魯田思

摘要：在“互聯(lián)網(wǎng)+”的時(shí)代IT信息技術(shù)的快速發(fā)展已經(jīng)成為必要趨勢(shì)，在關(guān)注快速發(fā)展的同時(shí)信息安全也成為主流的關(guān)注對(duì)象，傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)已經(jīng)成為基礎(chǔ)建設(shè)的必要措施，然而安全是加固這層基建的重要保障，傳統(tǒng)的防火墻對(duì)于應(yīng)用的識(shí)別不精準(zhǔn)造成數(shù)據(jù)包的判斷錯(cuò)誤導(dǎo)致安全風(fēng)險(xiǎn)增大。

關(guān)鍵詞：下一代智能防火墻;區(qū)域邊界;應(yīng)用層策略

中圖分類號(hào)：TP393 ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）32-0046-03

1 背景

防火墻是內(nèi)外網(wǎng)絡(luò)之間的重要保障，是抵御外部威脅的第一道橋梁，傳統(tǒng)的防火墻一般有四種類型分別是包過濾、應(yīng)用級(jí)網(wǎng)關(guān)、代理服務(wù)器和狀態(tài)檢測(cè)等功能。

隨著網(wǎng)絡(luò)的攻防威脅的日益頻繁和門檻的降低傳統(tǒng)的防火墻已經(jīng)不能抵御威脅，黑客可以輕易地躲避傳統(tǒng)防火墻的攔截，傳統(tǒng)的防火墻不能對(duì)加密的應(yīng)用數(shù)據(jù)進(jìn)行數(shù)據(jù)包分析、無法檢測(cè)加密的Web流量信息、無法擴(kuò)展檢測(cè)的深度、無法聯(lián)動(dòng)其他安全設(shè)備經(jīng)行統(tǒng)籌部署。

下一代智能防火墻相比傳統(tǒng)的防火墻不僅具有傳統(tǒng)防火墻基于四層防護(hù)的基本功能其優(yōu)勢(shì)是在于依據(jù)傳統(tǒng)的防火墻的數(shù)據(jù)包進(jìn)行七層過濾并且配合應(yīng)用識(shí)別特征庫做到包的拆分過濾真正對(duì)微小的數(shù)據(jù)包進(jìn)行識(shí)別對(duì)判定存在威脅的數(shù)據(jù)進(jìn)行過濾。

2 下一代智能防火墻的由來

2.1 下一代智能防護(hù)的誕生

防火墻雖然存在安全域的概念并且端口也應(yīng)用在安全域下但是端口的狀態(tài)檢測(cè)仍然不能做到安全地阻止外部威脅，隨著Web2.0的快速發(fā)展更小的數(shù)據(jù)包以及使用更小更常用的數(shù)據(jù)端口在傳統(tǒng)的防火墻上是檢測(cè)不到的，這意味著基于端口/協(xié)議的政策已經(jīng)變得不能很好適應(yīng)和奏效。

NGFW下一代智能防火墻[1]應(yīng)該是可以承受高并發(fā)并且更加智能聯(lián)動(dòng)的防火墻一般具有以下幾個(gè)屬性：

1）典型的初代防火墻：數(shù)據(jù)包過濾、VPN虛擬專用網(wǎng)絡(luò)[2]、NAT網(wǎng)絡(luò)地址轉(zhuǎn)換以及狀態(tài)性協(xié)議檢測(cè)等。

2）下一代智能防火墻有了智能判斷的機(jī)制：集合特征庫的分析精準(zhǔn)判斷數(shù)據(jù)包是否存在異常行為特征，當(dāng)然需要有IPS和AV的授權(quán)并實(shí)時(shí)更新特征庫與病毒庫。

3）應(yīng)用識(shí)別的精準(zhǔn)：識(shí)別到獨(dú)立運(yùn)行的端口和協(xié)議，并非傳統(tǒng)防火墻的協(xié)議號(hào)來判斷。

