基于下一代防火墻技術(shù)的企業(yè)網(wǎng)絡(luò)安全應(yīng)用

廖偉國 蕭鴻希 文明瑤

摘要：在互聯(lián)網(wǎng)高速發(fā)展的今天，網(wǎng)絡(luò)的安全使用已成為企業(yè)信息化管理和正常發(fā)展的重要保證。本文基于下一代防火墻技術(shù)，對企業(yè)網(wǎng)絡(luò)安全的設(shè)計與實現(xiàn)進行研究，首先介紹研究的背景及意義;然后傳統(tǒng)防火墻的缺陷;接著對下一代防火墻進行特性分析并進行了安全策略研究及方案部署。

關(guān)鍵詞：下一代防火墻 網(wǎng)絡(luò)安全 安全策略

一、 論文綜述

（一）背景

隨著互聯(lián)網(wǎng)發(fā)展，企業(yè)加大了信息化的建設(shè)投入，以此提高企業(yè)的競爭力。企業(yè)的網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)上業(yè)務(wù)越來越重要，網(wǎng)絡(luò)的安全問題也越來越突出。

傳統(tǒng)防火墻是保障企業(yè)網(wǎng)絡(luò)安全的重要手段，也是目前應(yīng)用最廣的安全產(chǎn)品。防火墻通過硬件或軟件形式，控制企業(yè)與外部網(wǎng)絡(luò)的信息傳輸，根據(jù)用戶需求，制定不同的安全策略，有效針對外部網(wǎng)絡(luò)對企業(yè)內(nèi)部網(wǎng)絡(luò)的非法訪問，防止企業(yè)內(nèi)部資料遭到竊取。防火墻也可以控制企業(yè)內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問，防止員工進行不安全的網(wǎng)絡(luò)活動。

（二）傳統(tǒng)防火墻的缺陷

傳統(tǒng)防火墻用以下幾種方式進行報文過濾：

（1） 防火墻以端口作為依據(jù)控制報文的訪問。根據(jù)報文的協(xié)議、源端口、目的端口來判斷網(wǎng)絡(luò)服務(wù)。例如防火墻收到80端口的TCP報文，判斷為HTTP服務(wù)。

（2）防火墻以IP地址作為依據(jù)，控制報文的訪問。

（3）防火墻以五元組作為依據(jù)，定義一條網(wǎng)絡(luò)流。防火墻通過源IP、目的IP、源端口、目的端口、報文協(xié)議共五項數(shù)據(jù)來劃分網(wǎng)絡(luò)流。同一條網(wǎng)絡(luò)流的所有報文的安全性是一致的。防火墻只對一條網(wǎng)絡(luò)流的首個報文進行合法性檢查，首個報文通過后，建立會話，后續(xù)的報文通過會話進行轉(zhuǎn)發(fā)，無需重復(fù)檢查，提高轉(zhuǎn)發(fā)效率。

隨著網(wǎng)絡(luò)發(fā)展，傳統(tǒng)的防火墻已經(jīng)無法滿足新的安全需求，無法良好的應(yīng)對基于應(yīng)用協(xié)議的攻擊。

在新的網(wǎng)絡(luò)應(yīng)用中出現(xiàn)了各種P2P軟件，通過非知名端口或隨機端口進行通信。傳統(tǒng)防火墻通過端口識別的方式無法有效識別非法程序。

傳統(tǒng)防火墻以五元組作為依據(jù)定義一條網(wǎng)絡(luò)流安全性的方式雖然效率高，但是卻缺少對流量持續(xù)的安全防護，攻擊者可以在一次正常的訪問中植入木馬與病毒。

VPN技術(shù)在企業(yè)中的應(yīng)用十分廣泛，但傳統(tǒng)防火墻無法檢測加密后的報文，容易被加密后的數(shù)據(jù)繞過，是一個很大的安全隱患。

二、下一代防火墻

（一） 下一代防火墻簡介

由于以被動防御為主的傳統(tǒng)防火墻，無法良好應(yīng)對基于應(yīng)用協(xié)議的攻擊，所以已經(jīng)無法滿足企業(yè)新的網(wǎng)絡(luò)安全需求。企業(yè)在發(fā)展信息化的過程中，需要網(wǎng)絡(luò)的穩(wěn)定運行，又需要對業(yè)務(wù)流量有足夠的控制能力，于是就出現(xiàn)了以主動防御為主的新產(chǎn)品——下一代防火墻（Next Generation Firewall，簡稱NGFW）。NGFW在傳統(tǒng)五元組上加入了應(yīng)用和用戶，以七元組作為依據(jù)，為企業(yè)制定安全策略。NGFW具備傳統(tǒng)防火墻功能的同時融合了入侵防御系統(tǒng)的能力，通過全新的高性能引擎技術(shù)，提供了應(yīng)用內(nèi)容識別能力。

（二） 下一代防火墻特性分析

NGFW提供了兩種先進的機制完善了應(yīng)用層和內(nèi)容識別的安全防護能力：

（1）一次掃描，對報文進行一次掃描，通過全新的高性能引擎，提取報文數(shù)據(jù)，智能識別出流量的應(yīng)用類型、報文的內(nèi)容、存在的網(wǎng)絡(luò)威脅。

