公務(wù)員期刊網(wǎng) 論文中心 正文

網(wǎng)絡(luò)安全防護中下一代防火墻的應(yīng)用

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)安全防護中下一代防火墻的應(yīng)用范文,希望能給你帶來靈感和參考,敬請閱讀。

網(wǎng)絡(luò)安全防護中下一代防火墻的應(yīng)用

關(guān)鍵詞:下一代;防火墻;網(wǎng)絡(luò);安全防護

下一代防火墻(NGFW)可以全面應(yīng)對應(yīng)用層威脅,通過深度過濾網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容,并借助全新的高性能并行處理引擎,為用戶提供有效的網(wǎng)絡(luò)一體化安全防護,幫助用戶安全地開展業(yè)務(wù)并簡化用戶的網(wǎng)絡(luò)安全架構(gòu)。當(dāng)前我國自主的主流防火墻產(chǎn)品有華為NGFW、深信服NGAF、網(wǎng)神防火墻等,在政企、教育、銀行、醫(yī)療、科研等行業(yè)和領(lǐng)域承接著防護網(wǎng)絡(luò)及數(shù)據(jù)安全的重任,下面對下一代防火墻在網(wǎng)絡(luò)安全防護中的應(yīng)用做深入分析。

1下一代防火墻的比較優(yōu)勢

下一代防火墻除去傳統(tǒng)防火墻具有的包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測和VPN技術(shù)等以外,還具有很多彌補傳統(tǒng)防火墻缺陷的技術(shù)優(yōu)勢。一是多模塊功能的集成聯(lián)動,如入侵防御系統(tǒng)(IPS)、病毒檢測系統(tǒng)、VPN、網(wǎng)絡(luò)應(yīng)用防護系統(tǒng)(WAF)等,改變了傳統(tǒng)防護設(shè)備疊加部署、串糖葫蘆式的部署模式,節(jié)約成本、消除網(wǎng)絡(luò)瓶頸和單點故障,數(shù)據(jù)包單次解析多核并行處理提高檢測速度,多模塊聯(lián)動提高響應(yīng)速度,日志整合提高檢測效率。二是網(wǎng)絡(luò)二至七層的全棧檢測能力,克服傳統(tǒng)防火墻包過濾基于IP和端口檢測的局限性,可以具體應(yīng)用為粒度設(shè)置過濾及安全策略,輔助用戶管理應(yīng)用。三是數(shù)據(jù)包深度檢測,通過對數(shù)據(jù)包進行深層次的協(xié)議解碼、內(nèi)容解析、模式匹配等操作,實現(xiàn)對數(shù)據(jù)包內(nèi)容的完全解析,查找相對應(yīng)的內(nèi)容安全策略進行匹配。下一代防火墻通過HTTPS的功能,實現(xiàn)對SSL加密的數(shù)據(jù)進行解密分析,可以檢測郵件中的非法信息。四是可視化配置界面,結(jié)合先進的技術(shù)和理念,設(shè)備配置可視簡化,功能完善,使技術(shù)人員精力從復(fù)雜的配置命令中解放出來,更多關(guān)注配置規(guī)則的現(xiàn)實意義。通過可視化報表不僅能夠全面呈現(xiàn)用戶和業(yè)務(wù)的安全現(xiàn)狀,還能幫助用戶快速定位安全問題。