4）下一代防火墻深度學(xué)習(xí)性：下一代智能防火墻具有深度學(xué)習(xí)功能，可以將數(shù)據(jù)包與用戶建立起連帶關(guān)系，通過全局的黑白名單信任機(jī)制可以做到及時(shí)有效的身份驗(yàn)證和阻斷。

2.2 下一代智能防火墻的技術(shù)革新

應(yīng)用的精準(zhǔn)識(shí)別和設(shè)備的聯(lián)防聯(lián)動(dòng)是下一代防火墻的重要方向數(shù)據(jù)包不再區(qū)分大小以抵御更多的威脅數(shù)據(jù)，而且下一代防火墻更加注重性能的要求根據(jù)七層協(xié)議實(shí)時(shí)命中應(yīng)用特征庫的識(shí)別。

經(jīng)典防火墻和Unified Threat Management（統(tǒng)一威脅管理，以下簡(jiǎn)稱：UTM）是在“瘦防火墻”的基礎(chǔ)上逐步發(fā)展而來，但NGFW防火墻集成的WAF、URL過濾、VPN、IPS、AV、沙箱、態(tài)勢(shì)感知等功能于一體的安全智能網(wǎng)關(guān)系統(tǒng)更加注重應(yīng)用層的防護(hù)，結(jié)合自身特有的防護(hù)引擎模塊實(shí)時(shí)精準(zhǔn)高效地對(duì)于數(shù)據(jù)包和流量做出處理動(dòng)作避免造成內(nèi)部數(shù)據(jù)安全和威脅，而減少網(wǎng)絡(luò)安全設(shè)備硬件的數(shù)量，更加有利于網(wǎng)絡(luò)安全診斷效率。

下一代防火墻對(duì)數(shù)據(jù)流量的細(xì)粒度識(shí)別更加快速精準(zhǔn)，對(duì)異常流量和數(shù)據(jù)能夠及時(shí)做出阻止動(dòng)作，可以基于應(yīng)用層的QOS對(duì)流量進(jìn)行整流和放行做到更加精準(zhǔn)識(shí)別和控制，不再依據(jù)傳統(tǒng)的ACL的匹配策略進(jìn)行數(shù)據(jù)模型的整流模式使得控制更加靈活和安全。

3 下一代智能防火墻的功能

3.1 部署功能

1）路由模式[3]

路由模式一般適用于用戶有少量的公網(wǎng)地址但是需要上網(wǎng)的私網(wǎng)地址用戶較多的模式，因此防火墻需要采取NAT轉(zhuǎn)換成出接口或者目的地址池內(nèi)的地址進(jìn)行轉(zhuǎn)換上網(wǎng)，防火墻則是起到承上啟下的作用那么DHCP地址池可以在防火墻中設(shè)置也可以在下層的交換設(shè)備上部署。

2）透明網(wǎng)橋模式

網(wǎng)橋模式是現(xiàn)在部署方式較多的形式，網(wǎng)橋模式的使用相當(dāng)于接接口對(duì)之間形成一路可以監(jiān)測(cè)和管理的網(wǎng)線模式，這種部署方式的好處就是不改變?cè)瓉淼木W(wǎng)絡(luò)架構(gòu)省去煩瑣的部署和分析現(xiàn)有網(wǎng)絡(luò)拓?fù)涞牟襟E，并且接口的形式與網(wǎng)絡(luò)中二層接口模式相同。

3）旁掛模式

旁路模式又稱旁掛模式也是現(xiàn)實(shí)中部署較多的形式，旁路部署一般需要將核心設(shè)備的接口開啟流量鏡像，將網(wǎng)絡(luò)中的流量鏡像給防火墻讓防火墻進(jìn)行識(shí)別，在不改動(dòng)和不需要業(yè)務(wù)終中斷的情況下這種部署模式有效地控制網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)。

3.2 安全功能

1）業(yè)務(wù)安全

業(yè)務(wù)安全是從業(yè)務(wù)角度進(jìn)行安全展示，展示網(wǎng)絡(luò)中業(yè)務(wù)相關(guān)的整體安全狀況，包括業(yè)務(wù)風(fēng)險(xiǎn)匯總、安全事件匯總攻擊和實(shí)時(shí)漏洞分析三個(gè)功能。

