下一代智能防火墻邊界在軍綜網(wǎng)中的重要作用

魯田思

摘要：在“互聯(lián)網(wǎng)+”的時代IT信息技術(shù)的快速發(fā)展已經(jīng)成為必要趨勢，在關(guān)注快速發(fā)展的同時信息安全也成為主流的關(guān)注對象，傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)已經(jīng)成為基礎(chǔ)建設(shè)的必要措施，然而安全是加固這層基建的重要保障，傳統(tǒng)的防火墻對于應(yīng)用的識別不精準造成數(shù)據(jù)包的判斷錯誤導致安全風險增大。

關(guān)鍵詞：下一代智能防火墻;區(qū)域邊界;應(yīng)用層策略

中圖分類號：TP393 ? ? 文獻標識碼：A

文章編號：1009-3044（2021）32-0046-03

1 背景

防火墻是內(nèi)外網(wǎng)絡(luò)之間的重要保障，是抵御外部威脅的第一道橋梁，傳統(tǒng)的防火墻一般有四種類型分別是包過濾、應(yīng)用級網(wǎng)關(guān)、代理服務(wù)器和狀態(tài)檢測等功能。

隨著網(wǎng)絡(luò)的攻防威脅的日益頻繁和門檻的降低傳統(tǒng)的防火墻已經(jīng)不能抵御威脅，黑客可以輕易地躲避傳統(tǒng)防火墻的攔截，傳統(tǒng)的防火墻不能對加密的應(yīng)用數(shù)據(jù)進行數(shù)據(jù)包分析、無法檢測加密的Web流量信息、無法擴展檢測的深度、無法聯(lián)動其他安全設(shè)備經(jīng)行統(tǒng)籌部署。

下一代智能防火墻相比傳統(tǒng)的防火墻不僅具有傳統(tǒng)防火墻基于四層防護的基本功能其優(yōu)勢是在于依據(jù)傳統(tǒng)的防火墻的數(shù)據(jù)包進行七層過濾并且配合應(yīng)用識別特征庫做到包的拆分過濾真正對微小的數(shù)據(jù)包進行識別對判定存在威脅的數(shù)據(jù)進行過濾。

2 下一代智能防火墻的由來

2.1 下一代智能防護的誕生

防火墻雖然存在安全域的概念并且端口也應(yīng)用在安全域下但是端口的狀態(tài)檢測仍然不能做到安全地阻止外部威脅，隨著Web2.0的快速發(fā)展更小的數(shù)據(jù)包以及使用更小更常用的數(shù)據(jù)端口在傳統(tǒng)的防火墻上是檢測不到的，這意味著基于端口/協(xié)議的政策已經(jīng)變得不能很好適應(yīng)和奏效。

NGFW下一代智能防火墻[1]應(yīng)該是可以承受高并發(fā)并且更加智能聯(lián)動的防火墻一般具有以下幾個屬性：

1）典型的初代防火墻：數(shù)據(jù)包過濾、VPN虛擬專用網(wǎng)絡(luò)[2]、NAT網(wǎng)絡(luò)地址轉(zhuǎn)換以及狀態(tài)性協(xié)議檢測等。

2）下一代智能防火墻有了智能判斷的機制：集合特征庫的分析精準判斷數(shù)據(jù)包是否存在異常行為特征，當然需要有IPS和AV的授權(quán)并實時更新特征庫與病毒庫。

3）應(yīng)用識別的精準：識別到獨立運行的端口和協(xié)議，并非傳統(tǒng)防火墻的協(xié)議號來判斷。

4）下一代防火墻深度學習性：下一代智能防火墻具有深度學習功能，可以將數(shù)據(jù)包與用戶建立起連帶關(guān)系，通過全局的黑白名單信任機制可以做到及時有效的身份驗證和阻斷。

2.2 下一代智能防火墻的技術(shù)革新

應(yīng)用的精準識別和設(shè)備的聯(lián)防聯(lián)動是下一代防火墻的重要方向數(shù)據(jù)包不再區(qū)分大小以抵御更多的威脅數(shù)據(jù)，而且下一代防火墻更加注重性能的要求根據(jù)七層協(xié)議實時命中應(yīng)用特征庫的識別。

