網(wǎng)絡(luò)安全防護(hù)中下一代防火墻的應(yīng)用

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)安全防護(hù)中下一代防火墻的應(yīng)用范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

關(guān)鍵詞：下一代；防火墻；網(wǎng)絡(luò)；安全防護(hù)

下一代防火墻（NGFW）可以全面應(yīng)對(duì)應(yīng)用層威脅，通過深度過濾網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，并借助全新的高性能并行處理引擎，為用戶提供有效的網(wǎng)絡(luò)一體化安全防護(hù)，幫助用戶安全地開展業(yè)務(wù)并簡(jiǎn)化用戶的網(wǎng)絡(luò)安全架構(gòu)。當(dāng)前我國(guó)自主的主流防火墻產(chǎn)品有華為NGFW、深信服NGAF、網(wǎng)神防火墻等，在政企、教育、銀行、醫(yī)療、科研等行業(yè)和領(lǐng)域承接著防護(hù)網(wǎng)絡(luò)及數(shù)據(jù)安全的重任，下面對(duì)下一代防火墻在網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用做深入分析。

1下一代防火墻的比較優(yōu)勢(shì)

下一代防火墻除去傳統(tǒng)防火墻具有的包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測(cè)和VPN技術(shù)等以外，還具有很多彌補(bǔ)傳統(tǒng)防火墻缺陷的技術(shù)優(yōu)勢(shì)。一是多模塊功能的集成聯(lián)動(dòng)，如入侵防御系統(tǒng)（IPS）、病毒檢測(cè)系統(tǒng)、VPN、網(wǎng)絡(luò)應(yīng)用防護(hù)系統(tǒng)（WAF）等，改變了傳統(tǒng)防護(hù)設(shè)備疊加部署、串糖葫蘆式的部署模式，節(jié)約成本、消除網(wǎng)絡(luò)瓶頸和單點(diǎn)故障，數(shù)據(jù)包單次解析多核并行處理提高檢測(cè)速度，多模塊聯(lián)動(dòng)提高響應(yīng)速度，日志整合提高檢測(cè)效率。二是網(wǎng)絡(luò)二至七層的全棧檢測(cè)能力，克服傳統(tǒng)防火墻包過濾基于IP和端口檢測(cè)的局限性，可以具體應(yīng)用為粒度設(shè)置過濾及安全策略，輔助用戶管理應(yīng)用。三是數(shù)據(jù)包深度檢測(cè)，通過對(duì)數(shù)據(jù)包進(jìn)行深層次的協(xié)議解碼、內(nèi)容解析、模式匹配等操作，實(shí)現(xiàn)對(duì)數(shù)據(jù)包內(nèi)容的完全解析，查找相對(duì)應(yīng)的內(nèi)容安全策略進(jìn)行匹配。下一代防火墻通過HTTPS的功能，實(shí)現(xiàn)對(duì)SSL加密的數(shù)據(jù)進(jìn)行解密分析，可以檢測(cè)郵件中的非法信息。四是可視化配置界面，結(jié)合先進(jìn)的技術(shù)和理念，設(shè)備配置可視簡(jiǎn)化，功能完善，使技術(shù)人員精力從復(fù)雜的配置命令中解放出來，更多關(guān)注配置規(guī)則的現(xiàn)實(shí)意義。通過可視化報(bào)表不僅能夠全面呈現(xiàn)用戶和業(yè)務(wù)的安全現(xiàn)狀，還能幫助用戶快速定位安全問題。

