公務(wù)員期刊網(wǎng) 論文中心 正文

網(wǎng)絡(luò)安全防護(hù)中下一代防火墻的應(yīng)用

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)安全防護(hù)中下一代防火墻的應(yīng)用范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

網(wǎng)絡(luò)安全防護(hù)中下一代防火墻的應(yīng)用

關(guān)鍵詞:下一代;防火墻;網(wǎng)絡(luò)安全防護(hù)

下一代防火墻(NGFW)可以全面應(yīng)對(duì)應(yīng)用層威脅,通過(guò)深度過(guò)濾網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容,并借助全新的高性能并行處理引擎,為用戶提供有效的網(wǎng)絡(luò)一體化安全防護(hù),幫助用戶安全地開(kāi)展業(yè)務(wù)并簡(jiǎn)化用戶的網(wǎng)絡(luò)安全架構(gòu)。當(dāng)前我國(guó)自主的主流防火墻產(chǎn)品有華為NGFW、深信服NGAF、網(wǎng)神防火墻等,在政企、教育、銀行、醫(yī)療、科研等行業(yè)和領(lǐng)域承接著防護(hù)網(wǎng)絡(luò)及數(shù)據(jù)安全的重任,下面對(duì)下一代防火墻在網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用做深入分析。

1下一代防火墻的比較優(yōu)勢(shì)

下一代防火墻除去傳統(tǒng)防火墻具有的包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測(cè)和VPN技術(shù)等以外,還具有很多彌補(bǔ)傳統(tǒng)防火墻缺陷的技術(shù)優(yōu)勢(shì)。一是多模塊功能的集成聯(lián)動(dòng),如入侵防御系統(tǒng)(IPS)、病毒檢測(cè)系統(tǒng)、VPN、網(wǎng)絡(luò)應(yīng)用防護(hù)系統(tǒng)(WAF)等,改變了傳統(tǒng)防護(hù)設(shè)備疊加部署、串糖葫蘆式的部署模式,節(jié)約成本、消除網(wǎng)絡(luò)瓶頸和單點(diǎn)故障,數(shù)據(jù)包單次解析多核并行處理提高檢測(cè)速度,多模塊聯(lián)動(dòng)提高響應(yīng)速度,日志整合提高檢測(cè)效率。二是網(wǎng)絡(luò)二至七層的全棧檢測(cè)能力,克服傳統(tǒng)防火墻包過(guò)濾基于IP和端口檢測(cè)的局限性,可以具體應(yīng)用為粒度設(shè)置過(guò)濾及安全策略,輔助用戶管理應(yīng)用。三是數(shù)據(jù)包深度檢測(cè),通過(guò)對(duì)數(shù)據(jù)包進(jìn)行深層次的協(xié)議解碼、內(nèi)容解析、模式匹配等操作,實(shí)現(xiàn)對(duì)數(shù)據(jù)包內(nèi)容的完全解析,查找相對(duì)應(yīng)的內(nèi)容安全策略進(jìn)行匹配。下一代防火墻通過(guò)HTTPS的功能,實(shí)現(xiàn)對(duì)SSL加密的數(shù)據(jù)進(jìn)行解密分析,可以檢測(cè)郵件中的非法信息。四是可視化配置界面,結(jié)合先進(jìn)的技術(shù)和理念,設(shè)備配置可視簡(jiǎn)化,功能完善,使技術(shù)人員精力從復(fù)雜的配置命令中解放出來(lái),更多關(guān)注配置規(guī)則的現(xiàn)實(shí)意義。通過(guò)可視化報(bào)表不僅能夠全面呈現(xiàn)用戶和業(yè)務(wù)的安全現(xiàn)狀,還能幫助用戶快速定位安全問(wèn)題。