經(jīng)典防火墻和Unified Threat Management（統(tǒng)一威脅管理，以下簡稱：UTM）是在“瘦防火墻”的基礎(chǔ)上逐步發(fā)展而來，但NGFW防火墻集成的WAF、URL過濾、VPN、IPS、AV、沙箱、態(tài)勢感知等功能于一體的安全智能網(wǎng)關(guān)系統(tǒng)更加注重應(yīng)用層的防護，結(jié)合自身特有的防護引擎模塊實時精準高效地對于數(shù)據(jù)包和流量做出處理動作避免造成內(nèi)部數(shù)據(jù)安全和威脅，而減少網(wǎng)絡(luò)安全設(shè)備硬件的數(shù)量，更加有利于網(wǎng)絡(luò)安全診斷效率。

下一代防火墻對數(shù)據(jù)流量的細粒度識別更加快速精準，對異常流量和數(shù)據(jù)能夠及時做出阻止動作，可以基于應(yīng)用層的QOS對流量進行整流和放行做到更加精準識別和控制，不再依據(jù)傳統(tǒng)的ACL的匹配策略進行數(shù)據(jù)模型的整流模式使得控制更加靈活和安全。

3 下一代智能防火墻的功能

3.1 部署功能

1）路由模式[3]

路由模式一般適用于用戶有少量的公網(wǎng)地址但是需要上網(wǎng)的私網(wǎng)地址用戶較多的模式，因此防火墻需要采取NAT轉(zhuǎn)換成出接口或者目的地址池內(nèi)的地址進行轉(zhuǎn)換上網(wǎng)，防火墻則是起到承上啟下的作用那么DHCP地址池可以在防火墻中設(shè)置也可以在下層的交換設(shè)備上部署。

2）透明網(wǎng)橋模式

網(wǎng)橋模式是現(xiàn)在部署方式較多的形式，網(wǎng)橋模式的使用相當于接接口對之間形成一路可以監(jiān)測和管理的網(wǎng)線模式，這種部署方式的好處就是不改變原來的網(wǎng)絡(luò)架構(gòu)省去煩瑣的部署和分析現(xiàn)有網(wǎng)絡(luò)拓撲的步驟，并且接口的形式與網(wǎng)絡(luò)中二層接口模式相同。

3）旁掛模式

旁路模式又稱旁掛模式也是現(xiàn)實中部署較多的形式，旁路部署一般需要將核心設(shè)備的接口開啟流量鏡像，將網(wǎng)絡(luò)中的流量鏡像給防火墻讓防火墻進行識別，在不改動和不需要業(yè)務(wù)終中斷的情況下這種部署模式有效地控制網(wǎng)絡(luò)中存在的安全風險。

3.2 安全功能

1）業(yè)務(wù)安全

業(yè)務(wù)安全是從業(yè)務(wù)角度進行安全展示，展示網(wǎng)絡(luò)中業(yè)務(wù)相關(guān)的整體安全狀況，包括業(yè)務(wù)風險匯總、安全事件匯總攻擊和實時漏洞分析三個功能。

①業(yè)務(wù)風險匯總是從業(yè)務(wù)角度進行安全展示?？梢圆榭吹綐I(yè)務(wù)是否存在被攻擊或者看到潛在的風險。

關(guān)于風險等級說明如表1所示。

表1 ? 風險等級

[風險等級 說明 已被入侵 已有數(shù)據(jù)證明服務(wù)器已被黑，如被掛webshell、黑鏈等。 曾被入侵 無數(shù)據(jù)證明服務(wù)器被黑，會存在被攻擊的證據(jù)：包括SQL注入、暴力破解、webshell上傳等攻擊類型的日志。 曾被收集信息 無數(shù)據(jù)證明服務(wù)器被黑，會記錄被搜集信息的證據(jù)。 存在漏洞 無數(shù)據(jù)證明服務(wù)器被黑，無被攻擊記錄，說明服務(wù)器本身存在漏洞。 ]

