摘要：下一代防火墻，即Next Generation Firewall，簡稱NG Firewall，是一款可以全面應(yīng)對應(yīng)用層威脅的高性能防火墻。通過深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，并借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠為用戶提供有效的應(yīng)用層一體化安全防護，幫助用戶安全地開展業(yè)務(wù)并簡化用戶的網(wǎng)絡(luò)安全架構(gòu)。當前我國自主的主流防火墻產(chǎn)品有華為NGFW、深信服NGAF、綠盟等，在政企、教育、銀行、醫(yī)療、科研等行業(yè)和領(lǐng)域承接著防護網(wǎng)絡(luò)及數(shù)據(jù)安全的重任，下面對下一代防火墻在網(wǎng)絡(luò)安全防護中的應(yīng)用做深入分析。

關(guān)鍵詞：下一代;防火墻;網(wǎng)絡(luò);安全防護;包過濾

一、下一代防火墻的三大功能

1、 應(yīng)用識別的能力

識別的廣度和深度是應(yīng)用識別最重要的指標，也是下一代防火墻區(qū)別于傳統(tǒng)防火墻的重要特征。在應(yīng)用識別廣度方面，業(yè)界領(lǐng)先的NGFW產(chǎn)品應(yīng)用識別數(shù)量基本在3000以上。類似網(wǎng)康等專注于應(yīng)用領(lǐng)域技術(shù)的廠商，目前應(yīng)用識別數(shù)量應(yīng)該都在4000以上。除了識別數(shù)量足夠廣之外，識別深度也更為重要。例如，企業(yè)可能會僅允許QQ聊天，但禁止QQ游戲;對跑在HTTP上的應(yīng)用，能夠精準識別出該應(yīng)用的具體用途;同時，能夠從逃逸，帶寬等多個維度去判斷應(yīng)用屬性是否安全。

2、功能與性能兼?zhèn)?/p>

下一代防火墻融合IPS的防護，同時各廠家根據(jù)各自的理解還集成了其他更多的功能，但是有的廠商集成過多功能，甚至是集成Web應(yīng)用防火墻這樣產(chǎn)品功能，嚴重導致NGFW性能下降，甚至出現(xiàn)死機現(xiàn)象。因此客戶在選擇產(chǎn)品時不能僅看到功能的全面性，卻忽視了開啟這些功能后的性能衰減。不然后期只能被迫禁用一些應(yīng)用層防護的功能模塊，導致下一代防火墻變成了傳統(tǒng)防火墻或者UTM。業(yè)內(nèi)權(quán)威機構(gòu)認為，優(yōu)秀的下一代防火墻產(chǎn)品開啟IPS功能后整機性能下降不應(yīng)超過50%。

3、可視化（visibility）和智能分析能力

隨著網(wǎng)絡(luò)快速發(fā)展，各式各樣復雜威脅層出不窮，用戶需要更加及時的掌握網(wǎng)絡(luò)現(xiàn)狀、風險、威脅、事件以及防御效果等用于支撐安全決策。這就需要下一代防火墻具備良好的可視化和智能分析能力，幫助用戶看得清威脅，防得住攻擊。因此，真正的“可視化智能管理”應(yīng)該是在多維統(tǒng)計的基礎(chǔ)上加以深入的分析，從應(yīng)用和用戶視角多層面的將網(wǎng)絡(luò)應(yīng)用的狀態(tài)展現(xiàn)出來。同時，通過引入外部威脅情報，實現(xiàn)安全態(tài)勢感知和風險預(yù)測功能，解決單機設(shè)備與生俱來的短板，以幫助用戶更加快速的了解網(wǎng)絡(luò)風險并及時部署防御措施。

二、下一代防火墻設(shè)備的選配

下一代防火墻功能強大，成本也相對較高，一些廠商按功能模塊收費，因此在選配防火墻設(shè)備時需要考慮性價比。一是要了解使用方的網(wǎng)絡(luò)拓撲結(jié)構(gòu)、核心服務(wù)、主干網(wǎng)絡(luò)帶寬利用率峰值、網(wǎng)絡(luò)中安全設(shè)備部署現(xiàn)狀和終端用戶網(wǎng)絡(luò)使用體驗，挖掘出網(wǎng)絡(luò)建設(shè)安全需求和亟須解決的問題。二是根據(jù)客戶安全需求，選擇對應(yīng)的防護功能，進而選用功能適配的防火墻設(shè)備，在采購防火墻設(shè)備的同時需開通對應(yīng)的功能權(quán)限，比如網(wǎng)絡(luò)序列號、IPSecVPN分支機構(gòu)、SSLVPN移動用戶數(shù)，WEB防護、網(wǎng)關(guān)殺毒、IPS、應(yīng)用控制、流量控制、各類特征庫升級序號等。三是根據(jù)功能需求選擇相應(yīng)的設(shè)備部署方式，接入方式不同，實現(xiàn)的防護功能也有差異，防火墻支持網(wǎng)關(guān)模式、網(wǎng)橋模式、混合模式、旁接模式和雙機接入等。四是根據(jù)防火墻接入干線的流量來確定防火墻的性能指標，核心指標有接口數(shù)量及帶寬、整機吞吐量、應(yīng)用層吞吐量、每秒最大連接數(shù)和并發(fā)連接數(shù)、設(shè)備存儲空間、關(guān)鍵部件冗余等，可能制約網(wǎng)絡(luò)應(yīng)用和用戶體驗。

