论文部分内容阅读
摘要:下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。当前我国自主的主流防火墙产品有华为NGFW、深信服NGAF、绿盟等,在政企、教育、银行、医疗、科研等行业和领域承接着防护网络及数据安全的重任,下面对下一代防火墙在网络安全防护中的应用做深入分析。
关键词:下一代;防火墙;网络;安全防护;包过滤
一、下一代防火墙的三大功能
1、 应用识别的能力
识别的广度和深度是应用识别最重要的指标,也是下一代防火墙区别于传统防火墙的重要特征。在应用识别广度方面,业界领先的NGFW产品应用识别数量基本在3000以上。类似网康等专注于应用领域技术的厂商,目前应用识别数量应该都在4000以上。除了识别数量足够广之外,识别深度也更为重要。例如,企业可能会仅允许QQ聊天,但禁止QQ游戏;对跑在HTTP上的应用,能够精准识别出该应用的具体用途;同时,能够从逃逸,带宽等多个维度去判断应用属性是否安全。
2、功能与性能兼备
下一代防火墙融合IPS的防护,同时各厂家根据各自的理解还集成了其他更多的功能,但是有的厂商集成过多功能,甚至是集成Web应用防火墙这样产品功能,严重导致NGFW性能下降,甚至出现死机现象。因此客户在选择产品时不能仅看到功能的全面性,却忽视了开启这些功能后的性能衰减。不然后期只能被迫禁用一些应用层防护的功能模块,导致下一代防火墙变成了传统防火墙或者UTM。业内權威机构认为,优秀的下一代防火墙产品开启IPS功能后整机性能下降不应超过50%。
3、可视化(visibility)和智能分析能力
随着网络快速发展,各式各样复杂威胁层出不穷,用户需要更加及时的掌握网络现状、风险、威胁、事件以及防御效果等用于支撑安全决策。这就需要下一代防火墙具备良好的可视化和智能分析能力,帮助用户看得清威胁,防得住攻击。因此,真正的“可视化智能管理”应该是在多维统计的基础上加以深入的分析,从应用和用户视角多层面的将网络应用的状态展现出来。同时,通过引入外部威胁情报,实现安全态势感知和风险预测功能,解决单机设备与生俱来的短板,以帮助用户更加快速的了解网络风险并及时部署防御措施。
二、下一代防火墙设备的选配
下一代防火墙功能强大,成本也相对较高,一些厂商按功能模块收费,因此在选配防火墙设备时需要考虑性价比。一是要了解使用方的网络拓扑结构、核心服务、主干网络带宽利用率峰值、网络中安全设备部署现状和终端用户网络使用体验,挖掘出网络建设安全需求和亟须解决的问题。二是根据客户安全需求,选择对应的防护功能,进而选用功能适配的防火墙设备,在采购防火墙设备的同时需开通对应的功能权限,比如网络序列号、IPSecVPN分支机构、SSLVPN移动用户数,WEB防护、网关杀毒、IPS、应用控制、流量控制、各类特征库升级序号等。三是根据功能需求选择相应的设备部署方式,接入方式不同,实现的防护功能也有差异,防火墙支持网关模式、网桥模式、混合模式、旁接模式和双机接入等。四是根据防火墙接入干线的流量来确定防火墙的性能指标,核心指标有接口数量及带宽、整机吞吐量、应用层吞吐量、每秒最大连接数和并发连接数、设备存储空间、关键部件冗余等,可能制约网络应用和用户体验。
三、下一代防火墙安全策略配置