關(guān)鍵風險類型包含：監(jiān)管通報、敏感信息泄露、公眾形象受損，高中低危漏洞

②安全事件匯總攻擊可關(guān)注到攻擊事件類型TOP5和攻擊者地圖以及熱點事件。

熱點事件是防火墻收集的某段時間內(nèi)來自全網(wǎng)的排列TOP10的安全事件，這些安全事件中，如果有對應(yīng)的攻擊威脅經(jīng)過防火墻，就可以被防火墻能識別到。

③實時漏洞風險分析可以實時分析策略、安全策略、安全防護策略等產(chǎn)生的日志信息，可以分析業(yè)務(wù)中存在的安全漏洞風險。

2）用戶安全

用戶安全是從用戶角度進行安全展示，掌握網(wǎng)絡(luò)中用戶端的安全狀況，包括用戶風險匯總和用戶攻擊事件兩個功能。

①用戶風險匯總包括安全狀態(tài)分布和所處階段分布。

用戶安全狀態(tài)分布：用于顯示受影響的用戶分布情況。

用戶詳情：用于顯示最近用戶發(fā)生的攻擊事件。

內(nèi)容包括：用戶、安全等級、狀態(tài)、威脅性、確定性、威脅類型、所處階段、高?；钴S次數(shù)、待處理文件/關(guān)聯(lián)文件、聯(lián)動狀態(tài)、操作。

②用戶攻擊事件

用戶安全事件是從攻擊類型的角度進行用戶安全展示，可以收集來自全網(wǎng)熱點事件中流量經(jīng)過防火墻來識別的用戶風險。

全網(wǎng)實時熱點事件是根據(jù)當前的熱點事件進行整理，結(jié)合當前的攻擊日志分析內(nèi)網(wǎng)用戶是否有遭受熱點事件的攻擊。

內(nèi)容包括：序號、最后通信時間、影響用戶、威脅等級、威脅類型、威脅描述、事件次數(shù)以及操作。

3）專項防護

專項防護提供設(shè)備特有防護功能模塊的展示，能夠快速了解專項防護功能模塊的防護情況并進行響應(yīng)，包括勒索專項防護、主動誘捕總覽、熱點事件預(yù)警、云端黑客IP防護和賬號安全專項防護等功能。

①勒索專項防護是防火墻通過針對的防護對象而自動生成策略，可以達到全面防護勒索風險。同時可以全面以及可視化地識別勒索風險，并提供處置建議和處置思路。

②部署主動誘捕功能，設(shè)置蜜罐服務(wù)。

隨著黑客的攻擊手法變得越加隱晦，提供了攻擊溯源的難度，單靠產(chǎn)品的傳統(tǒng)基于規(guī)則、引擎、甚至云腦威脅情報等防護識別方式，已很難百分百識別攔截所有的攻擊行為，所以我們可通過主動誘捕。

一方面可達到轉(zhuǎn)移黑客攻擊的效果，另一方面可以實現(xiàn)主動誘捕黑客攻擊，掌握黑客使用的攻擊手法和反制目的，也可通過竊聽黑客之間的聯(lián)系，掌握他們的社交網(wǎng)絡(luò)行為，從而能夠讓防御方清晰地了解其所面對的安全威脅，并通過技術(shù)和管理手段來增強真實業(yè)務(wù)系統(tǒng)的安全防護能力。

③云端黑客IP防護是通過防火墻連接到云端，主動獲取到云端的黑客數(shù)據(jù)并同步到本地中，將防護列表中的黑客IP進行防護。

當黑客流量經(jīng)過防火墻后，匹配成功的源IP將自動攔截。若存在誤報情況，會禁用該IP的訪問;禁用后，云端黑客IP庫將不再對該IP進行識別攔截。云端黑客IP庫每隔2小時自動更新，保證最新情報信息。

