王 楊（民航新疆空中交通管理局，新疆 烏魯木齊 830016）

?

淺談主動(dòng)式防火墻的技術(shù)原理及創(chuàng)新應(yīng)用

王 楊
（民航新疆空中交通管理局，新疆 烏魯木齊 830016）

摘 要：隨著網(wǎng)絡(luò)規(guī)模進(jìn)一步擴(kuò)大和網(wǎng)絡(luò)資源日趨豐富，云計(jì)算、大數(shù)據(jù)等創(chuàng)新技術(shù)蓬勃發(fā)展，防火墻作為一種和互聯(lián)網(wǎng)共生共榮的主流安全技術(shù)，在新的互聯(lián)網(wǎng)+時(shí)代將會(huì)迎來(lái)新的挑戰(zhàn)和機(jī)遇，基于此，本文對(duì)主動(dòng)式防火墻的技術(shù)原理進(jìn)行分析，并提出創(chuàng)新觀點(diǎn)，以供參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全；包過(guò)濾；主動(dòng)式防火墻；下一代防火墻新型防火墻

隨著網(wǎng)絡(luò)規(guī)模進(jìn)一步擴(kuò)大和網(wǎng)絡(luò)資源日趨豐富，云計(jì)算、大數(shù)據(jù)等創(chuàng)新技術(shù)蓬勃發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)也隨之進(jìn)入了新的時(shí)代：復(fù)雜性不斷增加，異構(gòu)性越來(lái)越高。防火墻作為一種和互聯(lián)網(wǎng)共生共榮的主流安全技術(shù)，在新的互聯(lián)網(wǎng)+時(shí)代將會(huì)迎來(lái)哪些新的挑戰(zhàn)和機(jī)遇，我們又該如何設(shè)計(jì)、部署新型防火墻？筆者將結(jié)合工作經(jīng)驗(yàn)淺談一下主動(dòng)式防火墻的技術(shù)原理及創(chuàng)新應(yīng)用。

1 吞吐量是選型關(guān)鍵，立足應(yīng)用層看“吞吐”

防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問(wèn)控制設(shè)備，通常安裝在內(nèi)部網(wǎng)和外部網(wǎng)的交界點(diǎn)上。從技術(shù)原理的角度看，防火墻經(jīng)歷了從早期的簡(jiǎn)單包過(guò)濾到今天的狀態(tài)包過(guò)濾技術(shù)和應(yīng)用代理的發(fā)展，一步步從被動(dòng)走向主動(dòng)，即能夠執(zhí)行不依賴(lài)于IP、端口的應(yīng)用、用戶(hù)和內(nèi)容控制策略。實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)流量中的惡意網(wǎng)址、病毒、漏洞利用、間諜軟件等行為。

主動(dòng)式防火墻的基礎(chǔ)原理，是對(duì)網(wǎng)絡(luò)應(yīng)用層中的數(shù)據(jù)包執(zhí)行深度檢測(cè)，也就是將數(shù)據(jù)包解封到應(yīng)用層。對(duì)于這樣的防火墻產(chǎn)品，數(shù)據(jù)包封裝和解封層次越多，CPU的計(jì)算負(fù)載就會(huì)越高。因此，設(shè)備的吞吐量成為評(píng)估防火墻的主要指標(biāo)。

在實(shí)際工作中，吞吐量的評(píng)估指標(biāo)與測(cè)試方法可以如下檢測(cè)。

（1）UDP裸包處理性能（Raw Packet Processing Performance （UDP Traffic））。

（2）延遲（Latency）。

（3）最大性能（Maximum Capacity）。

（4）無(wú)延時(shí)情況下的HTTP性能（HTTP Capacity With No Transaction Delays）。

（5）應(yīng)用平均響應(yīng)時(shí)間（Application Average Response Time： HTTP）。

（6）有延時(shí)情況下的HTTP性能（HTTP Capacity With Transaction Delays）。

（7）“逼近真實(shí)”的通信（“Real-World” Traffic）。

在實(shí)際的防火墻設(shè)備選型中，筆者建議主要考核設(shè)備在進(jìn)行應(yīng)用層處理情況下的轉(zhuǎn)發(fā)性能，也就是俗稱(chēng)的應(yīng)用層吞吐量，如HTTP性能、應(yīng)用平均響應(yīng)時(shí)間等參數(shù)。

2 讓?xiě)?yīng)用識(shí)別成為管理核心，簡(jiǎn)化人工干預(yù)

