胡建勝，黃 俠

國網(wǎng)安徽省電力公司宿州供電公司,安徽宿州 234000

基于下一代防火墻安全防護(hù)的應(yīng)用

胡建勝，黃 俠

國網(wǎng)安徽省電力公司宿州供電公司,安徽宿州 234000

隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)服務(wù)形態(tài)呈現(xiàn)多元化，網(wǎng)絡(luò)之間的關(guān)系變得越來越復(fù)雜。面對(duì)新型的面向服務(wù)的架構(gòu)和不斷增加的Web2.0應(yīng)用所帶來的網(wǎng)絡(luò)風(fēng)險(xiǎn)，傳統(tǒng)安全網(wǎng)關(guān)已無法根據(jù)單純網(wǎng)絡(luò)數(shù)據(jù)流量來深入識(shí)別安全風(fēng)險(xiǎn)?，F(xiàn)代企業(yè)需要在保障其基礎(chǔ)網(wǎng)絡(luò)穩(wěn)定運(yùn)行的同時(shí)，又需針對(duì)于各種網(wǎng)絡(luò)應(yīng)用流量的風(fēng)險(xiǎn)進(jìn)行檢測(cè)識(shí)別。下一代防火墻提供數(shù)據(jù)包4層以上深度檢測(cè)、威脅控制和應(yīng)用感知，來幫助企業(yè)監(jiān)管其網(wǎng)絡(luò)外圍。本文首先介紹了安全防護(hù)的核心問題，并從下一代防火墻與傳統(tǒng)防火墻之差異入手，對(duì)企業(yè)信息化應(yīng)用如何評(píng)估和平滑過渡至下一代防火墻進(jìn)行了相關(guān)探討。

下一代安全網(wǎng)關(guān)；安全防護(hù)；遷移

傳統(tǒng)防火墻作為一款目前應(yīng)用最廣的安全產(chǎn)品，在IP/Port的網(wǎng)絡(luò)時(shí)代，起到了重要作用，它根據(jù)用戶業(yè)務(wù)流量特點(diǎn)創(chuàng)建不同的安全域，在這些安全域間進(jìn)行訪問控制列表的定義，有效針對(duì)于安全域間非法訪問進(jìn)行限制，但是我們也應(yīng)該看到它的不足之處。黑客以及黑客軟件與工具，可以繞過網(wǎng)絡(luò)防火墻過濾策略，使得防火墻的保護(hù)功能失效，進(jìn)而直接針對(duì)目標(biāo)應(yīng)用程序進(jìn)行攻擊。另外他們通過偽裝技術(shù)，利用防火墻開放的端口，植入木馬、黑客工具等軟件，已達(dá)到一些非法目的。隨信息化高速發(fā)展，網(wǎng)絡(luò)安全應(yīng)用日趨復(fù)雜化，現(xiàn)有防火墻的技術(shù)以不滿足安全需求，針對(duì)網(wǎng)絡(luò)安全發(fā)展要求，傳統(tǒng)防火墻網(wǎng)關(guān)存在以下問題：

1）Web2.0中的大量應(yīng)用，很多是使用HTTP協(xié)議。傳統(tǒng)防火墻有它強(qiáng)大的檢測(cè)過濾功能，但是這些包過濾是基于端口與IP地址以及IP協(xié)議，無法檢測(cè)與過濾這些應(yīng)用。

2）傳統(tǒng)防火墻無法檢測(cè)加密的Web流量。比如傳統(tǒng)防火墻對(duì)于加密的SSL流中的數(shù)據(jù)無法截取和對(duì)其數(shù)據(jù)進(jìn)行解密，所以不能有效防范利用類似應(yīng)用程序的攻擊。