2下一代防火墻設(shè)備的選配

下一代防火墻功能強(qiáng)大,成本也相對(duì)較高,一些廠商按功能模塊收費(fèi),因此在選配防火墻設(shè)備時(shí)需要考慮性價(jià)比。一是要了解使用方的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、核心服務(wù)、主干網(wǎng)絡(luò)帶寬利用率峰值、網(wǎng)絡(luò)中安全設(shè)備部署現(xiàn)狀和終端用戶網(wǎng)絡(luò)使用體驗(yàn),挖掘出網(wǎng)絡(luò)建設(shè)安全需求和亟須解決的問(wèn)題。二是根據(jù)客戶安全需求,選擇對(duì)應(yīng)的防護(hù)功能,進(jìn)而選用功能適配的防火墻設(shè)備,在采購(gòu)防火墻設(shè)備的同時(shí)需開(kāi)通對(duì)應(yīng)的功能權(quán)限,比如網(wǎng)絡(luò)序列號(hào)、IPSecVPN分支機(jī)構(gòu)、SSLVPN移動(dòng)用戶數(shù),WEB防護(hù)、網(wǎng)關(guān)殺毒、IPS、應(yīng)用控制、流量控制、各類特征庫(kù)升級(jí)序號(hào)等。三是根據(jù)功能需求選擇相應(yīng)的設(shè)備部署方式,接入方式不同,實(shí)現(xiàn)的防護(hù)功能也有差異,防火墻支持網(wǎng)關(guān)模式、網(wǎng)橋模式、混合模式、旁接模式和雙機(jī)接入等。四是根據(jù)防火墻接入干線的流量來(lái)確定防火墻的性能指標(biāo),核心指標(biāo)有接口數(shù)量及帶寬、整機(jī)吞吐量、應(yīng)用層吞吐量、每秒最大連接數(shù)和并發(fā)連接數(shù)、設(shè)備存儲(chǔ)空間、關(guān)鍵部件冗余等,可能制約網(wǎng)絡(luò)應(yīng)用和用戶體驗(yàn)。

3下一代防火墻對(duì)網(wǎng)絡(luò)連通性的影響

防火墻網(wǎng)絡(luò)連通配置比較復(fù)雜,有的部署模式可能改變?cè)W(wǎng)絡(luò)結(jié)構(gòu),影響原網(wǎng)絡(luò)的連通性。一是影響網(wǎng)絡(luò)結(jié)構(gòu)。在網(wǎng)關(guān)模式和混合模式中,下一代防火墻可替代現(xiàn)有出口路由器,部署在網(wǎng)絡(luò)出口配置路由功能。在網(wǎng)橋模式中下一代防火墻具有二層網(wǎng)絡(luò)交換機(jī)的功能,部署在核心路由器與核心交換機(jī)中間。旁接模式中,下一代防火墻通常接入核心交換機(jī),同時(shí)將核心交換機(jī)的流量鏡像至防火墻,因?yàn)閷?shí)際流量不經(jīng)過(guò)防火墻,防火墻不能實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)檢測(cè)和阻斷,通常在使用監(jiān)測(cè)和審計(jì)時(shí)采用這種部署方式。兩臺(tái)防火墻可支持雙主模式或主備模式,部署在雙核心網(wǎng)絡(luò)中,實(shí)現(xiàn)防火墻設(shè)備的設(shè)備冗余和線路冗余[1]。二是對(duì)網(wǎng)絡(luò)分區(qū)管理。按照網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)2.0的要求,網(wǎng)絡(luò)要分區(qū)管理,實(shí)現(xiàn)這一功能的主要設(shè)備就是防火墻。除了旁接模式外,使用其他三種模式部署時(shí),均可將原網(wǎng)絡(luò)分隔成三個(gè)區(qū)域,即可信區(qū)域、DMZ區(qū)域和不可信區(qū)域,便于分區(qū)管理和配置防護(hù)策略。內(nèi)網(wǎng)屬于可信區(qū)域,對(duì)外服務(wù)的服務(wù)器部署在DMZ區(qū)域,直接連接外網(wǎng)的出口網(wǎng)絡(luò)屬于不可信區(qū)域,僅對(duì)內(nèi)提供服務(wù)的服務(wù)器劃入可信區(qū)域[2]。三是網(wǎng)絡(luò)技術(shù)運(yùn)用。下一代防火墻在網(wǎng)絡(luò)出口處支持多線路接入,包括ADSL線路的PPPoE接入,可同時(shí)接入多條運(yùn)營(yíng)商線路,并根據(jù)需要實(shí)現(xiàn)網(wǎng)絡(luò)出口的多種模式的負(fù)載均衡,充分利用出口帶寬,實(shí)現(xiàn)出口線路冗余。設(shè)備支持網(wǎng)絡(luò)接口配置成交換口和路由口,支持常用路由協(xié)議配置,支持IPV6。使用IPSecVPN技術(shù)建立總部與分支網(wǎng)絡(luò)間的VPN線路,建立總部與分支專線的虛擬備份鏈路。SSLVPN則可使出差人員異地方便接入內(nèi)部網(wǎng)絡(luò)、資源和服務(wù)等,保障移動(dòng)安全辦公需要。四是防火墻連通性配置。首先配置連通網(wǎng)絡(luò)。網(wǎng)橋模式下,先使用既有網(wǎng)絡(luò)設(shè)備連通網(wǎng)絡(luò),再在路由器與核心交換機(jī)中間加裝防火墻。網(wǎng)關(guān)模式下,先配置相應(yīng)的防火墻接口參數(shù),再連通網(wǎng)絡(luò)。網(wǎng)絡(luò)連通后添加相應(yīng)的包過(guò)濾規(guī)則或全通規(guī)則,測(cè)試防火墻內(nèi)外網(wǎng)數(shù)據(jù)是否可達(dá)。其次,配置路由參數(shù)。選擇網(wǎng)絡(luò)通用的路由協(xié)議配置相應(yīng)的路由參數(shù)。最后測(cè)試私有網(wǎng)絡(luò)與公網(wǎng)的連通性。因運(yùn)營(yíng)商網(wǎng)絡(luò)上不私網(wǎng)網(wǎng)段,私網(wǎng)訪問(wèn)公網(wǎng)時(shí)需配置NAT規(guī)則,公網(wǎng)訪問(wèn)私網(wǎng)時(shí)配置端口映射或IP映射規(guī)則,添加映射規(guī)則后,還須添加相應(yīng)的包過(guò)濾規(guī)則才能生效。