新的主動(dòng)式防火墻能提供基于用戶(hù)、應(yīng)用和內(nèi)容作為管控平臺(tái)，功能更加強(qiáng)大，這已經(jīng)意味著訪問(wèn)控制能力由原先的五元組擴(kuò)充至了八元組，控制一個(gè)數(shù)據(jù)包的訪問(wèn)和轉(zhuǎn)發(fā)，可基于用戶(hù)、源IP、目的IP、源端口、目的端口、協(xié)議（端口）、應(yīng)用類(lèi)型以及數(shù)據(jù)內(nèi)容進(jìn)行更加精細(xì)的過(guò)濾，這給管理人員帶來(lái)了新的難題。筆者在日常維護(hù)防火墻策略時(shí)，面對(duì)網(wǎng)絡(luò)中大量的防火墻策略，常常也會(huì)有很多疑問(wèn)：哪臺(tái)主機(jī)已經(jīng)失陷？哪些安全策略從來(lái)沒(méi)被使用過(guò)？哪些安全策略被使用得最頻繁？

不同的網(wǎng)絡(luò)技術(shù)人員，配置防火墻安全的策略也會(huì)不同，這就導(dǎo)致甲配置的安全策略在乙看來(lái)是可以刪除的，乙配置的安全策略在甲看來(lái)是影響效率的。如何才能盡可能減少人為因素，使防火墻安全策略最優(yōu)化呢？筆者認(rèn)為，關(guān)鍵還是需要建立具備真正的應(yīng)用識(shí)別能力的防火墻管理系統(tǒng)，筆者認(rèn)為以下舉措值得借鑒：

（1）建立中心化可擴(kuò)展的防火墻系統(tǒng)結(jié)構(gòu)

建立一個(gè)中心化的，能夠管理整個(gè)系統(tǒng)數(shù)據(jù)并給予安全管理團(tuán)隊(duì)快速響應(yīng)能力的管理系統(tǒng)，才能化繁為簡(jiǎn)，用起來(lái)得心應(yīng)手。中心化管理可以在一個(gè)應(yīng)用界面下部署、查看和控制所有的防火墻活動(dòng)，還可以自動(dòng)化日常任務(wù)、復(fù)用元素、部署快速路徑和深度調(diào)查，以最小的工作成本產(chǎn)生最大的工作成果。

建立中心化可擴(kuò)展的防火墻體系機(jī)構(gòu)的另一個(gè)隱性作用是保護(hù)防火墻主機(jī)自身的安全?，F(xiàn)在，針對(duì)防火墻本身的攻擊越來(lái)越多，防火墻中心化可擴(kuò)展體系可以結(jié)合主機(jī)型防火墻和個(gè)人計(jì)算機(jī)型防火墻及傳統(tǒng)防火墻功能，取長(zhǎng)補(bǔ)短，全方位的優(yōu)化防火墻的防衛(wèi)結(jié)構(gòu)。其目的是利用各區(qū)域的加強(qiáng)防衛(wèi)動(dòng)作來(lái)化解對(duì)手的攻擊行為。各終端設(shè)置相應(yīng)的防護(hù)功能，彼此之問(wèn)相互防護(hù)，從而保護(hù)個(gè)人和企業(yè)的業(yè)務(wù)安全。

（2）部署更多單向防火墻或給防火墻加智能芯片

由于現(xiàn)在網(wǎng)絡(luò)需求的不斷增加，防火墻也有向?qū)I(yè)化、硬件化發(fā)展的趨勢(shì)。單向防火墻是為了讓信息單向流動(dòng)，只能從外網(wǎng)流入內(nèi)網(wǎng)，而不能從內(nèi)網(wǎng)流出到外網(wǎng)，從而達(dá)到一定的保密功能。當(dāng)然如果將其固化到硬件中，不但會(huì)提高防火墻的執(zhí)行速度，也會(huì)大大降低防火墻導(dǎo)致的網(wǎng)絡(luò)延時(shí)。而且如果防火墻嵌入智能芯片則會(huì)更有效的識(shí)別惡意數(shù)據(jù)流量和阻斷惡意數(shù)據(jù)攻擊且切斷惡意病毒的流量攻擊。如果防火墻可以基于MAC設(shè)計(jì)訪問(wèn)控制機(jī)制的話，則可以更好的支持MAC過(guò)濾，從而將其訪問(wèn)控制發(fā)展到數(shù)據(jù)鏈路層，這樣便可防止MAC欺騙。

