时间:2024-09-03
◆郑传德
(广州商学院 广东 511363)
下一代防火墙(NGFW)可以全面应对应用层威胁,通过深度过滤网络流量中的用户、应用和内容,并借助全新的高性能并行处理引擎,为用户提供有效的网络一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。当前我国自主的主流防火墙产品有华为NGFW、深信服NGAF、网神防火墙等,在政企、教育、银行、医疗、科研等行业和领域承接着防护网络及数据安全的重任,下面对下一代防火墙在网络安全防护中的应用做深入分析。
下一代防火墙除去传统防火墙具有的包过滤、网络地址转换、状态检测和VPN 技术等以外,还具有很多弥补传统防火墙缺陷的技术优势。一是多模块功能的集成联动,如入侵防御系统(IPS)、病毒检测系统、VPN、网络应用防护系统(WAF)等,改变了传统防护设备叠加部署、串糖葫芦式的部署模式,节约成本、消除网络瓶颈和单点故障,数据包单次解析多核并行处理提高检测速度,多模块联动提高响应速度,日志整合提高检测效率。二是网络二至七层的全栈检测能力,克服传统防火墙包过滤基于IP 和端口检测的局限性,可以具体应用为粒度设置过滤及安全策略,辅助用户管理应用。三是数据包深度检测,通过对数据包进行深层次的协议解码、内容解析、模式匹配等操作,实现对数据包内容的完全解析,查找相对应的内容安全策略进行匹配。下一代防火墙通过HTTPS 的代理功能,实现对SSL 加密的数据进行解密分析,可以检测邮件中的非法信息。四是可视化配置界面,结合先进的技术和理念,设备配置可视简化,功能完善,使技术人员精力从复杂的配置命令中解放出来,更多关注配置规则的现实意义。通过可视化报表不仅能够全面呈现用户和业务的安全现状,还能帮助用户快速定位安全问题。
下一代防火墙功能强大,成本也相对较高,一些厂商按功能模块收费,因此在选配防火墙设备时需要考虑性价比。一是要了解使用方的网络拓扑结构、核心服务、主干网络带宽利用率峰值、网络中安全设备部署现状和终端用户网络使用体验,挖掘出网络建设安全需求和亟须解决的问题。二是根据客户安全需求,选择对应的防护功能,进而选用功能适配的防火墙设备,在采购防火墙设备的同时需开通对应的功能权限,比如网络序列号、IPSec VPN 分支机构、SSL VPN 移动用户数,WEB 防护、网关杀毒、IPS、应用控制、流量控制、各类特征库升级序号等。三是根据功能需求选择相应的设备部署方式,接入方式不同,实现的防护功能也有差异,防火墙支持网关模式、网桥模式、混合模式、旁接模式和双机接入等。四是根据防火墙接入干线的流量来确定防火墙的性能指标,核心指标有接口数量及带宽、整机吞吐量、应用层吞吐量、每秒最大连接数和并发连接数、设备存储空间、关键部件冗余等,可能制约网络应用和用户体验。
防火墙网络连通配置比较复杂,有的部署模式可能改变原网络结构,影响原网络的连通性。一是影响网络结构。在网关模式和混合模式中,下一代防火墙可替代现有出口路由器,部署在网络出口配置路由功能。在网桥模式中下一代防火墙具有二层网络交换机的功能,部署在核心路由器与核心交换机中间。旁接模式中,下一代防火墙通常接入核心交换机,同时将核心交换机的流量镜像至防火墙,因为实际流量不经过防火墙,防火墙不能实现数据的实时检测和阻断,通常在使用监测和审计时采用这种部署方式。两台防火墙可支持双主模式或主备模式,部署在双核心网络中,实现防火墙设备的设备冗余和线路冗余[1]。二是对网络分区管理。按照网络系统安全等级保护2.0 的要求,网络要分区管理,实现这一功能的主要设备就是防火墙。除了旁接模式外,使用其他三种模式部署时,均可将原网络分隔成三个区域,即可信区域、DMZ 区域和不可信区域,便于分区管理和配置防护策略。内网属于可信区域,对外服务的服务器部署在DMZ 区域,直接连接外网的出口网络属于不可信区域,仅对内提供服务的服务器划入可信区域[2]。三是网络技术运用。下一代防火墙在网络出口处支持多线路接入,包括ADSL 线路的PPPoE 接入,可同时接入多条运营商线路,并根据需要实现网络出口的多种模式的负载均衡,充分利用出口带宽,实现出口线路冗余。设备支持网络接口配置成交换口和路由口,支持常用路由协议配置,支持IPV6。使用IPSec VPN 技术建立总部与分支网络间的VPN 线路,建立总部与分支专线的虚拟备份链路。SSL VPN 则可使出差人员异地方便接入内部网络、资源和服务等,保障移动安全办公需要。四是防火墙连通性配置。首先配置连通网络。网桥模式下,先使用既有网络设备连通网络,再在路由器与核心交换机中间加装防火墙。网关模式下,先配置相应的防火墙接口参数,再连通网络。网络连通后添加相应的包过滤规则或全通规则,测试防火墙内外网数据是否可达。其次,配置路由参数。选择网络通用的路由协议配置相应的路由参数。最后测试私有网络与公网的连通性。因运营商网络上不发布私网网段,私网访问公网时需配置NAT规则,公网访问私网时配置端口映射或IP 映射规则,添加映射规则后,还须添加相应的包过滤规则才能生效。