4下一代防火墻安全策略配置

下一代防火墻通常配置的安全策略包括漏洞攻擊策略、Web應(yīng)用防護(hù)策略、僵尸網(wǎng)絡(luò)策略、內(nèi)容安全策略、應(yīng)用控制策略、連接數(shù)控制策略、DoS/DDoS防護(hù)策略、流量管理策略、用戶認(rèn)證策略和認(rèn)證選項(xiàng)等。安全策略制定時(shí)需注意以下事項(xiàng):一是安全策略的可讀性設(shè)置。為保證防火墻規(guī)則的可讀性,在為各類資源、服務(wù)、應(yīng)用、規(guī)則命名時(shí)要有明顯區(qū)分,體現(xiàn)其分類、功能和用途,有利于安全策略的可視化配置和策略解讀。防止大型網(wǎng)絡(luò)配置規(guī)則過(guò)多后,因命名混亂而制造后期管理和維護(hù)難度。資源命名時(shí)以分組或類命名,在策略中調(diào)用分組,后期維護(hù)中方便添加和刪除單個(gè)資源。二是安全策略的細(xì)粒度配置。安全策略源目地址、出入網(wǎng)口和源目端口與實(shí)際對(duì)應(yīng)。下一代防火墻可以對(duì)區(qū)域、IP分組及用戶、應(yīng)用或服務(wù)、時(shí)間及生效狀態(tài)等進(jìn)行細(xì)粒度配置,進(jìn)行個(gè)性化設(shè)置,也可以針對(duì)某個(gè)具體應(yīng)用進(jìn)行細(xì)節(jié)化配置,如允許用戶通過(guò)HTTPS訪問(wèn)互聯(lián)網(wǎng),但是禁止通過(guò)HTTPS下載數(shù)據(jù);允許用戶使用QQ,但是禁止用戶通過(guò)QQ接收文件。三是調(diào)整安全策略執(zhí)行順序。防火墻的安全策略通常按順序執(zhí)行,遇到滿足條件的策略直接放行數(shù)據(jù)包,而不檢查后續(xù)策略的適用性,因此策略順序在防火墻功能發(fā)揮中的作用尤為重要。在配置規(guī)則時(shí)需將地址范圍小、用戶數(shù)量少、服務(wù)端口少等局部生效的安全策略序號(hào)調(diào)整至同類策略列表的前列優(yōu)先執(zhí)行。四是多方式的用戶認(rèn)證策略。防火墻實(shí)現(xiàn)精確管控首先要確定用戶身份,通過(guò)用戶認(rèn)證策略可以確定單位內(nèi)部每一個(gè)用戶,即某個(gè)IP地址上某個(gè)時(shí)刻是哪個(gè)用戶在使用的信息,對(duì)上網(wǎng)用戶的身份進(jìn)行認(rèn)證,從而實(shí)現(xiàn)基于用戶的上網(wǎng)行為管理。通常支持本地用戶名密碼登錄、借助其他身份認(rèn)證系統(tǒng)的單點(diǎn)登錄、跨交換機(jī)和網(wǎng)段的IP-MAC地址綁定建立用戶和IP對(duì)應(yīng)關(guān)系,鎖定上網(wǎng)用戶身份,實(shí)現(xiàn)用戶無(wú)感知地上網(wǎng)。5下一代防火墻對(duì)數(shù)據(jù)的全程防護(hù)下一代防火墻具有風(fēng)險(xiǎn)感知、多設(shè)備多模塊聯(lián)動(dòng)防御、數(shù)據(jù)深度檢測(cè)、日志分析可視化等功能,通過(guò)技術(shù)手段的融合,在網(wǎng)絡(luò)威脅下全程對(duì)數(shù)據(jù)進(jìn)行防護(hù),包括事前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)、事中的多手段聯(lián)動(dòng)防御、事后的快速響應(yīng),并將防護(hù)信息通過(guò)多種形式以可視化的方式呈現(xiàn)給用戶。一是事前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)感知。安全威脅發(fā)生前,防火墻通過(guò)流經(jīng)流量的IP地址檢測(cè)及端口檢測(cè)快速識(shí)別內(nèi)部的服務(wù)器,檢測(cè)服務(wù)器上開(kāi)放端口、存在的漏洞和弱密碼等風(fēng)險(xiǎn);利用豐富的掃描插件對(duì)WEB服務(wù)器進(jìn)行掃描,識(shí)別網(wǎng)站類型,提供漏洞分析和修復(fù)建議,通過(guò)流量檢測(cè)、策略對(duì)比、版本檢測(cè)等多個(gè)維度檢測(cè)服務(wù)器對(duì)應(yīng)的安全策略是否存在和生效。二是事中多設(shè)備多模塊聯(lián)動(dòng)防御。下一代防火墻在防御層面融合了多種安全技術(shù),防火墻內(nèi)部傳統(tǒng)防火墻、網(wǎng)關(guān)殺毒、IPS、WAF等模塊聯(lián)動(dòng)防御,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行L2-7層的安全防護(hù),同時(shí)與其他安全設(shè)備聯(lián)動(dòng)取得更好的防護(hù)效果。下一代防火墻與終端檢測(cè)響應(yīng)平臺(tái)聯(lián)動(dòng),持續(xù)檢測(cè)發(fā)現(xiàn)、快速響應(yīng)處置,形成多層次立體化的威脅防御體系,彌補(bǔ)防火墻對(duì)內(nèi)部發(fā)起和內(nèi)部用戶之間的網(wǎng)絡(luò)攻擊無(wú)法檢測(cè)的缺陷[3]。下一代防火墻與云安全平臺(tái)聯(lián)動(dòng),借助廠家強(qiáng)大的技術(shù)支持、威脅云端檢測(cè)、快速響應(yīng)和全網(wǎng)威脅情報(bào)分享等,對(duì)抗高級(jí)威脅和未知威脅,為客戶保駕護(hù)航。三是事后快速響應(yīng)。下一代防火墻在黑客入侵之后,能夠幫助客戶及時(shí)發(fā)現(xiàn)入侵后的惡意行為,如檢測(cè)僵尸主機(jī)發(fā)起的惡意攻擊行為,網(wǎng)頁(yè)篡改,網(wǎng)站黑鏈植入及網(wǎng)站后門(mén)檢測(cè)等,并快速推送警告事件,協(xié)助用戶進(jìn)行響應(yīng)處置。通過(guò)數(shù)據(jù)中心分析可發(fā)現(xiàn)被攻擊的主機(jī)數(shù)量和被攻擊的嚴(yán)重等級(jí),利用策略動(dòng)作自動(dòng)執(zhí)行、專用工具和云端聯(lián)動(dòng)等方式快速響應(yīng)。

