范強(qiáng)

摘要：隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入專網(wǎng)的應(yīng)用系統(tǒng)越來越多。對整個系統(tǒng)和專網(wǎng)的安全性、可靠性、實(shí)時性提出了新的嚴(yán)峻挑戰(zhàn)。防火墻是最具策略性的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)組件，可以檢測所有通信流。因此，防火墻是企業(yè)網(wǎng)絡(luò)安全控制的中心，通過部署防火墻來強(qiáng)化網(wǎng)絡(luò)的安全性，是實(shí)施安全策略的最有效位置。

關(guān)鍵詞：網(wǎng)絡(luò)安全;防護(hù)技術(shù)

近年來，隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及，互聯(lián)網(wǎng)已成為人們?nèi)粘９ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。同樣，隨著網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大、信息的內(nèi)容和信息量在不斷增長，網(wǎng)絡(luò)應(yīng)用和規(guī)模的快速發(fā)展同時帶來了更大程度的安全問題，這些安全威脅以不同的技術(shù)形式同步地在迅速更新，并且以簡單的傳播方式泛濫，使得網(wǎng)絡(luò)維護(hù)者不得不對潛在的威脅進(jìn)行防御及網(wǎng)絡(luò)安全系統(tǒng)建設(shè)，多種威脅技術(shù)的變化發(fā)展及威脅對企業(yè)專網(wǎng)系統(tǒng)的IT安全建設(shè)提出了更高的要求。

1.安全風(fēng)險(xiǎn)背景

隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入專網(wǎng)的應(yīng)用系統(tǒng)越來越多。特別是隨著信息化的普及需要和總部的數(shù)據(jù)交換也越來越多。對整個系統(tǒng)和專網(wǎng)的安全性、可靠性、實(shí)時性提出了新的嚴(yán)峻挑戰(zhàn)。而另一方面，Internet技術(shù)已得到廣泛使用，E-mail、Web2.0和終端PC的應(yīng)用也日益普及，但同時病毒和黑客也日益猖獗，系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個非常緊迫的問題。

2.網(wǎng)絡(luò)安全方案

防火墻是最具策略性的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)組件，可以檢測所有通信流。因此，防火墻是企業(yè)網(wǎng)絡(luò)安全控制的中心，通過部署防火墻來強(qiáng)化網(wǎng)絡(luò)的安全性，是實(shí)施安全策略的最有效位置。

由此帶來的可視化和控制喪失會使管理員處于不利地位，失去應(yīng)用控制的結(jié)果會讓企業(yè)暴露在商業(yè)風(fēng)險(xiǎn)之下，并使企業(yè)面臨網(wǎng)絡(luò)中斷、違反規(guī)定、運(yùn)營維護(hù)成本增加和可能丟失數(shù)據(jù)等風(fēng)險(xiǎn)。用于恢復(fù)可視化和控制的傳統(tǒng)方法要求在防火墻的后面或通過采用插接件集成的組合方式，單獨(dú)部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲（將引發(fā)掃描進(jìn)程）的不足，均無法解決可視化和控制問題?，F(xiàn)在需要一種完全顛覆式的方法來恢復(fù)可視化和控制。而新一代防火墻也必須具備如下要素：

（1）識別應(yīng)用程序而非端口：準(zhǔn)確識別應(yīng)用程序身份，檢測所有端口，而且不論應(yīng)用程序使用何種協(xié)議、SSL、加密技術(shù)或規(guī)避策略。應(yīng)用程序的身份構(gòu)成所有安全策略的基礎(chǔ)。（識別七層或七層以上應(yīng)用）

（2）識別用戶，而不僅僅識別 IP 地址。利用企業(yè)目錄中存儲的信息來執(zhí)行可視化、策略創(chuàng)建、報(bào)告和取證調(diào)查等操作。

（3）實(shí)時檢查內(nèi)容。幫助網(wǎng)絡(luò)防御在應(yīng)用程序通信流中嵌入的攻擊行為和惡意軟件，并且實(shí)現(xiàn)低延遲和高吞吐速度。

（4）簡化策略管理。通過易用的圖形化工具和策略編輯器（來恢復(fù)可視化和控制

（5）提供數(shù)千兆位或萬兆位的數(shù)據(jù)吞吐量。在一個專門構(gòu)建的平臺上結(jié)合高性能硬件和軟件來實(shí)現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能

2.1 產(chǎn)品與部署方式

本文就Palo Alto Networks 新一代安全防護(hù)網(wǎng)關(guān)部署方案進(jìn)行探討，該產(chǎn)品采用全新設(shè)計(jì)的軟/硬件架構(gòu)，可在不影響任何服務(wù)的前提下，以旁路模式、透明模式等接入現(xiàn)有網(wǎng)絡(luò)架構(gòu)中，協(xié)助網(wǎng)管人員進(jìn)行環(huán)境狀態(tài)分析，并將分析過程中各類信息進(jìn)行整理后生成報(bào)表，從而進(jìn)一步發(fā)現(xiàn)潛在安全風(fēng)險(xiǎn)，作為安全策略調(diào)整的判斷依據(jù)。

