息量在不断增长，网络应用和规模的快速发展同时带来了更大程度的安全问题，这些安全威胁以不同的技术形式同步地在迅速更新，并且以简单的传播方式泛滥，使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设，多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。

1.安全风险背景

随着计算机技术、通信技术和网络技术的发展，接入专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面，Internet技术已得到广泛使用，E-mail、Web2.0和终端PC的应用也日益普及，但同时病毒和黑客也日益猖獗，系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。

2.网络安全方案

防火墙是最具策略性的网络安全基础结构组件，可以检测所有通信流。因此，防火墙是企业网络安全控制的中心，通过部署防火墙来强化网络的安全性，是实施安全策略的最有效位置。

由此带来的可视化和控制丧失会使管理员处于不利地位，失去应用控制的结果会让企业暴露在商业风险之下，并使企业面临网络中断、违反规定、运营维护成本增加和可能丢失数据等风险。用于恢复可视化和控制的传统方法要求在防火墙的后面或通过采用插接件集成的组合方式，单独部署其他的“辅助防火墙”。上述两种方法由于存在通信流可视化受限、管理繁琐和多重延迟（将引发扫描进程）的不足，均无法解决可视化和控制问题。现在需要一种完全颠覆式的方法来恢复可视化和控制。而新一代防火墙也必须具备如下要素：

（1）识别应用程序而非端口：准确识别应用程序身份，检测所有端口，而且不论应用程序使用何种协议、SSL、加密技术或规避策略。应用程序的身份构成所有安全策略的基础。（识别七层或七层以上应用）

（2）识别用户，而不仅仅识别 IP 地址。利用企业目录中存储的信息来执行可视化、策略创建、报告和取证调查等操作。

（3）实时检查内容。帮助网络防御在应用程序通信流中嵌入的攻击行为和恶意软件，并且实现低延迟和高吞吐速度。

（4）简化策略管理。通过易用的图形化工具和策略编辑器（来恢复可视化和控制

（5）提供数千兆位或万兆位的数据吞吐量。在一个专门构建的平台上结合高性能硬件和软件来实现低延迟和数千兆位的数据吞吐量性能

2.1 产品与部署方式

本文就Palo Alto Networks 新一代安全防护网关部署方案进行探讨，该产品采用全新设计的软/硬件架构，可在不影响任何服务的前提下，以旁路模式、透明模式等接入现有网络架构中，协助网管人员进行环境状态分析，并将分析过程中各类信息进行整理后生成报表，从而进一步发现潜在安全风险，作为安全策略调整的判断依据。

2.2 解决方案功能

本方案产品突破了传统的防火墙和UTM的缺陷，从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。主要功能如下：

（1）应用程序、用户和内容的可视化

管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响，从而使管理员能够制定更多与业务相关的安全策略。

（2）应用程序命令中心：這是一项无需执行任何配置工作的标准功能，以图形方式显示有关当前网络活动（包括应用程序、URL 类别、威胁和数据）的大量信息，为管理员提供所需的数据，供其做出更为合理的安全策略决定。

（3）管理：管理员可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多种方式来控制防火墙。可基于角色的管理，将不同的管理职能委派给合适的个人。

（4）日志记录和报告：可完全自定义和安排的预定义报告提供有关网络上的应用程序、用户和威胁的详细视图。

2.3 解决方案特色

（1）以 APP-ID、User-ID 及 Content-ID 三种独特的识别技术，以统一策略方式对使用者（群组）、应用程序及内容提供访问控制、安全管理及带宽控制解决方案，此创新的技术建构于“单通道平行处理（SP3）”先进的硬件+软件系统架构下，实现低延迟及高效率的特性，解决传统FW+IPS+UTM对应用处理效能不佳的现况。

（2）实现了对应用程序和内容的前所未有的可视化和控制（按用户而不仅仅是按 IP 地址），并且速度可以高达 10Gbps，精确地识别应用程序使用的端口、协议、规避策略或 SSL 加密算法，扫描内容来阻止威胁和防止数据泄露。

（3）对网络中传输的应用程序和用户进行深度识别并进行内容的分析，提供完整的可视度和控制能力。

（4）提供多样化NAT转址功能：传统NAT服务，仅能利用单一或少数外部IP地址，提供内部使用者做为IP地址转换之用，其瓶颈在于能做为NAT转换的外部IP地址数量过少，当内部有不当使用行为发生，致使该IP地址被全球ISP服务业者列为黑名单后，将造成内部网络用户无法存取因特网资源;本方案提供具有多对多特性的地址转换服务功能，让IT人员可以利用较多的外部IP地址做为地址转换，避免因少数外部IP被封锁而造成无法上网，再次提升网络服务质量。

（5）用户行为控制：不仅具备广泛应用程序识别能力，还将无线网络用户纳入集中的控制管理，可对无线网络使用情况，提供最为详细丰富的用户使用数据。

（6）流量地图功能：流量地图清楚呈现资料流向并能连结集中化的事件分析界面。

3.总结

新一代防火墙解决了网络应用的可视性问题，有效杜绝利用跳端口技术、使用SSL、80端口或非标准端口绕过传统防火墙攻击企业网络行为，从根本上解决传统防火墙集成多个安全系统，却无法真正有效协同工作的缺陷，大大提高数据实时转发效率，有效解决企业信息安全存在的问题。