论文部分内容阅读
摘要:本文在对下一代防火墙的基本类型分析的基础上,重点介绍下一代防火墙的应用策略,体现下一代防火墙的高可靠性、高可用性、高性能,提出新时期信息建设对于网络安全产品的要求,提高信息安全防护水平。
关键词:下一代防火墙;应用策略;信息安全
Abstract:Based on analysis of the basic types of the next generation of the firewall,focuses on the functions of next generation firewall and application strategy,reflects the high reliability,high availability and high performance of the next generation firewall,the new era of information construction for network security products,improve the level of protection of information security.
Key words:next generation firewall;application strategy;information security
引言:
进入21世纪以来,互联网迅猛发展,网络带宽不断增加,在网络基础设施优化提升的大背景下,各种基于互联网的应用如雨后春笋般的出现,这些应用大量的使用动态端口、私有协议、SSL加密等技术手段,使传统防火墙的访问控制力度大幅下降[1]。下一代防火墙系统综合运用了多核并行控制、非共享式TCP协议栈、数据路径优化等技术,在实现精准访问控制和细致内容过滤的同时达到较高的性能水平,以适应网络高带宽、大流量的发展方向,并实现安全“可视化”,使管理人员全面了解网络安全状况。
1 应用识别
1.1 应用识别概述
应用识别是下一代防火墙系统的重要功能。应用识别功能把对报文的协议解析、深度内容检测以及关联分析结合起来,通过对大量实际环境中的流量的分析,总结出每种应用的流量模型,把对数据包的协议解析、深度内容检测和关系分析的结果综合起来,由决策引擎通过与流量模拟的匹配程度,智能的判定应用类型。相比传统的应用识别技术,还具有以下特点:
(1)基于协议状态分析
下一代防火墙系统对已知协议和RFC规范的深入理解,可准确、高效的对各种协议进行解析。
(2)行为检测
不同的应用类型体现在会话连接或数据流上的状态各有不同;基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、发送/接收的流量比例、包与包的间隔等信息来识别应用类型。不但可以准确、高效的识别网络流量的应用类型,还可以精准的识别出应用的行为。
1.2 应用流量统计
借助于强大的应用识别,用户可以通过应用流量统计查看到网络中的应用流量组成,准确了解网络的使用情况。
1.3 应用路由
下一代防火墙可以实现基于应用的路由选择。当发现某种应用流量的时候,会把对应的IP+端口信息缓存在系统中,相同的IP+端口再次新建会话时,会命中相应的缓存,从而实现应用路由的功能。
1.4 基于应用的流量管理
下一代防火墙系统可以实现基于应用的带宽分配,帮忙用户更好的限制P2P、视频等占用带宽比较高的业务,保障重要业务的运行。
2 應用策略
2.1 应用审计
应用审计是通过对数据包的深入解析,获取应用的行为及操作内容。通过用户配置的关键字进行匹配。达到对互联网访问的行为控制和内容控制的目的。应用审计是基于应用+行为+动作+关键字的四维匹配条件,可以实现精细化的控制。
2.2 URL审计
URL策略,是通过URL分类库,对网站访问进行过滤,并记录访问网站及URL。让用户通过网站分类的选择,轻松控制网站访问。
3 策略规则
一般来讲,策略规则分为两部分:过滤条件和行为。策略规则都有其独有的ID号,从源安全域到目标安全域之间的所有策略规则有特定的排列顺序。在流量进入系统时,系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。
3.1 策略(Policy)
策略是网络安全设备的基本功能[2]。默认情况下,安全设备会拒绝所有安全域之间的信息传输。而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。策略分为以下两种:域间策略与域内策略。
3.2 Profile介绍