2.2 解決方案功能

本方案產(chǎn)品突破了傳統(tǒng)的防火墻和UTM的缺陷，從硬件設(shè)計(jì)和軟件設(shè)計(jì)上進(jìn)一步強(qiáng)化了網(wǎng)絡(luò)及應(yīng)用的安全性和可視性的同時保持應(yīng)用層線速的特性。主要功能如下：

（1）應(yīng)用程序、用戶和內(nèi)容的可視化

管理員可使用一組功能強(qiáng)大的可視化工具來快速查看穿越網(wǎng)絡(luò)的應(yīng)用程序、這些應(yīng)用程序的使用者以及可能造成的安全影響，從而使管理員能夠制定更多與業(yè)務(wù)相關(guān)的安全策略。

（2）應(yīng)用程序命令中心：這是一項(xiàng)無需執(zhí)行任何配置工作的標(biāo)準(zhǔn)功能，以圖形方式顯示有關(guān)當(dāng)前網(wǎng)絡(luò)活動（包括應(yīng)用程序、URL 類別、威脅和數(shù)據(jù)）的大量信息，為管理員提供所需的數(shù)據(jù)，供其做出更為合理的安全策略決定。

（3）管理：管理員可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多種方式來控制防火墻。可基于角色的管理，將不同的管理職能委派給合適的個人。

（4）日志記錄和報(bào)告：可完全自定義和安排的預(yù)定義報(bào)告提供有關(guān)網(wǎng)絡(luò)上的應(yīng)用程序、用戶和威脅的詳細(xì)視圖。

2.3 解決方案特色

（1）以 APP-ID、User-ID 及 Content-ID 三種獨(dú)特的識別技術(shù)，以統(tǒng)一策略方式對使用者（群組）、應(yīng)用程序及內(nèi)容提供訪問控制、安全管理及帶寬控制解決方案，此創(chuàng)新的技術(shù)建構(gòu)于“單通道平行處理（SP3）”先進(jìn)的硬件+軟件系統(tǒng)架構(gòu)下，實(shí)現(xiàn)低延遲及高效率的特性，解決傳統(tǒng)FW+IPS+UTM對應(yīng)用處理效能不佳的現(xiàn)況。

（2）實(shí)現(xiàn)了對應(yīng)用程序和內(nèi)容的前所未有的可視化和控制（按用戶而不僅僅是按 IP 地址），并且速度可以高達(dá) 10Gbps，精確地識別應(yīng)用程序使用的端口、協(xié)議、規(guī)避策略或 SSL 加密算法，掃描內(nèi)容來阻止威脅和防止數(shù)據(jù)泄露。

（3）對網(wǎng)絡(luò)中傳輸?shù)膽?yīng)用程序和用戶進(jìn)行深度識別并進(jìn)行內(nèi)容的分析，提供完整的可視度和控制能力。

（4）提供多樣化NAT轉(zhuǎn)址功能：傳統(tǒng)NAT服務(wù)，僅能利用單一或少數(shù)外部IP地址，提供內(nèi)部使用者做為IP地址轉(zhuǎn)換之用，其瓶頸在于能做為NAT轉(zhuǎn)換的外部IP地址數(shù)量過少，當(dāng)內(nèi)部有不當(dāng)使用行為發(fā)生，致使該IP地址被全球ISP服務(wù)業(yè)者列為黑名單后，將造成內(nèi)部網(wǎng)絡(luò)用戶無法存取因特網(wǎng)資源;本方案提供具有多對多特性的地址轉(zhuǎn)換服務(wù)功能，讓IT人員可以利用較多的外部IP地址做為地址轉(zhuǎn)換，避免因少數(shù)外部IP被封鎖而造成無法上網(wǎng)，再次提升網(wǎng)絡(luò)服務(wù)質(zhì)量。

（5）用戶行為控制：不僅具備廣泛應(yīng)用程序識別能力，還將無線網(wǎng)絡(luò)用戶納入集中的控制管理，可對無線網(wǎng)絡(luò)使用情況，提供最為詳細(xì)豐富的用戶使用數(shù)據(jù)。

（6）流量地圖功能：流量地圖清楚呈現(xiàn)資料流向并能連結(jié)集中化的事件分析界面。

3.總結(jié)

新一代防火墻解決了網(wǎng)絡(luò)應(yīng)用的可視性問題，有效杜絕利用跳端口技術(shù)、使用SSL、80端口或非標(biāo)準(zhǔn)端口繞過傳統(tǒng)防火墻攻擊企業(yè)網(wǎng)絡(luò)行為，從根本上解決傳統(tǒng)防火墻集成多個安全系統(tǒng)，卻無法真正有效協(xié)同工作的缺陷，大大提高數(shù)據(jù)實(shí)時轉(zhuǎn)發(fā)效率，有效解決企業(yè)信息安全存在的問題。