2下一代防火墻設(shè)備的選配

下一代防火墻功能強大,成本也相對較高,一些廠商按功能模塊收費,因此在選配防火墻設(shè)備時需要考慮性價比。一是要了解使用方的網(wǎng)絡(luò)拓撲結(jié)構(gòu)、核心服務(wù)、主干網(wǎng)絡(luò)帶寬利用率峰值、網(wǎng)絡(luò)中安全設(shè)備部署現(xiàn)狀和終端用戶網(wǎng)絡(luò)使用體驗,挖掘出網(wǎng)絡(luò)建設(shè)安全需求和亟須解決的問題。二是根據(jù)客戶安全需求,選擇對應(yīng)的防護功能,進而選用功能適配的防火墻設(shè)備,在采購防火墻設(shè)備的同時需開通對應(yīng)的功能權(quán)限,比如網(wǎng)絡(luò)序列號、IPSecVPN分支機構(gòu)、SSLVPN移動用戶數(shù),WEB防護、網(wǎng)關(guān)殺毒、IPS、應(yīng)用控制、流量控制、各類特征庫升級序號等。三是根據(jù)功能需求選擇相應(yīng)的設(shè)備部署方式,接入方式不同,實現(xiàn)的防護功能也有差異,防火墻支持網(wǎng)關(guān)模式、網(wǎng)橋模式、混合模式、旁接模式和雙機接入等。四是根據(jù)防火墻接入干線的流量來確定防火墻的性能指標(biāo),核心指標(biāo)有接口數(shù)量及帶寬、整機吞吐量、應(yīng)用層吞吐量、每秒最大連接數(shù)和并發(fā)連接數(shù)、設(shè)備存儲空間、關(guān)鍵部件冗余等,可能制約網(wǎng)絡(luò)應(yīng)用和用戶體驗。

3下一代防火墻對網(wǎng)絡(luò)連通性的影響

防火墻網(wǎng)絡(luò)連通配置比較復(fù)雜,有的部署模式可能改變原網(wǎng)絡(luò)結(jié)構(gòu),影響原網(wǎng)絡(luò)的連通性。一是影響網(wǎng)絡(luò)結(jié)構(gòu)。在網(wǎng)關(guān)模式和混合模式中,下一代防火墻可替代現(xiàn)有出口路由器,部署在網(wǎng)絡(luò)出口配置路由功能。在網(wǎng)橋模式中下一代防火墻具有二層網(wǎng)絡(luò)交換機的功能,部署在核心路由器與核心交換機中間。旁接模式中,下一代防火墻通常接入核心交換機,同時將核心交換機的流量鏡像至防火墻,因為實際流量不經(jīng)過防火墻,防火墻不能實現(xiàn)數(shù)據(jù)的實時檢測和阻斷,通常在使用監(jiān)測和審計時采用這種部署方式。兩臺防火墻可支持雙主模式或主備模式,部署在雙核心網(wǎng)絡(luò)中,實現(xiàn)防火墻設(shè)備的設(shè)備冗余和線路冗余[1]。二是對網(wǎng)絡(luò)分區(qū)管理。按照網(wǎng)絡(luò)系統(tǒng)安全等級保護2.0的要求,網(wǎng)絡(luò)要分區(qū)管理,實現(xiàn)這一功能的主要設(shè)備就是防火墻。除了旁接模式外,使用其他三種模式部署時,均可將原網(wǎng)絡(luò)分隔成三個區(qū)域,即可信區(qū)域、DMZ區(qū)域和不可信區(qū)域,便于分區(qū)管理和配置防護策略。內(nèi)網(wǎng)屬于可信區(qū)域,對外服務(wù)的服務(wù)器部署在DMZ區(qū)域,直接連接外網(wǎng)的出口網(wǎng)絡(luò)屬于不可信區(qū)域,僅對內(nèi)提供服務(wù)的服務(wù)器劃入可信區(qū)域[2]。三是網(wǎng)絡(luò)技術(shù)運用。下一代防火墻在網(wǎng)絡(luò)出口處支持多線路接入,包括ADSL線路的PPPoE接入,可同時接入多條運營商線路,并根據(jù)需要實現(xiàn)網(wǎng)絡(luò)出口的多種模式的負載均衡,充分利用出口帶寬,實現(xiàn)出口線路冗余。設(shè)備支持網(wǎng)絡(luò)接口配置成交換口和路由口,支持常用路由協(xié)議配置,支持IPV6。使用IPSecVPN技術(shù)建立總部與分支網(wǎng)絡(luò)間的VPN線路,建立總部與分支專線的虛擬備份鏈路。SSLVPN則可使出差人員異地方便接入內(nèi)部網(wǎng)絡(luò)、資源和服務(wù)等,保障移動安全辦公需要。四是防火墻連通性配置。首先配置連通網(wǎng)絡(luò)。網(wǎng)橋模式下,先使用既有網(wǎng)絡(luò)設(shè)備連通網(wǎng)絡(luò),再在路由器與核心交換機中間加裝防火墻。網(wǎng)關(guān)模式下,先配置相應(yīng)的防火墻接口參數(shù),再連通網(wǎng)絡(luò)。網(wǎng)絡(luò)連通后添加相應(yīng)的包過濾規(guī)則或全通規(guī)則,測試防火墻內(nèi)外網(wǎng)數(shù)據(jù)是否可達。其次,配置路由參數(shù)。選擇網(wǎng)絡(luò)通用的路由協(xié)議配置相應(yīng)的路由參數(shù)。最后測試私有網(wǎng)絡(luò)與公網(wǎng)的連通性。因運營商網(wǎng)絡(luò)上不私網(wǎng)網(wǎng)段,私網(wǎng)訪問公網(wǎng)時需配置NAT規(guī)則,公網(wǎng)訪問私網(wǎng)時配置端口映射或IP映射規(guī)則,添加映射規(guī)則后,還須添加相應(yīng)的包過濾規(guī)則才能生效。