三、下一代防火墻安全策略配置

下一代防火墻通常配置的安全策略包括漏洞攻擊策略、Web應(yīng)用防護策略、僵尸網(wǎng)絡(luò)策略、內(nèi)容安全策略、應(yīng)用控制策略、連接數(shù)控制策略、DoS/DDoS防護策略、流量管理策略、用戶認證策略和認證選項等。安全策略制定時需注意以下事項：一是安全策略的可讀性設(shè)置。為保證防火墻規(guī)則的可讀性，在為各類資源、服務(wù)、應(yīng)用、規(guī)則命名時要有明顯區(qū)分，體現(xiàn)其分類、功能和用途，有利于安全策略的可視化配置和策略解讀。二是安全策略的細粒度配置。安全策略源目地址、出入網(wǎng)口和源目端口與實際對應(yīng)。下一代防火墻可以對區(qū)域、IP分組及用戶、應(yīng)用或服務(wù)、時間及生效狀態(tài)等進行細粒度配置，進行個性化設(shè)置，也可以針對某個具體應(yīng)用進行細節(jié)化配置，如允許用戶通過HTTPS訪問互聯(lián)網(wǎng)，但是禁止通過HTTPS下載數(shù)據(jù);允許用戶使用QQ，但是禁止用戶通過QQ接收文件。三是調(diào)整安全策略執(zhí)行順序。防火墻的安全策略通常按順序執(zhí)行，遇到滿足條件的策略直接放行數(shù)據(jù)包，而不檢查后續(xù)策略的適用性，因此策略順序在防火墻功能發(fā)揮中的作用尤為重要。下一代防火墻在防御層面融合了多種安全技術(shù)，防火墻內(nèi)部傳統(tǒng)防火墻、網(wǎng)關(guān)殺毒、IPS、WAF等模塊聯(lián)動防御，對網(wǎng)絡(luò)數(shù)據(jù)進行L2-7層的安全防護，同時與其他安全設(shè)備聯(lián)動取得更好的防護效果。下一代防火墻與終端檢測響應(yīng)平臺聯(lián)動，持續(xù)檢測發(fā)現(xiàn)、快速響應(yīng)處置，形成多層次立體化的威脅防御體系，彌補防火墻對內(nèi)部發(fā)起和內(nèi)部用戶之間的網(wǎng)絡(luò)攻擊無法檢測的缺陷。

四、結(jié)束語

下一代防火墻在傳統(tǒng)防火墻的基礎(chǔ)上，采用先進的架構(gòu)設(shè)計和技術(shù)實現(xiàn)，具有更強大的設(shè)備性能、網(wǎng)絡(luò)功能和安全防護功能，實現(xiàn)設(shè)備部署、網(wǎng)絡(luò)連通和策略配置等，尤其是基于認證用戶和應(yīng)用靈活配置安全策略，實現(xiàn)了數(shù)據(jù)包的深度過濾和網(wǎng)絡(luò)L2-7層的安全防護。與內(nèi)部模塊和外部安全設(shè)備間的聯(lián)動響應(yīng)，提高了檢測能力，通過對安全威脅全流程的分析，實現(xiàn)對數(shù)據(jù)流向全程的安全防護。

參考文獻：

[1]趙菁.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（10）：21.

[2]趙彬.計算機網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].電子技術(shù)與軟件工程，2020（17）：251-252.

[3]何恩南.計算機網(wǎng)絡(luò)安全及防火墻技術(shù)分析研究綜述[J].珠江水運，2020（18）：52.

作者簡介：李偉偉 ?性別：男 ?民族：漢 ?籍貫：山西臨汾 ?出生年月日：1985年1月11日 ?學歷：本科 ? 工作單位：西部機場集團天水機場有限公司 ? 職稱：工程師 ? 研究方向：計算機網(wǎng)絡(luò)安全與維護。