3）L7層防護(hù)特性，不適用于復(fù)雜的情況。在大的數(shù)據(jù)中心機(jī)房中，服務(wù)器經(jīng)常會(huì)發(fā)生應(yīng)用變動(dòng)，面對(duì)應(yīng)用不斷更的需求，傳統(tǒng)防火墻沒有相關(guān)自動(dòng)應(yīng)對(duì)機(jī)制。雖然一些先進(jìn)的網(wǎng)絡(luò)防火墻供應(yīng)商，提出了應(yīng)用層防護(hù)的特性，但只在簡(jiǎn)單的環(huán)境中有效。通過研究不難發(fā)現(xiàn)，在企業(yè)應(yīng)用的實(shí)際環(huán)境中，這些特征存在著局限性。大多數(shù)情況下，彈性概念的特征無法很好的應(yīng)用于數(shù)據(jù)中心級(jí)中的應(yīng)用。通過分析就會(huì)發(fā)現(xiàn)，這些供應(yīng)商通過將捕獲的含80端口數(shù)據(jù)流中的URL長(zhǎng)度進(jìn)行拒絕的辦法，來實(shí)現(xiàn)安全防護(hù)特性。如果使用這個(gè)規(guī)則，將對(duì)所有的應(yīng)用程序生效。如果一個(gè)程序或者是一個(gè)特殊的Web網(wǎng)頁，確實(shí)需要涉及到很長(zhǎng)的URL時(shí)，就要屏蔽該規(guī)則。傳統(tǒng)防火墻的體系結(jié)構(gòu)，只能是針對(duì)于網(wǎng)絡(luò)端口和協(xié)議進(jìn)行操作的，無法通過現(xiàn)有的過濾規(guī)則對(duì)應(yīng)用層漏洞進(jìn)行識(shí)別與防護(hù)，除非涉及到的應(yīng)用程序比較簡(jiǎn)單。

4）隨著網(wǎng)絡(luò)應(yīng)用的范圍擴(kuò)大，應(yīng)用效率提高的網(wǎng)絡(luò)帶寬需求迅速增長(zhǎng)，桌面終端已進(jìn)入千兆時(shí)代，企業(yè)接入網(wǎng)絡(luò)帶寬已進(jìn)入萬兆或都更高十萬兆時(shí)代，傳統(tǒng)防火墻數(shù)據(jù)處理性能，已不能滿足高帶寬現(xiàn)狀。

1 網(wǎng)絡(luò)安全防護(hù)核心問題

我們認(rèn)為，網(wǎng)絡(luò)安全防護(hù)的核心問題大體可以分為兩類：一類是網(wǎng)絡(luò)中存在威脅，但是現(xiàn)有安全防護(hù)手段是否可以及時(shí)發(fā)現(xiàn)；還有一類是現(xiàn)有的網(wǎng)絡(luò)安全部署，是否可以防得住層出不窮的網(wǎng)絡(luò)攻擊。下面我們就將針對(duì)這兩類問題進(jìn)行分析：

是否能及時(shí)發(fā)現(xiàn)業(yè)務(wù)漏洞：沒有攻擊并不意味著業(yè)務(wù)系統(tǒng)就不存在漏洞，一旦漏洞被利用就會(huì)造成資料被破壞以及數(shù)據(jù)被盜用等風(fēng)險(xiǎn)。比如，近期曝出的某國內(nèi)知名旅游門戶安全漏洞攻擊來看，攻擊者會(huì)想盡一切辦法將自己隱藏起來，直到竊取到重要機(jī)密信息之前。所以，安全的解決方案應(yīng)該是針對(duì)于企業(yè)本身制定相應(yīng)的安全級(jí)別與安全級(jí)別，及時(shí)快速的發(fā)現(xiàn)業(yè)務(wù)漏洞，才能有效的避免重要數(shù)據(jù)失竊。

因此，只有真正看到業(yè)務(wù)系統(tǒng)中存在哪些攻擊與業(yè)務(wù)漏洞，及時(shí)將其藏匿之處進(jìn)行定位，并能對(duì)該類攻擊進(jìn)行必要的安全防護(hù)，這才是解決網(wǎng)絡(luò)安全防護(hù)的首要任務(wù)。