4下一代防火墻安全策略配置

下一代防火墻通常配置的安全策略包括漏洞攻擊策略、Web應(yīng)用防護策略、僵尸網(wǎng)絡(luò)策略、內(nèi)容安全策略、應(yīng)用控制策略、連接數(shù)控制策略、DoS/DDoS防護策略、流量管理策略、用戶認證策略和認證選項等。安全策略制定時需注意以下事項:一是安全策略的可讀性設(shè)置。為保證防火墻規(guī)則的可讀性,在為各類資源、服務(wù)、應(yīng)用、規(guī)則命名時要有明顯區(qū)分,體現(xiàn)其分類、功能和用途,有利于安全策略的可視化配置和策略解讀。防止大型網(wǎng)絡(luò)配置規(guī)則過多后,因命名混亂而制造后期管理和維護難度。資源命名時以分組或類命名,在策略中調(diào)用分組,后期維護中方便添加和刪除單個資源。二是安全策略的細粒度配置。安全策略源目地址、出入網(wǎng)口和源目端口與實際對應(yīng)。下一代防火墻可以對區(qū)域、IP分組及用戶、應(yīng)用或服務(wù)、時間及生效狀態(tài)等進行細粒度配置,進行個性化設(shè)置,也可以針對某個具體應(yīng)用進行細節(jié)化配置,如允許用戶通過HTTPS訪問互聯(lián)網(wǎng),但是禁止通過HTTPS下載數(shù)據(jù);允許用戶使用QQ,但是禁止用戶通過QQ接收文件。三是調(diào)整安全策略執(zhí)行順序。防火墻的安全策略通常按順序執(zhí)行,遇到滿足條件的策略直接放行數(shù)據(jù)包,而不檢查后續(xù)策略的適用性,因此策略順序在防火墻功能發(fā)揮中的作用尤為重要。在配置規(guī)則時需將地址范圍小、用戶數(shù)量少、服務(wù)端口少等局部生效的安全策略序號調(diào)整至同類策略列表的前列優(yōu)先執(zhí)行。四是多方式的用戶認證策略。防火墻實現(xiàn)精確管控首先要確定用戶身份,通過用戶認證策略可以確定單位內(nèi)部每一個用戶,即某個IP地址上某個時刻是哪個用戶在使用的信息,對上網(wǎng)用戶的身份進行認證,從而實現(xiàn)基于用戶的上網(wǎng)行為管理。通常支持本地用戶名密碼登錄、借助其他身份認證系統(tǒng)的單點登錄、跨交換機和網(wǎng)段的IP-MAC地址綁定建立用戶和IP對應(yīng)關(guān)系,鎖定上網(wǎng)用戶身份,實現(xiàn)用戶無感知地上網(wǎng)。5下一代防火墻對數(shù)據(jù)的全程防護下一代防火墻具有風(fēng)險感知、多設(shè)備多模塊聯(lián)動防御、數(shù)據(jù)深度檢測、日志分析可視化等功能,通過技術(shù)手段的融合,在網(wǎng)絡(luò)威脅下全程對數(shù)據(jù)進行防護,包括事前的網(wǎng)絡(luò)安全風(fēng)險檢測、事中的多手段聯(lián)動防御、事后的快速響應(yīng),并將防護信息通過多種形式以可視化的方式呈現(xiàn)給用戶。一是事前網(wǎng)絡(luò)安全風(fēng)險感知。