④賬號安全是以客戶的業(yè)務(wù)對象為視角，通過分析該個業(yè)務(wù)對象是否存在賬號安全的風險，比如是否存弱口令、是否遭受過口令爆破攻擊、是否存在過賬號異常登錄等異常現(xiàn)象，幫助我們可視化地分析賬號的相關(guān)安全風險，并給予對應(yīng)的修復(fù)防護意見，從源頭阻斷攻擊行為，從而大大降低業(yè)務(wù)的安全風險。

另外，還可以梳理所有業(yè)務(wù)資產(chǎn)的賬號入口都有哪些，能夠可視化地分析內(nèi)網(wǎng)業(yè)務(wù)是否開發(fā)了什么不必要的賬號登錄入口，并給予對應(yīng)賬號登錄入口的管理建議，有效梳理賬號入口，減少資產(chǎn)暴露面。

4 下一代智能防火墻的優(yōu)勢

4.1 應(yīng)用識別和控制

下一代智能防火墻在應(yīng)用識別上相比傳統(tǒng)防火墻有質(zhì)的飛躍，下一代防火墻可以精準識別上萬種應(yīng)用的特征并正確地將它們識別出來，打破數(shù)據(jù)偽裝和加密技術(shù)躲避安全防護。

下一代防火墻對固定端口小于1024以下的穩(wěn)定端口能夠迅速識別并與之分析流量特征做到是否存在偽裝等問題，配合讀取數(shù)據(jù)包載荷內(nèi)的OSI模型解析和拆分數(shù)據(jù)包的特征匹配實時聯(lián)動的特征庫來確定是否安全。

對于數(shù)據(jù)流量的識別更加精準，大流量的數(shù)據(jù)包一般都具有固定的特征比如P2P的流量數(shù)據(jù)包的大小都在450字節(jié)，一般行為特征都是占用時間長、下載或者上傳速率高、斷點續(xù)傳等特征;對于視頻流量一般采用UDP的傳輸協(xié)議流量模型一般為前期波峰較高后期持續(xù)平穩(wěn)的形狀，并且伴隨著大量的UDP連接持續(xù)。

4.2 用戶識別和控制

下一代智能防火墻采用了用戶和用戶組的概念，可以基于對用戶的單獨、批量、區(qū)間段的控制，同時配合VPN的聯(lián)動和策略的聯(lián)動可以靈活地查看用戶的流量和協(xié)議使用情況，而且對于人員較多的情況可以批量導入導出方便管理，同時還可以基于用戶的源來控制訪問可以訪問哪些地址、應(yīng)用、IP段范圍以及用戶認證方式等。

4.3 內(nèi)容識別和控制

下一代智能防火墻可以將數(shù)據(jù)包的數(shù)據(jù)分析還原對異常的數(shù)據(jù)包和流量進行反向分析，下一代智能防火墻不僅要防護內(nèi)部安全和阻止外部威脅，還要進行逆向溯源來判斷黑客采用了哪些攻擊手段和地理位置。

同時還要處理內(nèi)部威脅，對內(nèi)部用戶的網(wǎng)絡(luò)情況進行識別，識別哪些用戶經(jīng)過防火墻的流量存在病毒信息和攻擊行為及時阻止避免安全事件范圍的擴大。

4.4 防護模塊聯(lián)動

下一代智能防火墻不僅僅是應(yīng)用上的識別事實上它可以認定是一個安全網(wǎng)關(guān)，基于對功能多維度的數(shù)據(jù)空間管理聯(lián)合多模塊多功能多接口的形式而存在，應(yīng)用識別的精準需要特征庫的強大。安全的模塊的防護則是需要多模塊的組合和聯(lián)動。

入侵防御系統(tǒng)[4]（IPS： Intrusion Prevention System）可以有效地抵御DDOS、蠕蟲、垃圾郵件、木馬等更加智能的數(shù)據(jù)威脅，在數(shù)據(jù)進入防火墻的初始階段進行扼殺在萌芽之中并及時通告IPS庫之中配合其他聯(lián)動設(shè)備進行東西向和南北向的防護形成田字格的區(qū)域防護和攔截避免造成數(shù)據(jù)的大面積網(wǎng)絡(luò)威脅。

5 下一代智能防火墻的架構(gòu)