①業(yè)務(wù)風(fēng)險(xiǎn)匯總是從業(yè)務(wù)角度進(jìn)行安全展示?？梢圆榭吹綐I(yè)務(wù)是否存在被攻擊或者看到潛在的風(fēng)險(xiǎn)。

關(guān)于風(fēng)險(xiǎn)等級(jí)說明如表1所示。

表1 ? 風(fēng)險(xiǎn)等級(jí)

[風(fēng)險(xiǎn)等級(jí) 說明 已被入侵 已有數(shù)據(jù)證明服務(wù)器已被黑，如被掛webshell、黑鏈等。 曾被入侵 無數(shù)據(jù)證明服務(wù)器被黑，會(huì)存在被攻擊的證據(jù)：包括SQL注入、暴力破解、webshell上傳等攻擊類型的日志。 曾被收集信息 無數(shù)據(jù)證明服務(wù)器被黑，會(huì)記錄被搜集信息的證據(jù)。 存在漏洞 無數(shù)據(jù)證明服務(wù)器被黑，無被攻擊記錄，說明服務(wù)器本身存在漏洞。 ]

關(guān)鍵風(fēng)險(xiǎn)類型包含：監(jiān)管通報(bào)、敏感信息泄露、公眾形象受損，高中低危漏洞

②安全事件匯總攻擊可關(guān)注到攻擊事件類型TOP5和攻擊者地圖以及熱點(diǎn)事件。

熱點(diǎn)事件是防火墻收集的某段時(shí)間內(nèi)來自全網(wǎng)的排列TOP10的安全事件，這些安全事件中，如果有對(duì)應(yīng)的攻擊威脅經(jīng)過防火墻，就可以被防火墻能識(shí)別到。

③實(shí)時(shí)漏洞風(fēng)險(xiǎn)分析可以實(shí)時(shí)分析策略、安全策略、安全防護(hù)策略等產(chǎn)生的日志信息，可以分析業(yè)務(wù)中存在的安全漏洞風(fēng)險(xiǎn)。

2）用戶安全

用戶安全是從用戶角度進(jìn)行安全展示，掌握網(wǎng)絡(luò)中用戶端的安全狀況，包括用戶風(fēng)險(xiǎn)匯總和用戶攻擊事件兩個(gè)功能。

①用戶風(fēng)險(xiǎn)匯總包括安全狀態(tài)分布和所處階段分布。

用戶安全狀態(tài)分布：用于顯示受影響的用戶分布情況。

用戶詳情：用于顯示最近用戶發(fā)生的攻擊事件。

內(nèi)容包括：用戶、安全等級(jí)、狀態(tài)、威脅性、確定性、威脅類型、所處階段、高?；钴S次數(shù)、待處理文件/關(guān)聯(lián)文件、聯(lián)動(dòng)狀態(tài)、操作。

②用戶攻擊事件

用戶安全事件是從攻擊類型的角度進(jìn)行用戶安全展示，可以收集來自全網(wǎng)熱點(diǎn)事件中流量經(jīng)過防火墻來識(shí)別的用戶風(fēng)險(xiǎn)。

全網(wǎng)實(shí)時(shí)熱點(diǎn)事件是根據(jù)當(dāng)前的熱點(diǎn)事件進(jìn)行整理，結(jié)合當(dāng)前的攻擊日志分析內(nèi)網(wǎng)用戶是否有遭受熱點(diǎn)事件的攻擊。

內(nèi)容包括：序號(hào)、最后通信時(shí)間、影響用戶、威脅等級(jí)、威脅類型、威脅描述、事件次數(shù)以及操作。

3）專項(xiàng)防護(hù)

專項(xiàng)防護(hù)提供設(shè)備特有防護(hù)功能模塊的展示，能夠快速了解專項(xiàng)防護(hù)功能模塊的防護(hù)情況并進(jìn)行響應(yīng)，包括勒索專項(xiàng)防護(hù)、主動(dòng)誘捕總覽、熱點(diǎn)事件預(yù)警、云端黑客IP防護(hù)和賬號(hào)安全專項(xiàng)防護(hù)等功能。