通过安全策略与Profile相结合,能够使防火墙完成细粒度的应用层安全策略控制。Profile针对不同的应用定义不同的操作,将复杂控制信息简单化,从而简化防火墙配置。只有被策略规则引用的Profile组才能够在防火墙的配置中起作用。
3.3 QoS标签
下一代防火墙的策略规则支持QoS标签功能。用户可以为策略中允许通过的流量添加QoS标签。
4 终端识别和审计
下一代防火墙系统提供以终端识别引擎为核心的安全策略、行为审计、来宾访问、日志分析四大功能。核心思想是帮助IT管理员从用户、设备、应用、行为等多个视角来管理网络,使整个网络易用、安全。
4.1 终端识别
终端识别引擎是主要提供用户身份验证、和终端、系统类型识别的功能。通过身份识别引擎的设备分析模块,IT管理员可以看到加入网络中设备的操作系统、硬件类型和生产厂商。
4.2 安全策略
IT管理员可能针对不同的场景,针对特殊的人员和设备类型,灵活的制定安全策略。一般来说,对于访客,对设备类型做比较少的限制,同时给只给予少量的权限;对于公司的管理人员,在给予更多权限的基础上,还要对设备类型做出更严格的控制。
4.3 行为控制
基于用户+设备+应用+行为的行为控制与审计,可以实现精准的预防与排查。
4.4 来宾访问
当有访客携带智能手机/平板电脑尝试加入到公司网络中,可以使用来宾访问的功能。无需复杂的验证以及安装客户端,但访问受限,确保内部资料不泄露。
4.5 日志分析与管理平台集中管控
日志分析与管理平台是提供对下一代防火墙系统的集中监控、配置和升级,并且对上报的安全相关信息收集存储,通过数据发掘提供详尽灵活的统计图、报表,利用日志分析与管理平台,管理员可以高效地管理下一代防火墙系统设备,全面掌握网络的整体安全状况。
5 典型部署应用
6 结束语
互联网时代,网络攻击与安全防护一直相互较量,下一代防火墙包含了传统防火墙的所有功能,具备基于应用层的各种深度安全防护手段,性能显著。随着新的网络威胁不断出现,我们要高度重视信息安全,提高网络的安全防护技术,增强对抗非法攻击以及病毒袭扰的能力,铸起我们坚实的信息安全盾牌。
参考文献:
[1]牛少彰,崔宝江,李剑 信息安全概论 北京邮电大学出版社 2011
[2]马春光,郭方方 防火墙、入侵防御监测与VPN 北京邮电大学出版社 2008
作者简介:林兴峰(1976-),男,河南省信阳人,工业和信息化部电子第五研究所赛宝计量检测中心工程师,从事信息化项目技术工作。
关键词:下一代防火墙;应用策略;信息安全
Abstract:Based on analysis of the basic types of the next generation of the firewall,focuses on the functions of next generation firewall and application strategy,reflects the high reliability,high availability and high performance of the next generation firewall,the new era of information construction for network security products,improve the level of protection of information security.
Key words:next generation firewall;application strategy;information security
引言:
进入21世纪以来,互联网迅猛发展,网络带宽不断增加,在网络基础设施优化提升的大背景下,各种基于互联网的应用如雨后春笋般的出现,这些应用大量的使用动态端口、私有协议、SSL加密等技术手段,使传统防火墙的访问控制力度大幅下降[1]。下一代防火墙系统综合运用了多核并行控制、非共享式TCP协议栈、数据路径优化等技术,在实现精准访问控制和细致内容过滤的同时达到较高的性能水平,以适应网络高带宽、大流量的发展方向,并实现安全“可视化”,使管理人员全面了解网络安全状况。
1 应用识别
1.1 应用识别概述
应用识别是下一代防火墙系统的重要功能。应用识别功能把对报文的协议解析、深度内容检测以及关联分析结合起来,通过对大量实际环境中的流量的分析,总结出每种应用的流量模型,把对数据包的协议解析、深度内容检测和关系分析的结果综合起来,由决策引擎通过与流量模拟的匹配程度,智能的判定应用类型。相比传统的应用识别技术,还具有以下特点:
(1)基于协议状态分析