5.1 硬件架構(gòu)

傳統(tǒng)的ARM架構(gòu)存在硬件拓展能力差運算效率低等問題已經(jīng)不是市場上的主流，而下一代智能防火墻采用X86的硬件結(jié)構(gòu)不僅可以實時靈活地拓展硬件資源同時架構(gòu)的改變增加了運算的速度，智能防火墻的模塊結(jié)構(gòu)增多必須伴隨更多的“大腦”進行配合運算才能最大地優(yōu)化數(shù)據(jù)安全的效果。

采用CPU+ASIC融合硬件架構(gòu)，CPU處理連接的新建與維護等功能，多組ASIC芯片[5]處理應(yīng)用識別和安全檢查。在應(yīng)用層防護功能全部開啟的情況下，CPU利用率依然保持正常范圍，不影響網(wǎng)絡(luò)層安全的處理性能。強勁的融合架構(gòu)，不僅提高了數(shù)據(jù)轉(zhuǎn)發(fā)的效率，也保障了應(yīng)用層安全防護的性能。

5.2 軟件平臺架構(gòu)

軟件平臺的架構(gòu)也不是單一的五元組進行數(shù)據(jù)分析，打破了單一的網(wǎng)絡(luò)壁壘形成群集性的安全防護是下一代防火墻的獨特特性，在網(wǎng)絡(luò)中形成一個“安全中心”的概念，多中心多聯(lián)動多防護的特點保護數(shù)據(jù)安全的每一個角落，軟件平臺不僅是靠模塊的堆積更需要性能的優(yōu)化和設(shè)備之間的配合。

軟件平臺的升級極大增加了運算性能而且對數(shù)據(jù)識別和防護采用零信任的機制做到自動處置及時通告和聯(lián)動。

6 結(jié)束語

軍隊信息化的建設(shè)不是靠設(shè)備的堆積而是設(shè)備的智能聯(lián)防聯(lián)動，下一代智能防火墻在網(wǎng)絡(luò)邊界的重要位置是首先接觸威脅數(shù)據(jù)的設(shè)備起著重要的作用，傳統(tǒng)的防護形式已經(jīng)不能滿足多樣化的安全威脅，安全威脅不僅僅只來自互聯(lián)網(wǎng)，也可能來自內(nèi)部網(wǎng)絡(luò)，那么下一代智能防火墻則是把好網(wǎng)絡(luò)大門的第一關(guān)，NGFW實現(xiàn)了基于傳統(tǒng)防火應(yīng)有的特點同時依靠模塊的聯(lián)動和擴展使數(shù)據(jù)包的過濾變得更加細粒度，同時配合其他安全設(shè)備的防護變得更加立體，并且日志的可視化可以快速地定位安全問題出現(xiàn)的時間、事件內(nèi)容、觸發(fā)的防護模塊、信息內(nèi)容以及命中的防護策略。

設(shè)備成本方面也大大減少了設(shè)備的數(shù)量，下一代防火可以實現(xiàn)多設(shè)備功能的集合統(tǒng)一使功能的配合更加密切和無縫連接。

軍隊信息安全是關(guān)乎國家和人民命運的，信息安全在當下的時代中更為重要，在日益突出的國際矛盾問題上做好軍隊信息化的防護和加強防患于未然既是重中之重也是國家的安全保障。

參考文獻：

[1] 陳志忠.下一代防火墻（NGFW）特性淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（10）：21-22.

[2] 趙旭輝，劉江輝.探析下一代防火墻安全特征及發(fā)展趨勢[J].信息與電腦（理論版），2013（22）：152-154.

[3] 李洪亮.防火墻部署模式的研究與實現(xiàn)[J].信息與電腦（理論版），2013（18）：71-72.

[4] 邱遠興.淺談下一代防火墻的發(fā)展趨勢[J].網(wǎng)絡(luò)與信息，2012，26（4）：68-69.

[5] 王華.防火墻發(fā)展趨勢研究[J].軟件導刊，2008，7（1）：132-133.

【通聯(lián)編輯：謝媛媛】