下一代防火墙通常配置的安全策略包括漏洞攻击策略、Web 应用防护策略、僵尸网络策略、内容安全策略、应用控制策略、连接数控制策略、DoS/DDoS 防护策略、流量管理策略、用户认证策略和认证选项等。安全策略制定时需注意以下事项:一是安全策略的可读性设置。为保证防火墙规则的可读性,在为各类资源、服务、应用、规则命名时要有明显区分,体现其分类、功能和用途,有利于安全策略的可视化配置和策略解读。防止大型网络配置规则过多后,因命名混乱而制造后期管理和维护难度。资源命名时以分组或类命名,在策略中调用分组,后期维护中方便添加和删除单个资源。二是安全策略的细粒度配置。安全策略源目地址、出入网口和源目端口与实际对应。下一代防火墙可以对区域、IP 分组及用户、应用或服务、时间及生效状态等进行细粒度配置,进行个性化设置,也可以针对某个具体应用进行细节化配置,如允许用户通过HTTPS 访问互联网,但是禁止通过HTTPS 下载数据;允许用户使用QQ,但是禁止用户通过QQ接收文件。三是调整安全策略执行顺序。防火墙的安全策略通常按顺序执行,遇到满足条件的策略直接放行数据包,而不检查后续策略的适用性,因此策略顺序在防火墙功能发挥中的作用尤为重要。在配置规则时需将地址范围小、用户数量少、服务端口少等局部生效的安全策略序号调整至同类策略列表的前列优先执行。四是多方式的用户认证策略。防火墙实现精确管控首先要确定用户身份,通过用户认证策略可以确定单位内部每一个用户,即某个IP 地址上某个时刻是哪个用户在使用的信息,对上网用户的身份进行认证,从而实现基于用户的上网行为管理。通常支持本地用户名密码登录、借助其他身份认证系统的单点登录、跨交换机和网段的IP-MAC 地址绑定建立用户和IP 对应关系,锁定上网用户身份,实现用户无感知地上网。
下一代防火墙具有风险感知、多设备多模块联动防御、数据深度检测、日志分析可视化等功能,通过技术手段的融合,在网络威胁下全程对数据进行防护,包括事前的网络安全风险检测、事中的多手段联动防御、事后的快速响应,并将防护信息通过多种形式以可视化的方式呈现给用户。一是事前网络安全风险感知。安全威胁发生前,防火墙通过流经流量的IP 地址检测及端口检测快速识别内部的服务器,检测服务器上开放端口、存在的漏洞和弱密码等风险;利用丰富的扫描插件对WEB 服务器进行扫描,识别网站类型,提供漏洞分析和修复建议,通过流量检测、策略对比、版本检测等多个维度检测服务器对应的安全策略是否存在和生效。二是事中多设备多模块联动防御。下一代防火墙在防御层面融合了多种安全技术,防火墙内部传统防火墙、网关杀毒、IPS、WAF 等模块联动防御,对网络数据进行L2-7 层的安全防护,同时与其他安全设备联动取得更好的防护效果。下一代防火墙与终端检测响应平台联动,持续检测发现、快速响应处置,形成多层次立体化的威胁防御体系,弥补防火墙对内部发起和内部用户之间的网络攻击无法检测的缺陷[3]。下一代防火墙与云安全平台联动,借助厂家强大的技术支持、威胁云端检测、快速响应和全网威胁情报分享等,对抗高级威胁和未知威胁,为客户保驾护航。三是事后快速响应。下一代防火墙在黑客入侵之后,能够帮助客户及时发现入侵后的恶意行为,如检测僵尸主机发起的恶意攻击行为,网页篡改,网站黑链植入及网站后门检测等,并快速推送警告事件,协助用户进行响应处置。通过数据中心分析可发现被攻击的主机数量和被攻击的严重等级,利用策略动作自动执行、专用工具和云端联动等方式快速响应。
下一代防火墙在传统防火墙的基础上,采用先进的架构设计和技术实现,具有更强大的设备性能、网络功能和安全防护功能,实现设备部署、网络连通和策略配置等,尤其是基于认证用户和应用灵活配置安全策略,实现了数据包的深度过滤和网络L2-7 层的安全防护。与内部模块和外部安全设备间的联动响应,提高了检测能力,通过对安全威胁全流程的分析,实现对数据流向全程的安全防护。鉴于篇幅所限,下一代防火墙详细配置需另做深入探讨。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!