下一代防火墙系统对已知协议和RFC规范的深入理解,可准确、高效的对各种协议进行解析。
(2)行为检测
不同的应用类型体现在会话连接或数据流上的状态各有不同;基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、发送/接收的流量比例、包与包的间隔等信息来识别应用类型。不但可以准确、高效的识别网络流量的应用类型,还可以精准的识别出应用的行为。
1.2 应用流量统计
借助于强大的应用识别,用户可以通过应用流量统计查看到网络中的应用流量组成,准确了解网络的使用情况。
1.3 应用路由
下一代防火墙可以实现基于应用的路由选择。当发现某种应用流量的时候,会把对应的IP+端口信息缓存在系统中,相同的IP+端口再次新建会话时,会命中相应的缓存,从而实现应用路由的功能。
1.4 基于应用的流量管理
下一代防火墙系统可以实现基于应用的带宽分配,帮忙用户更好的限制P2P、视频等占用带宽比较高的业务,保障重要业务的运行。
2 應用策略
2.1 应用审计
应用审计是通过对数据包的深入解析,获取应用的行为及操作内容。通过用户配置的关键字进行匹配。达到对互联网访问的行为控制和内容控制的目的。应用审计是基于应用+行为+动作+关键字的四维匹配条件,可以实现精细化的控制。
2.2 URL审计
URL策略,是通过URL分类库,对网站访问进行过滤,并记录访问网站及URL。让用户通过网站分类的选择,轻松控制网站访问。
3 策略规则
一般来讲,策略规则分为两部分:过滤条件和行为。策略规则都有其独有的ID号,从源安全域到目标安全域之间的所有策略规则有特定的排列顺序。在流量进入系统时,系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。
3.1 策略(Policy)
策略是网络安全设备的基本功能[2]。默认情况下,安全设备会拒绝所有安全域之间的信息传输。而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。策略分为以下两种:域间策略与域内策略。
3.2 Profile介绍
通过安全策略与Profile相结合,能够使防火墙完成细粒度的应用层安全策略控制。Profile针对不同的应用定义不同的操作,将复杂控制信息简单化,从而简化防火墙配置。只有被策略规则引用的Profile组才能够在防火墙的配置中起作用。
3.3 QoS标签
下一代防火墙的策略规则支持QoS标签功能。用户可以为策略中允许通过的流量添加QoS标签。
4 终端识别和审计
下一代防火墙系统提供以终端识别引擎为核心的安全策略、行为审计、来宾访问、日志分析四大功能。核心思想是帮助IT管理员从用户、设备、应用、行为等多个视角来管理网络,使整个网络易用、安全。
4.1 终端识别
终端识别引擎是主要提供用户身份验证、和终端、系统类型识别的功能。通过身份识别引擎的设备分析模块,IT管理员可以看到加入网络中设备的操作系统、硬件类型和生产厂商。
4.2 安全策略
IT管理员可能针对不同的场景,针对特殊的人员和设备类型,灵活的制定安全策略。一般来说,对于访客,对设备类型做比较少的限制,同时给只给予少量的权限;对于公司的管理人员,在给予更多权限的基础上,还要对设备类型做出更严格的控制。
4.3 行为控制
基于用户+设备+应用+行为的行为控制与审计,可以实现精准的预防与排查。
4.4 来宾访问
当有访客携带智能手机/平板电脑尝试加入到公司网络中,可以使用来宾访问的功能。无需复杂的验证以及安装客户端,但访问受限,确保内部资料不泄露。
4.5 日志分析与管理平台集中管控
日志分析与管理平台是提供对下一代防火墙系统的集中监控、配置和升级,并且对上报的安全相关信息收集存储,通过数据发掘提供详尽灵活的统计图、报表,利用日志分析与管理平台,管理员可以高效地管理下一代防火墙系统设备,全面掌握网络的整体安全状况。
5 典型部署应用
6 结束语
互联网时代,网络攻击与安全防护一直相互较量,下一代防火墙包含了传统防火墙的所有功能,具备基于应用层的各种深度安全防护手段,性能显著。随着新的网络威胁不断出现,我们要高度重视信息安全,提高网络的安全防护技术,增强对抗非法攻击以及病毒袭扰的能力,铸起我们坚实的信息安全盾牌。
参考文献:
[1]牛少彰,崔宝江,李剑 信息安全概论 北京邮电大学出版社 2011
[2]马春光,郭方方 防火墙、入侵防御监测与VPN 北京邮电大学出版社 2008
作者简介:林兴峰(1976-),男,河南省信阳人,工业和信息化部电子第五研究所赛宝计量检测中心工程师,从事信息化项目技术工作。