①勒索專項(xiàng)防護(hù)是防火墻通過針對(duì)的防護(hù)對(duì)象而自動(dòng)生成策略，可以達(dá)到全面防護(hù)勒索風(fēng)險(xiǎn)。同時(shí)可以全面以及可視化地識(shí)別勒索風(fēng)險(xiǎn)，并提供處置建議和處置思路。

②部署主動(dòng)誘捕功能，設(shè)置蜜罐服務(wù)。

隨著黑客的攻擊手法變得越加隱晦，提供了攻擊溯源的難度，單靠產(chǎn)品的傳統(tǒng)基于規(guī)則、引擎、甚至云腦威脅情報(bào)等防護(hù)識(shí)別方式，已很難百分百識(shí)別攔截所有的攻擊行為，所以我們可通過主動(dòng)誘捕。

一方面可達(dá)到轉(zhuǎn)移黑客攻擊的效果，另一方面可以實(shí)現(xiàn)主動(dòng)誘捕黑客攻擊，掌握黑客使用的攻擊手法和反制目的，也可通過竊聽黑客之間的聯(lián)系，掌握他們的社交網(wǎng)絡(luò)行為，從而能夠讓防御方清晰地了解其所面對(duì)的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)真實(shí)業(yè)務(wù)系統(tǒng)的安全防護(hù)能力。

③云端黑客IP防護(hù)是通過防火墻連接到云端，主動(dòng)獲取到云端的黑客數(shù)據(jù)并同步到本地中，將防護(hù)列表中的黑客IP進(jìn)行防護(hù)。

當(dāng)黑客流量經(jīng)過防火墻后，匹配成功的源IP將自動(dòng)攔截。若存在誤報(bào)情況，會(huì)禁用該IP的訪問;禁用后，云端黑客IP庫將不再對(duì)該IP進(jìn)行識(shí)別攔截。云端黑客IP庫每隔2小時(shí)自動(dòng)更新，保證最新情報(bào)信息。

④賬號(hào)安全是以客戶的業(yè)務(wù)對(duì)象為視角，通過分析該個(gè)業(yè)務(wù)對(duì)象是否存在賬號(hào)安全的風(fēng)險(xiǎn)，比如是否存弱口令、是否遭受過口令爆破攻擊、是否存在過賬號(hào)異常登錄等異?，F(xiàn)象，幫助我們可視化地分析賬號(hào)的相關(guān)安全風(fēng)險(xiǎn)，并給予對(duì)應(yīng)的修復(fù)防護(hù)意見，從源頭阻斷攻擊行為，從而大大降低業(yè)務(wù)的安全風(fēng)險(xiǎn)。

另外，還可以梳理所有業(yè)務(wù)資產(chǎn)的賬號(hào)入口都有哪些，能夠可視化地分析內(nèi)網(wǎng)業(yè)務(wù)是否開發(fā)了什么不必要的賬號(hào)登錄入口，并給予對(duì)應(yīng)賬號(hào)登錄入口的管理建議，有效梳理賬號(hào)入口，減少資產(chǎn)暴露面。

4 下一代智能防火墻的優(yōu)勢(shì)

4.1 應(yīng)用識(shí)別和控制

下一代智能防火墻在應(yīng)用識(shí)別上相比傳統(tǒng)防火墻有質(zhì)的飛躍，下一代防火墻可以精準(zhǔn)識(shí)別上萬種應(yīng)用的特征并正確地將它們識(shí)別出來，打破數(shù)據(jù)偽裝和加密技術(shù)躲避安全防護(hù)。

下一代防火墻對(duì)固定端口小于1024以下的穩(wěn)定端口能夠迅速識(shí)別并與之分析流量特征做到是否存在偽裝等問題，配合讀取數(shù)據(jù)包載荷內(nèi)的OSI模型解析和拆分?jǐn)?shù)據(jù)包的特征匹配實(shí)時(shí)聯(lián)動(dòng)的特征庫來確定是否安全。