2 下一代防火墻

通過對(duì)業(yè)務(wù)應(yīng)用L4-7層安全應(yīng)用防護(hù)的核心問題進(jìn)行實(shí)驗(yàn)與研究，我們得知以被動(dòng)防御為主的傳統(tǒng)防火墻將不能很好的應(yīng)對(duì)基于應(yīng)用協(xié)議的網(wǎng)絡(luò)攻擊，企業(yè)在大力發(fā)展信息化的同時(shí)，不僅需要保證網(wǎng)絡(luò)平臺(tái)的穩(wěn)定運(yùn)行，又需要對(duì)業(yè)務(wù)應(yīng)用流量有更深入的了解，也就是化被動(dòng)為主動(dòng)的防御理念。根據(jù)以上論述，在安全防火產(chǎn)品的大家族中增加了出現(xiàn)了新一代產(chǎn)品——下一代防火墻（NGFW），它基于L4-7層應(yīng)用程序識(shí)別技術(shù)、不論是采用何種網(wǎng)絡(luò)端口和協(xié)議的應(yīng)用層數(shù)據(jù)流量。真正的下一代防火墻應(yīng)該具備以下特點(diǎn)：

1）高速的處理能力。下一代防火墻需要具備高交換容量的網(wǎng)絡(luò)處理性能，從而可以突破核心網(wǎng)絡(luò)性能瓶頸，防火墻的部署不會(huì)影響用戶網(wǎng)絡(luò)處理性能。

2）具備傳統(tǒng)防火墻的功能。下一代防火墻就應(yīng)當(dāng)具備代替?zhèn)鹘y(tǒng)防火墻全部功能，其中必須包含但不限于包過濾，NAT，狀態(tài)監(jiān)測(cè)，VPN等功能。

3）融合的IPS能力。通過新一代引擎技術(shù)，IPS可作為模塊化設(shè)備融合于新一代引擎技術(shù)防火墻設(shè)備通過安全策略框架等技術(shù)實(shí)現(xiàn)IPS策略與傳統(tǒng)安全策略的融合，從而最大化的保證系統(tǒng)運(yùn)行效率，模塊化的設(shè)計(jì)可減少用戶硬件采購成本。

4）應(yīng)用可視和身份鑒別能力。應(yīng)用識(shí)別能力,且是下一代防火墻所有安全管控的基礎(chǔ)，而非簡(jiǎn)單的根據(jù)IP/Port進(jìn)行包過濾控制。

2.1下一代防火墻特性分析

防應(yīng)用層攻擊。應(yīng)用層安全防護(hù)是下一代防火墻與傳統(tǒng)防火墻最大的區(qū)別之一，它要求設(shè)備在收到數(shù)據(jù)包后，會(huì)對(duì)數(shù)據(jù)包進(jìn)行應(yīng)用識(shí)別，精確識(shí)別應(yīng)用后，在對(duì)應(yīng)的特征識(shí)別庫中與其進(jìn)行匹配及詳細(xì)掃描。通過這種方式，不僅提高了數(shù)據(jù)包的掃描率，也增加了掃描的精確性，降低了誤報(bào)率。

2.2企業(yè)遷移下一代防火墻

下一代防火墻提供深度數(shù)據(jù)包檢測(cè)、細(xì)粒度控制和應(yīng)用感知，來幫助企業(yè)監(jiān)管其網(wǎng)絡(luò)外圍。盡管這些新平臺(tái)這么具有吸引力，“下一代”的標(biāo)簽并沒有很好地描述如何解決當(dāng)企業(yè)遷移到下一代防火墻時(shí)所涉及的技術(shù)、功能和支持問題。現(xiàn)在市面上“大多數(shù)現(xiàn)代防火墻都有一些‘下一代’功能，包括集成入侵防御（IPS）以及更好的應(yīng)用控制，Gartner研究主管Eric Maiwald表示，這是現(xiàn)在的防火墻的標(biāo)準(zhǔn)，所有主要安全廠商都聲稱擁有下一代產(chǎn)品”。但是這些說法并不總是很準(zhǔn)確，知道如何評(píng)估和遷移到下一代平臺(tái)才是至關(guān)重要的。目前，在企業(yè)遷移到下一代防火墻主要集中以下幾點(diǎn)問題：