（3）為防火墻配置優(yōu)秀的應(yīng)用識(shí)別引擎

互聯(lián)網(wǎng)應(yīng)用程序越來(lái)越復(fù)雜，增加了防火墻應(yīng)用識(shí)別的難度。比如說(shuō)，如何識(shí)別員工是在用社交應(yīng)用程序（如Facebook）工作還是游戲？這就需要防火墻具備更強(qiáng)大的識(shí)別引擎。如果其不能識(shí)別應(yīng)用則根本談不上應(yīng)用層威脅的防御。好的防火墻需要配備一個(gè)真正優(yōu)秀的應(yīng)用識(shí)別引擎，借此知道通過(guò)的流量信號(hào)是什么，并且知道是誰(shuí)在使用這個(gè)流量信號(hào)訪問(wèn)這個(gè)程序。應(yīng)用程序控制要比端口和協(xié)議控制高級(jí)的多，它可以基于用戶(hù)身份、角色，網(wǎng)頁(yè)應(yīng)用的特征來(lái)建立詳細(xì)的控制策略，更高級(jí)的控制還包括擴(kuò)充用戶(hù)組、域名、安全傳輸層協(xié)議（TLS）的匹配，以及用報(bào)告、日志和統(tǒng)計(jì)報(bào)表形式表現(xiàn)出來(lái)的用戶(hù)信息和應(yīng)用程序使用細(xì)節(jié)。

3 立足現(xiàn)在關(guān)注未來(lái)，心中始終存有“防火墻”

當(dāng)今時(shí)代是一個(gè)云計(jì)算和大數(shù)據(jù)的時(shí)代，海量信息被封裝為一個(gè)個(gè)數(shù)據(jù)包在網(wǎng)絡(luò)上高速流轉(zhuǎn)，就好像把不同信件裝在同樣的信封里，大量威脅藏身其中。所以有人說(shuō)，云計(jì)算時(shí)代將會(huì)意味著防火墻的終結(jié)，也有人說(shuō)，云計(jì)算時(shí)代代表著防火墻的新一輪繁榮。筆者認(rèn)為，問(wèn)題的核心不是防火墻還有沒(méi)有必要，而是如何讓防火墻變得更加強(qiáng)大。比如說(shuō)提高防火墻的應(yīng)用“透視化”技術(shù)，能夠透過(guò)信封看到信件，可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制；能夠?qū)崿F(xiàn)與多種認(rèn)證系統(tǒng)（AD、LDAP等）無(wú)縫對(duì)接，還可以進(jìn)一步自動(dòng)識(shí)別出網(wǎng)絡(luò)中當(dāng)前IP所對(duì)應(yīng)的用戶(hù)信息，勾畫(huà)出人—內(nèi)容—應(yīng)用的立體畫(huà)像。

移動(dòng)互聯(lián)網(wǎng)時(shí)代，任何人都可以拿起手機(jī)，在任何時(shí)間、地點(diǎn)都可以上網(wǎng)，這還會(huì)導(dǎo)致企業(yè)將大量敏感資產(chǎn)存儲(chǔ)在智能終端上。此時(shí)，移動(dòng)信息泄密的風(fēng)險(xiǎn)遠(yuǎn)非一道簡(jiǎn)單的防火墻所能堵?。?jiǎn)T工安全意識(shí)欠缺、設(shè)備被盜丟失，存儲(chǔ)數(shù)據(jù)外泄、不安全的網(wǎng)頁(yè)瀏覽、不安全的WiFi、藍(lán)牙連接以及補(bǔ)丁升級(jí)不及時(shí)導(dǎo)致被入侵等，都可能帶來(lái)安全隱患。所以說(shuō)，移動(dòng)應(yīng)用無(wú)論從產(chǎn)品上還是意識(shí)上都在面臨一個(gè)安全的空窗期，惡意攻擊者往往利用這一時(shí)期發(fā)起更多攻擊，亟需新的基于移動(dòng)互聯(lián)網(wǎng)的新型防火墻保護(hù)安全。

在云計(jì)算、大數(shù)據(jù)和移動(dòng)互聯(lián)面前，防火墻技術(shù)新一輪挑戰(zhàn)也許才剛剛開(kāi)始！

參考文獻(xiàn)

［1］許一凡.防火墻新技術(shù)分析［J］.計(jì)算機(jī)安全，2003（11）.

［2］廉育功.立體防護(hù)體系的新手段——聯(lián)動(dòng)防火墻［J］.電腦知識(shí)與技術(shù)（經(jīng)驗(yàn)技巧），2002（6）.

［3］王曉聰，黃赪東，畢建權(quán)，龐訓(xùn)龍，李智強(qiáng).探析防火墻的現(xiàn)狀與發(fā)展［J］.信息與電腦（理論版），2013（5）.

［4］孔佳泉.淺談下一代防火墻及其應(yīng)用［J］.信息安全與技術(shù)，2012（11）.

［5］江峰面向IPv6防火墻的高性能規(guī)則匹配關(guān)鍵技術(shù)研究與實(shí)現(xiàn)［D］.國(guó)防科學(xué)技術(shù)大學(xué)，2011.

中圖分類(lèi)號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A