2下一代防火墻設(shè)備的選配

下一代防火墻功能強(qiáng)大，成本也相對(duì)較高，一些廠商按功能模塊收費(fèi)，因此在選配防火墻設(shè)備時(shí)需要考慮性價(jià)比。一是要了解使用方的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、核心服務(wù)、主干網(wǎng)絡(luò)帶寬利用率峰值、網(wǎng)絡(luò)中安全設(shè)備部署現(xiàn)狀和終端用戶網(wǎng)絡(luò)使用體驗(yàn)，挖掘出網(wǎng)絡(luò)建設(shè)安全需求和亟須解決的問題。二是根據(jù)客戶安全需求，選擇對(duì)應(yīng)的防護(hù)功能，進(jìn)而選用功能適配的防火墻設(shè)備，在采購(gòu)防火墻設(shè)備的同時(shí)需開通對(duì)應(yīng)的功能權(quán)限，比如網(wǎng)絡(luò)序列號(hào)、IPSecVPN分支機(jī)構(gòu)、SSLVPN移動(dòng)用戶數(shù)，WEB防護(hù)、網(wǎng)關(guān)殺毒、IPS、應(yīng)用控制、流量控制、各類特征庫(kù)升級(jí)序號(hào)等。三是根據(jù)功能需求選擇相應(yīng)的設(shè)備部署方式，接入方式不同，實(shí)現(xiàn)的防護(hù)功能也有差異，防火墻支持網(wǎng)關(guān)模式、網(wǎng)橋模式、混合模式、旁接模式和雙機(jī)接入等。四是根據(jù)防火墻接入干線的流量來確定防火墻的性能指標(biāo)，核心指標(biāo)有接口數(shù)量及帶寬、整機(jī)吞吐量、應(yīng)用層吞吐量、每秒最大連接數(shù)和并發(fā)連接數(shù)、設(shè)備存儲(chǔ)空間、關(guān)鍵部件冗余等，可能制約網(wǎng)絡(luò)應(yīng)用和用戶體驗(yàn)。

3下一代防火墻對(duì)網(wǎng)絡(luò)連通性的影響

防火墻網(wǎng)絡(luò)連通配置比較復(fù)雜，有的部署模式可能改變?cè)W(wǎng)絡(luò)結(jié)構(gòu)，影響原網(wǎng)絡(luò)的連通性。一是影響網(wǎng)絡(luò)結(jié)構(gòu)。在網(wǎng)關(guān)模式和混合模式中，下一代防火墻可替代現(xiàn)有出口路由器，部署在網(wǎng)絡(luò)出口配置路由功能。在網(wǎng)橋模式中下一代防火墻具有二層網(wǎng)絡(luò)交換機(jī)的功能，部署在核心路由器與核心交換機(jī)中間。旁接模式中，下一代防火墻通常接入核心交換機(jī)，同時(shí)將核心交換機(jī)的流量鏡像至防火墻，因?yàn)閷?shí)際流量不經(jīng)過防火墻，防火墻不能實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)檢測(cè)和阻斷，通常在使用監(jiān)測(cè)和審計(jì)時(shí)采用這種部署方式。兩臺(tái)防火墻可支持雙主模式或主備模式，部署在雙核心網(wǎng)絡(luò)中，實(shí)現(xiàn)防火墻設(shè)備的設(shè)備冗余和線路冗余[1]。二是對(duì)網(wǎng)絡(luò)分區(qū)管理。按照網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)2.0的要求，網(wǎng)絡(luò)要分區(qū)管理，實(shí)現(xiàn)這一功能的主要設(shè)備就是防火墻。除了旁接模式外，使用其他三種模式部署時(shí)，均可將原網(wǎng)絡(luò)分隔成三個(gè)區(qū)域，即可信區(qū)域、DMZ區(qū)域和不可信區(qū)域，便于分區(qū)管理和配置防護(hù)策略。內(nèi)網(wǎng)屬于可信區(qū)域，對(duì)外服務(wù)的服務(wù)器部署在DMZ區(qū)域，直接連接外網(wǎng)的出口網(wǎng)絡(luò)屬于不可信區(qū)域，僅對(duì)內(nèi)提供服務(wù)的服務(wù)器劃入可信區(qū)域[2]。三是網(wǎng)絡(luò)技術(shù)運(yùn)用。下一代防火墻在網(wǎng)絡(luò)出口處支持多線路接入，包括ADSL線路的PPPoE接入，可同時(shí)接入多條運(yùn)營(yíng)商線路，并根據(jù)需要實(shí)現(xiàn)網(wǎng)絡(luò)出口的多種模式的負(fù)載均衡，充分利用出口帶寬，實(shí)現(xiàn)出口線路冗余。設(shè)備支持網(wǎng)絡(luò)接口配置成交換口和路由口，支持常用路由協(xié)議配置，支持IPV6。使用IPSecVPN技術(shù)建立總部與分支網(wǎng)絡(luò)間的VPN線路，建立總部與分支專線的虛擬備份鏈路。SSLVPN則可使出差人員異地方便接入內(nèi)部網(wǎng)絡(luò)、資源和服務(wù)等，保障移動(dòng)安全辦公需要。四是防火墻連通性配置。首先配置連通網(wǎng)絡(luò)。網(wǎng)橋模式下，先使用既有網(wǎng)絡(luò)設(shè)備連通網(wǎng)絡(luò)，再在路由器與核心交換機(jī)中間加裝防火墻。網(wǎng)關(guān)模式下，先配置相應(yīng)的防火墻接口參數(shù)，再連通網(wǎng)絡(luò)。網(wǎng)絡(luò)連通后添加相應(yīng)的包過濾規(guī)則或全通規(guī)則，測(cè)試防火墻內(nèi)外網(wǎng)數(shù)據(jù)是否可達(dá)。其次，配置路由參數(shù)。選擇網(wǎng)絡(luò)通用的路由協(xié)議配置相應(yīng)的路由參數(shù)。最后測(cè)試私有網(wǎng)絡(luò)與公網(wǎng)的連通性。因運(yùn)營(yíng)商網(wǎng)絡(luò)上不私網(wǎng)網(wǎng)段，私網(wǎng)訪問公網(wǎng)時(shí)需配置NAT規(guī)則，公網(wǎng)訪問私網(wǎng)時(shí)配置端口映射或IP映射規(guī)則，添加映射規(guī)則后，還須添加相應(yīng)的包過濾規(guī)則才能生效。