1）良好的應(yīng)用控制。細(xì)粒度應(yīng)用控制是遷移到下一代防火墻的一個(gè)很大的原因，但是在現(xiàn)有環(huán)境下進(jìn)行防火墻的更換并不是一個(gè)輕松的過程。首先，現(xiàn)有防火墻中部署了大量的安全策略，實(shí)現(xiàn)遷移必須保證遷移以后應(yīng)用服務(wù)器不受影響，需要進(jìn)行大量的前期準(zhǔn)備和協(xié)調(diào)工作，所以除非必要和進(jìn)行了充分的準(zhǔn)備，否則在遷移過程中會(huì)產(chǎn)生諸多意想不到的問題。

2）現(xiàn)有防火墻難以淘汰和替換。部署下一代防火墻可能帶來技術(shù)更換、網(wǎng)絡(luò)設(shè)置變更和安全政策的問題。網(wǎng)絡(luò)管理員通常需要考慮更換防火墻后是否能適應(yīng)管理方式，規(guī)則集的配置是否熟練，以及更換下一代防火墻后是否與原有網(wǎng)絡(luò)架構(gòu)兼容等問題。建議與廠家進(jìn)行深入的溝通和交流，另外為了避免出現(xiàn)復(fù)雜的網(wǎng)絡(luò)架構(gòu)，升級(jí)到下一代防火墻最好與最好與原有防火墻統(tǒng)一品牌。

3）產(chǎn)品選型。目前，市場(chǎng)上出現(xiàn)的下一代防火墻品牌多如雨后春筍，這其中有傳統(tǒng)防火墻廠商，IDS入侵檢測(cè)系統(tǒng)廠商、IPS入侵防御系統(tǒng)廠商、安全評(píng)估系統(tǒng)廠商、流量檢測(cè)流控的廠商、上網(wǎng)行為管理等都全部研發(fā)出自己專屬的新下一代防火墻。面對(duì)各有特色、紛繁復(fù)雜的下一代防火墻市場(chǎng)，用戶又該如何根據(jù)自身的需求選擇合適的產(chǎn)品呢?企業(yè)需要在制定和實(shí)施具體的信息網(wǎng)絡(luò)安全解決方案的時(shí)候，首先要具備對(duì)現(xiàn)有的網(wǎng)絡(luò)信息安全系統(tǒng)、業(yè)務(wù)應(yīng)用安全需求、硬件部署情況進(jìn)行分析與統(tǒng)計(jì)。

3 結(jié)論

隨著網(wǎng)絡(luò)信息安全的發(fā)展，下一代安全網(wǎng)關(guān)的出現(xiàn)是大勢(shì)所趨，它可以解決傳統(tǒng)防火墻很多不能解決的問題，下一代安全網(wǎng)關(guān)給我們帶來全新的安全模式，在應(yīng)用部署、安全管理乃安全應(yīng)用防御概念上都與傳統(tǒng)防火墻有很大的不同，下一代安全網(wǎng)關(guān)能夠把整個(gè)網(wǎng)絡(luò)及應(yīng)用訪問策略實(shí)現(xiàn)原理和對(duì)網(wǎng)絡(luò)應(yīng)用資源調(diào)度提升到新的應(yīng)用管理水平，為用戶提供更好的網(wǎng)絡(luò)安全體驗(yàn)，帶來了全新的管理視角，它的實(shí)現(xiàn)讓我們有信心去迎接更大的安全挑戰(zhàn)。

[1]Jane.什么是真正的下一代防火墻[EB/OL].（2014-1-3）[2014-5-20]http://www.searchsecurity.com.cn/ showcontent_75329.htm.

[2]David Strom.是否遷移到下一代防火墻？[EB/OL].（2013-9-27）[2014-5-20]http://www.searchsecurity.com.cn/ showcontent_76916.htm.

TP3

A

1674-6708（2016）171-0104-02

胡建勝，高級(jí)工程師，國網(wǎng)安徽省電力公司宿州供電公司，研究方向?yàn)樾畔⑼ㄐ殴芾怼｜S俠，高級(jí)工程師，國網(wǎng)安徽省電力公司宿州供電公司，研究方向?yàn)橛?jì)算機(jī)及其應(yīng)用。