下一代防火墙通常配置的安全策略包括漏洞攻击策略、Web应用防护策略、僵尸网络策略、内容安全策略、应用控制策略、连接数控制策略、DoS/DDoS防护策略、流量管理策略、用户认证策略和认证选项等。安全策略制定时需注意以下事项:一是安全策略的可读性设置。为保证防火墙规则的可读性,在为各类资源、服务、应用、规则命名时要有明显区分,体现其分类、功能和用途,有利于安全策略的可视化配置和策略解读。二是安全策略的细粒度配置。安全策略源目地址、出入网口和源目端口与实际对应。下一代防火墙可以对区域、IP分组及用户、应用或服务、时间及生效状态等进行细粒度配置,进行个性化设置,也可以针对某个具体应用进行细节化配置,如允许用户通过HTTPS访问互联网,但是禁止通过HTTPS下载数据;允许用户使用QQ,但是禁止用户通过QQ接收文件。三是调整安全策略执行顺序。防火墙的安全策略通常按顺序执行,遇到满足条件的策略直接放行数据包,而不检查后续策略的适用性,因此策略顺序在防火墙功能发挥中的作用尤为重要。下一代防火墙在防御层面融合了多种安全技术,防火墙内部传统防火墙、网关杀毒、IPS、WAF等模块联动防御,对网络数据进行L2-7层的安全防护,同时与其他安全设备联动取得更好的防护效果。下一代防火墙与终端检测响应平台联动,持续检测发现、快速响应处置,形成多层次立体化的威胁防御体系,弥补防火墙对内部发起和内部用户之间的网络攻击无法检测的缺陷。
四、结束语
下一代防火墙在传统防火墙的基础上,采用先进的架构设计和技术实现,具有更强大的设备性能、网络功能和安全防护功能,实现设备部署、网络连通和策略配置等,尤其是基于认证用户和应用灵活配置安全策略,实现了数据包的深度过滤和网络L2-7层的安全防护。与内部模块和外部安全设备间的联动响应,提高了检测能力,通过对安全威胁全流程的分析,实现对数据流向全程的安全防护。
参考文献:
[1]赵菁.防火墙在网络安全中的应用[J].网络安全技术与应用,2020(10):21.
[2]赵彬.计算机网络安全与防火墙技术研究[J].电子技术与软件工程,2020(17):251-252.
[3]何恩南.计算机网络安全及防火墙技术分析研究综述[J].珠江水运,2020(18):52.
作者简介:李伟伟 性别:男 民族:汉 籍贯:山西临汾 出生年月日:1985年1月11日 学历:本科 工作单位:西部机场集团天水机场有限公司 职称:工程师 研究方向:计算机网络安全与维护。
关键词:下一代;防火墙;网络;安全防护;包过滤
一、下一代防火墙的三大功能
1、 应用识别的能力
识别的广度和深度是应用识别最重要的指标,也是下一代防火墙区别于传统防火墙的重要特征。在应用识别广度方面,业界领先的NGFW产品应用识别数量基本在3000以上。类似网康等专注于应用领域技术的厂商,目前应用识别数量应该都在4000以上。除了识别数量足够广之外,识别深度也更为重要。例如,企业可能会仅允许QQ聊天,但禁止QQ游戏;对跑在HTTP上的应用,能够精准识别出该应用的具体用途;同时,能够从逃逸,带宽等多个维度去判断应用属性是否安全。
2、功能与性能兼备
下一代防火墙融合IPS的防护,同时各厂家根据各自的理解还集成了其他更多的功能,但是有的厂商集成过多功能,甚至是集成Web应用防火墙这样产品功能,严重导致NGFW性能下降,甚至出现死机现象。因此客户在选择产品时不能仅看到功能的全面性,却忽视了开启这些功能后的性能衰减。不然后期只能被迫禁用一些应用层防护的功能模块,导致下一代防火墙变成了传统防火墙或者UTM。业内權威机构认为,优秀的下一代防火墙产品开启IPS功能后整机性能下降不应超过50%。
3、可视化(visibility)和智能分析能力
随着网络快速发展,各式各样复杂威胁层出不穷,用户需要更加及时的掌握网络现状、风险、威胁、事件以及防御效果等用于支撑安全决策。这就需要下一代防火墙具备良好的可视化和智能分析能力,帮助用户看得清威胁,防得住攻击。因此,真正的“可视化智能管理”应该是在多维统计的基础上加以深入的分析,从应用和用户视角多层面的将网络应用的状态展现出来。同时,通过引入外部威胁情报,实现安全态势感知和风险预测功能,解决单机设备与生俱来的短板,以帮助用户更加快速的了解网络风险并及时部署防御措施。