4下一代防火墻安全策略配置

下一代防火墻通常配置的安全策略包括漏洞攻擊策略、Web應(yīng)用防護(hù)策略、僵尸網(wǎng)絡(luò)策略、內(nèi)容安全策略、應(yīng)用控制策略、連接數(shù)控制策略、DoS/DDoS防護(hù)策略、流量管理策略、用戶認(rèn)證策略和認(rèn)證選項(xiàng)等。安全策略制定時(shí)需注意以下事項(xiàng)：一是安全策略的可讀性設(shè)置。為保證防火墻規(guī)則的可讀性，在為各類資源、服務(wù)、應(yīng)用、規(guī)則命名時(shí)要有明顯區(qū)分，體現(xiàn)其分類、功能和用途，有利于安全策略的可視化配置和策略解讀。防止大型網(wǎng)絡(luò)配置規(guī)則過多后，因命名混亂而制造后期管理和維護(hù)難度。資源命名時(shí)以分組或類命名，在策略中調(diào)用分組，后期維護(hù)中方便添加和刪除單個(gè)資源。二是安全策略的細(xì)粒度配置。安全策略源目地址、出入網(wǎng)口和源目端口與實(shí)際對(duì)應(yīng)。下一代防火墻可以對(duì)區(qū)域、IP分組及用戶、應(yīng)用或服務(wù)、時(shí)間及生效狀態(tài)等進(jìn)行細(xì)粒度配置，進(jìn)行個(gè)性化設(shè)置，也可以針對(duì)某個(gè)具體應(yīng)用進(jìn)行細(xì)節(jié)化配置，如允許用戶通過HTTPS訪問互聯(lián)網(wǎng)，但是禁止通過HTTPS下載數(shù)據(jù)；允許用戶使用QQ，但是禁止用戶通過QQ接收文件。三是調(diào)整安全策略執(zhí)行順序。防火墻的安全策略通常按順序執(zhí)行，遇到滿足條件的策略直接放行數(shù)據(jù)包，而不檢查后續(xù)策略的適用性，因此策略順序在防火墻功能發(fā)揮中的作用尤為重要。在配置規(guī)則時(shí)需將地址范圍小、用戶數(shù)量少、服務(wù)端口少等局部生效的安全策略序號(hào)調(diào)整至同類策略列表的前列優(yōu)先執(zhí)行。四是多方式的用戶認(rèn)證策略。防火墻實(shí)現(xiàn)精確管控首先要確定用戶身份，通過用戶認(rèn)證策略可以確定單位內(nèi)部每一個(gè)用戶，即某個(gè)IP地址上某個(gè)時(shí)刻是哪個(gè)用戶在使用的信息，對(duì)上網(wǎng)用戶的身份進(jìn)行認(rèn)證，從而實(shí)現(xiàn)基于用戶的上網(wǎng)行為管理。通常支持本地用戶名密碼登錄、借助其他身份認(rèn)證系統(tǒng)的單點(diǎn)登錄、跨交換機(jī)和網(wǎng)段的IP－MAC地址綁定建立用戶和IP對(duì)應(yīng)關(guān)系，鎖定上網(wǎng)用戶身份，實(shí)現(xiàn)用戶無感知地上網(wǎng)。5下一代防火墻對(duì)數(shù)據(jù)的全程防護(hù)下一代防火墻具有風(fēng)險(xiǎn)感知、多設(shè)備多模塊聯(lián)動(dòng)防御、數(shù)據(jù)深度檢測(cè)、日志分析可視化等功能，通過技術(shù)手段的融合，在網(wǎng)絡(luò)威脅下全程對(duì)數(shù)據(jù)進(jìn)行防護(hù)，包括事前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)、事中的多手段聯(lián)動(dòng)防御、事后的快速響應(yīng)，并將防護(hù)信息通過多種形式以可視化的方式呈現(xiàn)給用戶。一是事前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)感知。安全威脅發(fā)生前，防火墻通過流經(jīng)流量的IP地址檢測(cè)及端口檢測(cè)快速識(shí)別內(nèi)部的服務(wù)器，檢測(cè)服務(wù)器上開放端口、存在的漏洞和弱密碼等風(fēng)險(xiǎn)；利用豐富的掃描插件對(duì)WEB服務(wù)器進(jìn)行掃描，識(shí)別網(wǎng)站類型，提供漏洞分析和修復(fù)建議，通過流量檢測(cè)、策略對(duì)比、版本檢測(cè)等多個(gè)維度檢測(cè)服務(wù)器對(duì)應(yīng)的安全策略是否存在和生效。二是事中多設(shè)備多模塊聯(lián)動(dòng)防御。下一代防火墻在防御層面融合了多種安全技術(shù)，防火墻內(nèi)部傳統(tǒng)防火墻、網(wǎng)關(guān)殺毒、IPS、WAF等模塊聯(lián)動(dòng)防御，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行L2-7層的安全防護(hù)，同時(shí)與其他安全設(shè)備聯(lián)動(dòng)取得更好的防護(hù)效果。下一代防火墻與終端檢測(cè)響應(yīng)平臺(tái)聯(lián)動(dòng)，持續(xù)檢測(cè)發(fā)現(xiàn)、快速響應(yīng)處置，形成多層次立體化的威脅防御體系，彌補(bǔ)防火墻對(duì)內(nèi)部發(fā)起和內(nèi)部用戶之間的網(wǎng)絡(luò)攻擊無法檢測(cè)的缺陷[3]。下一代防火墻與云安全平臺(tái)聯(lián)動(dòng)，借助廠家強(qiáng)大的技術(shù)支持、威脅云端檢測(cè)、快速響應(yīng)和全網(wǎng)威脅情報(bào)分享等，對(duì)抗高級(jí)威脅和未知威脅，為客戶保駕護(hù)航。三是事后快速響應(yīng)。下一代防火墻在黑客入侵之后，能夠幫助客戶及時(shí)發(fā)現(xiàn)入侵后的惡意行為，如檢測(cè)僵尸主機(jī)發(fā)起的惡意攻擊行為，網(wǎng)頁篡改，網(wǎng)站黑鏈植入及網(wǎng)站后門檢測(cè)等，并快速推送警告事件，協(xié)助用戶進(jìn)行響應(yīng)處置。通過數(shù)據(jù)中心分析可發(fā)現(xiàn)被攻擊的主機(jī)數(shù)量和被攻擊的嚴(yán)重等級(jí)，利用策略動(dòng)作自動(dòng)執(zhí)行、專用工具和云端聯(lián)動(dòng)等方式快速響應(yīng)。