安全威脅發(fā)生前,防火墻通過流經(jīng)流量的IP地址檢測及端口檢測快速識別內(nèi)部的服務(wù)器,檢測服務(wù)器上開放端口、存在的漏洞和弱密碼等風(fēng)險;利用豐富的掃描插件對WEB服務(wù)器進行掃描,識別網(wǎng)站類型,提供漏洞分析和修復(fù)建議,通過流量檢測、策略對比、版本檢測等多個維度檢測服務(wù)器對應(yīng)的安全策略是否存在和生效。二是事中多設(shè)備多模塊聯(lián)動防御。下一代防火墻在防御層面融合了多種安全技術(shù),防火墻內(nèi)部傳統(tǒng)防火墻、網(wǎng)關(guān)殺毒、IPS、WAF等模塊聯(lián)動防御,對網(wǎng)絡(luò)數(shù)據(jù)進行L2-7層的安全防護,同時與其他安全設(shè)備聯(lián)動取得更好的防護效果。下一代防火墻與終端檢測響應(yīng)平臺聯(lián)動,持續(xù)檢測發(fā)現(xiàn)、快速響應(yīng)處置,形成多層次立體化的威脅防御體系,彌補防火墻對內(nèi)部發(fā)起和內(nèi)部用戶之間的網(wǎng)絡(luò)攻擊無法檢測的缺陷[3]。下一代防火墻與云安全平臺聯(lián)動,借助廠家強大的技術(shù)支持、威脅云端檢測、快速響應(yīng)和全網(wǎng)威脅情報分享等,對抗高級威脅和未知威脅,為客戶保駕護航。三是事后快速響應(yīng)。下一代防火墻在黑客入侵之后,能夠幫助客戶及時發(fā)現(xiàn)入侵后的惡意行為,如檢測僵尸主機發(fā)起的惡意攻擊行為,網(wǎng)頁篡改,網(wǎng)站黑鏈植入及網(wǎng)站后門檢測等,并快速推送警告事件,協(xié)助用戶進行響應(yīng)處置。通過數(shù)據(jù)中心分析可發(fā)現(xiàn)被攻擊的主機數(shù)量和被攻擊的嚴重等級,利用策略動作自動執(zhí)行、專用工具和云端聯(lián)動等方式快速響應(yīng)。

6結(jié)束語

下一代防火墻在傳統(tǒng)防火墻的基礎(chǔ)上,采用先進的架構(gòu)設(shè)計和技術(shù)實現(xiàn),具有更強大的設(shè)備性能、網(wǎng)絡(luò)功能和安全防護功能,實現(xiàn)設(shè)備部署、網(wǎng)絡(luò)連通和策略配置等,尤其是基于認證用戶和應(yīng)用靈活配置安全策略,實現(xiàn)了數(shù)據(jù)包的深度過濾和網(wǎng)絡(luò)L2-7層的安全防護。與內(nèi)部模塊和外部安全設(shè)備間的聯(lián)動響應(yīng),提高了檢測能力,通過對安全威脅全流程的分析,實現(xiàn)對數(shù)據(jù)流向全程的安全防護。鑒于篇幅所限,下一代防火墻詳細配置需另做深入探討。

參考文獻:

[1]趙菁.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(10):21.

[2]趙彬.計算機網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].電子技術(shù)與軟件工程,2020(17):251-252.

[3]何恩南.計算機網(wǎng)絡(luò)安全及防火墻技術(shù)分析研究綜述[J].珠江水運,2020(18):52.

作者:鄭傳德 單位:廣州商學(xué)院