對(duì)于數(shù)據(jù)流量的識(shí)別更加精準(zhǔn)，大流量的數(shù)據(jù)包一般都具有固定的特征比如P2P的流量數(shù)據(jù)包的大小都在450字節(jié)，一般行為特征都是占用時(shí)間長(zhǎng)、下載或者上傳速率高、斷點(diǎn)續(xù)傳等特征;對(duì)于視頻流量一般采用UDP的傳輸協(xié)議流量模型一般為前期波峰較高后期持續(xù)平穩(wěn)的形狀，并且伴隨著大量的UDP連接持續(xù)。

4.2 用戶識(shí)別和控制

下一代智能防火墻采用了用戶和用戶組的概念，可以基于對(duì)用戶的單獨(dú)、批量、區(qū)間段的控制，同時(shí)配合VPN的聯(lián)動(dòng)和策略的聯(lián)動(dòng)可以靈活地查看用戶的流量和協(xié)議使用情況，而且對(duì)于人員較多的情況可以批量導(dǎo)入導(dǎo)出方便管理，同時(shí)還可以基于用戶的源來控制訪問可以訪問哪些地址、應(yīng)用、IP段范圍以及用戶認(rèn)證方式等。

4.3 內(nèi)容識(shí)別和控制

下一代智能防火墻可以將數(shù)據(jù)包的數(shù)據(jù)分析還原對(duì)異常的數(shù)據(jù)包和流量進(jìn)行反向分析，下一代智能防火墻不僅要防護(hù)內(nèi)部安全和阻止外部威脅，還要進(jìn)行逆向溯源來判斷黑客采用了哪些攻擊手段和地理位置。

同時(shí)還要處理內(nèi)部威脅，對(duì)內(nèi)部用戶的網(wǎng)絡(luò)情況進(jìn)行識(shí)別，識(shí)別哪些用戶經(jīng)過防火墻的流量存在病毒信息和攻擊行為及時(shí)阻止避免安全事件范圍的擴(kuò)大。

4.4 防護(hù)模塊聯(lián)動(dòng)

下一代智能防火墻不僅僅是應(yīng)用上的識(shí)別事實(shí)上它可以認(rèn)定是一個(gè)安全網(wǎng)關(guān)，基于對(duì)功能多維度的數(shù)據(jù)空間管理聯(lián)合多模塊多功能多接口的形式而存在，應(yīng)用識(shí)別的精準(zhǔn)需要特征庫的強(qiáng)大。安全的模塊的防護(hù)則是需要多模塊的組合和聯(lián)動(dòng)。

入侵防御系統(tǒng)[4]（IPS： Intrusion Prevention System）可以有效地抵御DDOS、蠕蟲、垃圾郵件、木馬等更加智能的數(shù)據(jù)威脅，在數(shù)據(jù)進(jìn)入防火墻的初始階段進(jìn)行扼殺在萌芽之中并及時(shí)通告IPS庫之中配合其他聯(lián)動(dòng)設(shè)備進(jìn)行東西向和南北向的防護(hù)形成田字格的區(qū)域防護(hù)和攔截避免造成數(shù)據(jù)的大面積網(wǎng)絡(luò)威脅。

5 下一代智能防火墻的架構(gòu)

5.1 硬件架構(gòu)

傳統(tǒng)的ARM架構(gòu)存在硬件拓展能力差運(yùn)算效率低等問題已經(jīng)不是市場(chǎng)上的主流，而下一代智能防火墻采用X86的硬件結(jié)構(gòu)不僅可以實(shí)時(shí)靈活地拓展硬件資源同時(shí)架構(gòu)的改變?cè)黾恿诉\(yùn)算的速度，智能防火墻的模塊結(jié)構(gòu)增多必須伴隨更多的“大腦”進(jìn)行配合運(yùn)算才能最大地優(yōu)化數(shù)據(jù)安全的效果。