6結(jié)束語(yǔ)

下一代防火墻在傳統(tǒng)防火墻的基礎(chǔ)上,采用先進(jìn)的架構(gòu)設(shè)計(jì)和技術(shù)實(shí)現(xiàn),具有更強(qiáng)大的設(shè)備性能、網(wǎng)絡(luò)功能和安全防護(hù)功能,實(shí)現(xiàn)設(shè)備部署、網(wǎng)絡(luò)連通和策略配置等,尤其是基于認(rèn)證用戶和應(yīng)用靈活配置安全策略,實(shí)現(xiàn)了數(shù)據(jù)包的深度過(guò)濾和網(wǎng)絡(luò)L2-7層的安全防護(hù)。與內(nèi)部模塊和外部安全設(shè)備間的聯(lián)動(dòng)響應(yīng),提高了檢測(cè)能力,通過(guò)對(duì)安全威脅全流程的分析,實(shí)現(xiàn)對(duì)數(shù)據(jù)流向全程的安全防護(hù)。鑒于篇幅所限,下一代防火墻詳細(xì)配置需另做深入探討。

參考文獻(xiàn):

[1]趙菁.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(10):21.

[2]趙彬.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].電子技術(shù)與軟件工程,2020(17):251-252.

[3]何恩南.計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析研究綜述[J].珠江水運(yùn),2020(18):52.

作者:鄭傳德 單位:廣州商學(xué)院