一種下一代防火墻系統(tǒng)設計

文/唐宏斌 覃曉寧

隨著以WEB2.0為代表的網(wǎng)絡時代的到來，互聯(lián)網(wǎng)進入了以論壇、博客、社交、視頻、P2P分享等應用為代表的下一代互聯(lián)網(wǎng)時代，越來越多的應用呈現(xiàn)出WEB化。傳統(tǒng)的防火墻的基本原理是根據(jù)五元組，包括IP地址、端口號或協(xié)議標識符等來檢測網(wǎng)絡流量，對中標的數(shù)據(jù)包執(zhí)行相應的策略。針對WEB2.0應用，傳統(tǒng)防火墻無法有效區(qū)分各種應用程序。傳統(tǒng)防火墻無法鑒別和防護應用層攻擊手段。 同時，以竊取企業(yè)核心數(shù)據(jù)為目的的APT攻擊逐漸增多，傳統(tǒng)防火墻被動防御已經(jīng)無法應對日益嚴峻的網(wǎng)絡安全風險。

為了解決傳統(tǒng)防火墻的不足，本文設計了下一代防火墻系統(tǒng)，該系統(tǒng)覆蓋一代墻的所有功能且滿足了Gartner定義的下一代防火墻的功能要求。

1 下一代防火墻功能架構

Gartner將下一代防火墻定義為在不同信任級別的網(wǎng)絡之間實時執(zhí)行網(wǎng)絡安全策略的聯(lián)機控制，其應該具有以下屬性:

首先，在不影響網(wǎng)絡運行之下支持內嵌的bump-in-the-wire配置；

其次，作為網(wǎng)絡流監(jiān)測和網(wǎng)絡安全策略執(zhí)行平臺，應至少具有以下特性：

（1）具有標準的一代防火墻功能；

（2）具有集成而非僅僅堆砌的網(wǎng)絡入侵防御系統(tǒng)；

（3）應用感知和全?？梢娦?；

（4）超級智能防火墻。

針對上述需求，本文設計了一種下一代防火墻系統(tǒng)，該系統(tǒng)的功能架構如圖 1所示。

1.1 高性能基礎平臺

基礎平臺采用了多核并發(fā)技術，使并發(fā)處理數(shù)據(jù)包無需排隊等待；一體化安全引擎技術，統(tǒng)一對數(shù)據(jù)包進行基礎解析，避免每個功能模塊重復解析數(shù)據(jù)包；零拷貝技術，數(shù)據(jù)面與控制面共享內存，避免同步時的數(shù)據(jù)拷貝動作；三種技術結合使第二代防火墻性能較傳統(tǒng)墻有極大提升,可獲得極高吞吐量。

1.2 基本功能

二代墻覆蓋了一代墻的基本功能，包過濾、網(wǎng)絡地址轉換、身份認證、防DDoS攻擊、VPN、流量控制、地址綁定、內容檢測過濾、上網(wǎng)行為管理、Web應用防護、木馬防護、入侵防御、惡意代碼防護、僵尸網(wǎng)絡檢測、支持802.1Q VLAN Trunk協(xié)議、監(jiān)控與審計、日志審計、雙機熱備等基本功能。

1.3 智能分析

圖1：下一代防火墻功能架構圖

平臺支持精細化上網(wǎng)行為管控，采用基于機器學習的流量異常檢測和行為異常檢測，綜合使用端口識別、關聯(lián)識別、DPI識別、DFI識別幾種技術，抽絲剝繭逐步解析流經(jīng)設備的網(wǎng)絡數(shù)據(jù)，從而達到對應用的精準識別。

1.4 主動防御

平臺提供虛擬網(wǎng)絡服務，主動追蹤黑客軌跡；支持對應用的精確識別，感知網(wǎng)絡安全態(tài)勢，智能調整安全策略達到主動防御的目的；同時集成DOS防御、用戶認證、應用控制、入侵防御、站點分類過濾、病毒過濾、Web應用防御、數(shù)據(jù)防泄密等多種安全防御手段為用戶提供集成式的多方位的安全防護。

1.5 智能防御與對抗

本平臺搭載最新的AI威脅檢測引擎，能夠識別惡意代碼變種、未知威脅等特征匹配模式無法識別的高級威脅，不再特征庫規(guī)則匹配，而是通過機器學習模型判定安全威脅，能夠識別變種木馬，檢測未知威脅攻擊和預防零日攻擊等。

2 關鍵技術路線

2.1 過濾技術

包過濾是防火墻所要實現(xiàn)的基本功能，現(xiàn)在的防火墻已經(jīng)由最初的地址、端口判定控制，發(fā)展到判斷通信報文協(xié)議頭的各部分，以及通信協(xié)議的應用層命令、內容、用戶認證、用戶規(guī)則甚至狀態(tài)檢測等等。尤其是狀態(tài)監(jiān)測技術，在不影響網(wǎng)絡正常工作的前提下，模塊在網(wǎng)絡層截取數(shù)據(jù)包，繼而在所有的協(xié)議層上提取相關狀態(tài)信息，據(jù)此判斷該數(shù)據(jù)包是否符合安全策略。過濾技術包括包過濾防火墻、應用層防火墻和混合型防火墻，本平臺采用混合型防火墻技術。

2.2 防DDoS攻擊技術

DoS（Denial of Service） 和DDoS（Distributed Denial of Service）是近年來黑客最常用的也是最難防御的攻擊模式，DDoS攻擊主要包括Syn f lood、Land-based、Teardrop attack、Ping of Death、Smurf attack、Ping sweep、Ping flood等幾種類型。本平臺采用 “零積累智能識別”技術，不但能有處理各種SYN攻擊包，而且徹底解決了積累問題。

2.3 Web應用防火墻技術

防火墻的Web應用防護模塊，應用了先進的多維防護體系，對Web應用滲透攻擊形成一套專用特征規(guī)則庫，對時下主要的Web滲透攻擊實現(xiàn)了有效的防范，可防范的攻擊類型包括SQL注入攻擊、跨站腳本攻擊、沖區(qū)溢出、遍歷目錄、信息泄露、DDoS攻擊等。

2.4 虛擬防火墻技術

本平臺具備虛擬防火墻功能，一臺物理防火墻在邏輯上可虛擬出多個虛擬防火墻，每臺虛擬防火墻都是獨立的虛擬設備，有獨立的管理系統(tǒng)，能夠實現(xiàn)防火墻基礎路由功能、訪問控制功能、安全防護功能和審計管控功能。每個虛擬防火墻之間不能直接通信，有獨立的管理系統(tǒng)、管理員賬號、安全策略、審計日志、安全域等，可以分配獨立的物理接口或者邏輯接口。

2.5 AI威脅檢測引擎技術

本平臺搭載最新的AI威脅檢測引擎，能夠識別惡意代碼變種、未知威脅等特征匹配模式無法識別的高級威脅。平臺可采用千萬級樣本庫對模型進行訓練，同時不斷從全網(wǎng)收集最新的威脅樣本用于模型的訓練，為設備提供模型更新服務。

3 結論

進入以WEB 2.0為代表的網(wǎng)絡時代的到來，傳統(tǒng)防火墻在防護功能上已經(jīng)心有余而力不足。本文設計了一種下一代防火墻系統(tǒng)，系統(tǒng)基于高性能基礎平臺，覆蓋了一代墻的功能，并提供入侵防御功能、Web應用防火墻功能，具有策略自動演進的內核和人工智能監(jiān)測大腦，既滿足了傳統(tǒng)防御，也能針對APT等高級攻擊類型進行防御。