6結(jié)束語

下一代防火墻在傳統(tǒng)防火墻的基礎(chǔ)上，采用先進(jìn)的架構(gòu)設(shè)計(jì)和技術(shù)實(shí)現(xiàn)，具有更強(qiáng)大的設(shè)備性能、網(wǎng)絡(luò)功能和安全防護(hù)功能，實(shí)現(xiàn)設(shè)備部署、網(wǎng)絡(luò)連通和策略配置等，尤其是基于認(rèn)證用戶和應(yīng)用靈活配置安全策略，實(shí)現(xiàn)了數(shù)據(jù)包的深度過濾和網(wǎng)絡(luò)L2-7層的安全防護(hù)。與內(nèi)部模塊和外部安全設(shè)備間的聯(lián)動(dòng)響應(yīng)，提高了檢測(cè)能力，通過對(duì)安全威脅全流程的分析，實(shí)現(xiàn)對(duì)數(shù)據(jù)流向全程的安全防護(hù)。鑒于篇幅所限，下一代防火墻詳細(xì)配置需另做深入探討。

參考文獻(xiàn)：

[1]趙菁.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（10）：21.

[2]趙彬.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].電子技術(shù)與軟件工程，2020（17）：251-252.

[3]何恩南.計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析研究綜述[J].珠江水運(yùn)，2020（18）：52.

作者：鄭傳德 單位：廣州商學(xué)院