（2）實時檢測，通過全新的高性能引擎，實時檢測流量傳輸過程中的報文，實時阻攔不安全報文，持續(xù)保障網(wǎng)絡(luò)安全。

三、基于下一代防火墻的企業(yè)網(wǎng)絡(luò)安全方案

（一）遷移注意事項

企業(yè)目前使用的安全方案是傳統(tǒng)防火墻、入侵檢測設(shè)備、防病毒設(shè)備等多種安全產(chǎn)品的組合。由于現(xiàn)有的設(shè)備部署了大量的安全策略，所以在現(xiàn)有的環(huán)境直接將安全產(chǎn)品替換為下一代防火墻會對企業(yè)的網(wǎng)絡(luò)服務(wù)造成很大的影響，一旦出現(xiàn)差錯，會造成企業(yè)出現(xiàn)不可逆的損失。所以在遷移過程中，我們一定要注意以下事項：

（1）注意產(chǎn)品的兼容性。最好選購與原有防火墻同一廠家的新設(shè)備。防止設(shè)備不兼容造成網(wǎng)絡(luò)的不穩(wěn)定。同時網(wǎng)絡(luò)管理員熟悉同一廠商的配置命令，遷移服務(wù)時的效率更高。

（2）逐步遷移，減少影響。不可以一次性將全部服務(wù)轉(zhuǎn)移到新設(shè)備上，逐步遷移能控制風(fēng)險，降低出錯的概率，減少出錯造成的損失。

（二）部署方案

1部署在三層的初始化配置

這種場景下的下一代防火墻工作在網(wǎng)絡(luò)層（如下圖1），作為網(wǎng)絡(luò)層的網(wǎng)關(guān)，實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的安全防護。需要對NGFW進行以下初始化配置：

（1）在NGFW上運行原有網(wǎng)關(guān)設(shè)備上有關(guān)于網(wǎng)絡(luò)層協(xié)議的全部配置，例如IP地址的配置、路由協(xié)議的配置，盡量避免修改周邊連接設(shè)備，影響整個網(wǎng)絡(luò)拓撲。

（2）配置NAT，進行內(nèi)網(wǎng)地址與外網(wǎng)地址的轉(zhuǎn)換，保證內(nèi)外網(wǎng)互通的同時，可以將內(nèi)網(wǎng)地址隱藏，起到安全防護作用。

2部署在二層的初始化配置

這種場景下的下一代防火墻工作在數(shù)據(jù)鏈路層（如下圖2），以透明網(wǎng)橋的方式加入網(wǎng)絡(luò)，無需改變網(wǎng)絡(luò)拓撲，基于MAC地址對流量進行控制。需要對NGFW進行以下初始化配置：

（1）配置二層接口為Trunk模式，允許VLAN100與VLAN200的流量。

（2）預(yù)留接口與三層連接，用作管理口，保證管理員可以登錄設(shè)備進行后期的升級維護。為三層接口創(chuàng)建VLAN子接口，分別加入VLAN100、VLAN200。

3 安全策略

（1）雙機熱備，兩臺防火墻互相備份，在一臺防火墻出現(xiàn)問題后，另一臺防火墻自動接替工作，保證網(wǎng)絡(luò)正常運行，提高網(wǎng)絡(luò)可靠性。

（2）防病毒功能，防止內(nèi)網(wǎng)用戶下載病毒文件、外網(wǎng)用戶上傳病毒文件到企業(yè)內(nèi)網(wǎng)。

（3）入侵防御功能，檢測外網(wǎng)入侵行為則阻斷連接，內(nèi)網(wǎng)用戶訪問外網(wǎng)惡意網(wǎng)頁則阻斷連接。

四、 總結(jié)

下一代防火墻用一臺設(shè)備集成了防火墻、IPS等多種安全功能，降低了企業(yè)維護安全設(shè)備的難度，降低了企業(yè)網(wǎng)絡(luò)安全的維護成本，并能有效應(yīng)對傳統(tǒng)防火墻無法解決的問題。使用下一代防火墻，制定有效的安全策略，提升企業(yè)網(wǎng)絡(luò)安全水平，能有效保障企業(yè)利益不受侵害。

參考文獻：

[1]喻曉. 企業(yè)網(wǎng)絡(luò)的優(yōu)化與安全[J]. 信息網(wǎng)絡(luò)安全， 2010（9）：46-47.

[2]張鐵志. 網(wǎng)站服務(wù)器安全維護探討[J]. 通訊世界， 2015， 000（007）：262-263.

[3]梅夢. 以防火墻技術(shù)為核心的網(wǎng)絡(luò)安全架構(gòu)[J]. 硅谷， 2013， 000（006）：47-47.

作者簡介：

廖偉國，男 ，工程碩士，華南農(nóng)業(yè)大學(xué)珠江學(xué)院，講師，主要研究方向：計算機網(wǎng)絡(luò)、計算機科學(xué)與技術(shù)。

項目名稱：廣東省高等教育教學(xué)研究和改革項目《“移動互聯(lián)網(wǎng)+”環(huán)境下的微信公眾平臺在高校課程教學(xué)中的應(yīng)用探索與實踐》