二、下一代防火墙设备的选配
下一代防火墙功能强大,成本也相对较高,一些厂商按功能模块收费,因此在选配防火墙设备时需要考虑性价比。一是要了解使用方的网络拓扑结构、核心服务、主干网络带宽利用率峰值、网络中安全设备部署现状和终端用户网络使用体验,挖掘出网络建设安全需求和亟须解决的问题。二是根据客户安全需求,选择对应的防护功能,进而选用功能适配的防火墙设备,在采购防火墙设备的同时需开通对应的功能权限,比如网络序列号、IPSecVPN分支机构、SSLVPN移动用户数,WEB防护、网关杀毒、IPS、应用控制、流量控制、各类特征库升级序号等。三是根据功能需求选择相应的设备部署方式,接入方式不同,实现的防护功能也有差异,防火墙支持网关模式、网桥模式、混合模式、旁接模式和双机接入等。四是根据防火墙接入干线的流量来确定防火墙的性能指标,核心指标有接口数量及带宽、整机吞吐量、应用层吞吐量、每秒最大连接数和并发连接数、设备存储空间、关键部件冗余等,可能制约网络应用和用户体验。
三、下一代防火墙安全策略配置
下一代防火墙通常配置的安全策略包括漏洞攻击策略、Web应用防护策略、僵尸网络策略、内容安全策略、应用控制策略、连接数控制策略、DoS/DDoS防护策略、流量管理策略、用户认证策略和认证选项等。安全策略制定时需注意以下事项:一是安全策略的可读性设置。为保证防火墙规则的可读性,在为各类资源、服务、应用、规则命名时要有明显区分,体现其分类、功能和用途,有利于安全策略的可视化配置和策略解读。二是安全策略的细粒度配置。安全策略源目地址、出入网口和源目端口与实际对应。下一代防火墙可以对区域、IP分组及用户、应用或服务、时间及生效状态等进行细粒度配置,进行个性化设置,也可以针对某个具体应用进行细节化配置,如允许用户通过HTTPS访问互联网,但是禁止通过HTTPS下载数据;允许用户使用QQ,但是禁止用户通过QQ接收文件。三是调整安全策略执行顺序。防火墙的安全策略通常按顺序执行,遇到满足条件的策略直接放行数据包,而不检查后续策略的适用性,因此策略顺序在防火墙功能发挥中的作用尤为重要。下一代防火墙在防御层面融合了多种安全技术,防火墙内部传统防火墙、网关杀毒、IPS、WAF等模块联动防御,对网络数据进行L2-7层的安全防护,同时与其他安全设备联动取得更好的防护效果。下一代防火墙与终端检测响应平台联动,持续检测发现、快速响应处置,形成多层次立体化的威胁防御体系,弥补防火墙对内部发起和内部用户之间的网络攻击无法检测的缺陷。
四、结束语
下一代防火墙在传统防火墙的基础上,采用先进的架构设计和技术实现,具有更强大的设备性能、网络功能和安全防护功能,实现设备部署、网络连通和策略配置等,尤其是基于认证用户和应用灵活配置安全策略,实现了数据包的深度过滤和网络L2-7层的安全防护。与内部模块和外部安全设备间的联动响应,提高了检测能力,通过对安全威胁全流程的分析,实现对数据流向全程的安全防护。
参考文献:
[1]赵菁.防火墙在网络安全中的应用[J].网络安全技术与应用,2020(10):21.
[2]赵彬.计算机网络安全与防火墙技术研究[J].电子技术与软件工程,2020(17):251-252.
[3]何恩南.计算机网络安全及防火墙技术分析研究综述[J].珠江水运,2020(18):52.
作者简介:李伟伟 性别:男 民族:汉 籍贯:山西临汾 出生年月日:1985年1月11日 学历:本科 工作单位:西部机场集团天水机场有限公司 职称:工程师 研究方向:计算机网络安全与维护。