采用CPU+ASIC融合硬件架構(gòu)，CPU處理連接的新建與維護(hù)等功能，多組ASIC芯片[5]處理應(yīng)用識(shí)別和安全檢查。在應(yīng)用層防護(hù)功能全部開啟的情況下，CPU利用率依然保持正常范圍，不影響網(wǎng)絡(luò)層安全的處理性能。強(qiáng)勁的融合架構(gòu)，不僅提高了數(shù)據(jù)轉(zhuǎn)發(fā)的效率，也保障了應(yīng)用層安全防護(hù)的性能。

5.2 軟件平臺(tái)架構(gòu)

軟件平臺(tái)的架構(gòu)也不是單一的五元組進(jìn)行數(shù)據(jù)分析，打破了單一的網(wǎng)絡(luò)壁壘形成群集性的安全防護(hù)是下一代防火墻的獨(dú)特特性，在網(wǎng)絡(luò)中形成一個(gè)“安全中心”的概念，多中心多聯(lián)動(dòng)多防護(hù)的特點(diǎn)保護(hù)數(shù)據(jù)安全的每一個(gè)角落，軟件平臺(tái)不僅是靠模塊的堆積更需要性能的優(yōu)化和設(shè)備之間的配合。

軟件平臺(tái)的升級(jí)極大增加了運(yùn)算性能而且對(duì)數(shù)據(jù)識(shí)別和防護(hù)采用零信任的機(jī)制做到自動(dòng)處置及時(shí)通告和聯(lián)動(dòng)。

6 結(jié)束語

軍隊(duì)信息化的建設(shè)不是靠設(shè)備的堆積而是設(shè)備的智能聯(lián)防聯(lián)動(dòng)，下一代智能防火墻在網(wǎng)絡(luò)邊界的重要位置是首先接觸威脅數(shù)據(jù)的設(shè)備起著重要的作用，傳統(tǒng)的防護(hù)形式已經(jīng)不能滿足多樣化的安全威脅，安全威脅不僅僅只來自互聯(lián)網(wǎng)，也可能來自內(nèi)部網(wǎng)絡(luò)，那么下一代智能防火墻則是把好網(wǎng)絡(luò)大門的第一關(guān)，NGFW實(shí)現(xiàn)了基于傳統(tǒng)防火應(yīng)有的特點(diǎn)同時(shí)依靠模塊的聯(lián)動(dòng)和擴(kuò)展使數(shù)據(jù)包的過濾變得更加細(xì)粒度，同時(shí)配合其他安全設(shè)備的防護(hù)變得更加立體，并且日志的可視化可以快速地定位安全問題出現(xiàn)的時(shí)間、事件內(nèi)容、觸發(fā)的防護(hù)模塊、信息內(nèi)容以及命中的防護(hù)策略。

設(shè)備成本方面也大大減少了設(shè)備的數(shù)量，下一代防火可以實(shí)現(xiàn)多設(shè)備功能的集合統(tǒng)一使功能的配合更加密切和無縫連接。

軍隊(duì)信息安全是關(guān)乎國(guó)家和人民命運(yùn)的，信息安全在當(dāng)下的時(shí)代中更為重要，在日益突出的國(guó)際矛盾問題上做好軍隊(duì)信息化的防護(hù)和加強(qiáng)防患于未然既是重中之重也是國(guó)家的安全保障。

參考文獻(xiàn)：

[1] 陳志忠.下一代防火墻（NGFW）特性淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（10）：21-22.

[2] 趙旭輝，劉江輝.探析下一代防火墻安全特征及發(fā)展趨勢(shì)[J].信息與電腦（理論版），2013（22）：152-154.

[3] 李洪亮.防火墻部署模式的研究與實(shí)現(xiàn)[J].信息與電腦（理論版），2013（18）：71-72.

[4] 邱遠(yuǎn)興.淺談下一代防火墻的發(fā)展趨勢(shì)[J].網(wǎng)絡(luò)與信息，2012，26（4）：68-69.

[5] 王華.防火墻發(fā)展趨勢(shì)研究[J].軟件導(dǎo)刊，2008，7（1）：132-133.

【通聯(lián)編輯：謝媛媛】