下一代防火墙在中小微企业中研究与应用

发表时间:2021/7/2   来源:《中国建设信息化》2021年4期   作者:周嘉航
[导读] 在全民信息时代盛行下,互联网技术为人们日常生活和工作等方面带来极大的便利,但不可避免的是信息安全的威胁也更加多种多样,愈发严峻。

        周嘉航
        武汉学院 湖北武汉 430212
        【摘要】在全民信息时代盛行下,互联网技术为人们日常生活和工作等方面带来极大的便利,但不可避免的是信息安全的威胁也更加多种多样,愈发严峻。现今更多的攻击是针对于应用层,而相较传统防火墙在应用层方面的检测和防御存在明显的缺陷,因此迫切需要我们去寻找更好的解决方案。本文将基于下一代防火墙技术,对企业网络安全的设计与实现进行研究,首先介绍研究背景和研究意义,然后介绍防火墙的发展历程、概念作用等,以及传统防火墙存在的缺陷,引出下一代防火墙,举例说明下一代防火墙应用场景以及是否达到市场需求。
        【关键词】 应用层;传统防火墙;解决方案;下一代防火墙技术;
        指导教师:张紫薇、潘宁
        云计算、人工智能及物联网等高新技术的不断涌现,在带来巨大便利的同时,也使得网络安全所要面临的环境更为严峻,内外部威胁或攻击的方式在不断的更新,病毒在不断的变异,面对如此情况,环境促使我们加快对网络安全防护的研究。如传统的防火墙技术,在应用层的防护上显得苍白无力,因此我们引入了下一代防火墙,去解决原有防火墙无法解决安全威胁。

二、网络威胁种类
(一)网络威胁种类
        当前,各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合,形成复合型威胁,更加难以抵御。这些威胁直接攻击企业核心服务器和应用,给企业带来了重大损失;攻击终端用户计算机,给用户带来信息风险甚至财产损失。如图2.1常见应用层安全威胁,根据图,我们大致分析了如下几种威胁。


        (1)DOS/DDOS
        DOS/DDOS故意地攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源,使服务系统停止响应甚至崩溃,计算机或网络无法接受外界的请求。
        (2)缓冲区溢出
        缓冲区溢出攻击是利用缓冲区溢出漏洞,取得系统特权,所进行的攻击行动。缓冲区溢出会导致程序崩溃、系统关机、重新启动等问题。
        (3)端口扫描攻击
        端口扫描攻击是一种常用的探测技术,攻击者向目标计算机发送一组端口扫描消息,探寻弱点,试图以此进行入侵。
        (4)病毒传播
        病毒是攻击者利用目标计算机软件和硬件固有的脆弱性编制一组指令集或程序代码,潜伏在存储介质(或程序)里,当被激活时,感染其他程序,对计算机资源进行破坏。中毒后,通常表现为:增、删、改、移。
        (5)木马攻击
        木马是一段具有特殊功能的恶意代码,通过寻找计算机后门,隐藏在正常程序中。攻击者通过木马远程控制计算机的程序,对目标计算机实施监控、破坏和删除文件、发送密码、记录键盘和DOS攻击。
        (6)IP欺骗、ARP欺骗等
        IP地址欺骗是用IP数据包伪造源IP地址,以便冒充其他系统或发件人的身份,取得目标计算机信任,发送恶意请求,获取机密信息或使目标系统受到攻击却无法确认攻击源。
        面对这些问题,传统解决方案最大的问题是防火墙工作在TCP/IP?3~4层上,根本就“看”不到这些威胁的存在,而IDS作为一个旁路设备,对这些威胁又“看而不阻”,因此我们需要一个全新的安全解决方案。
三、 防火墙技术简介
(一) 防火墙的发展
        防火墙的本意是指古代构筑和使用木制结构房屋的时候,为了防止火灾的发生和蔓延,人们将坚固的石头堆砌在房屋周围作为屏障的一种防护构筑物,这种防护构筑物就本称之为“防火墙”。当然我们通常所说的网络防火墙其实是借鉴了古代真正用于防火的防火墙的喻义。防火墙英文名称为:firewall。是指位于计算机和它连接的网络之间的硬件及软件,也可以位于两个或多个网络之间。比如局域网和互联网之间。网络之间的所有数据流都有经过防火墙。通过防火墙可以对网络之间的通信进行扫描,关闭不安全的埠,阻止外来的DoS攻击,封锁特洛伊木马等,以保证网络和计算机的安全。
        防火墙从诞生到现在,已经历了五个发展阶段:
        (1)第一代防火墙——采用静态包过滤(Statics?Packet?Filter)
        这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括I?P源地址、I?P目标地址、传输协议(TCP、UDP、ICMP等)、T?C?P/U?D?P目标端口、ICMP消息类型等。包过滤类型的防火墙遵循的一条基本原则是“最小特权原则"。即明确允许那些管理员希望通过的数据包通过,而禁此其它的所有数据包。
        (2)第二代防火墙——贝尔实验室而出的电路层防火墙
        (3)第三代防火墙——代理服务器通常也称作应用级防火墙
        所谓代理服务,即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务器的链接来实现的。这样便成功地实现了防火墙内外计算机系统的隔离。代理服务器是设置在Internet防火墙网关上的应用,是在网管员允许下或拒绝的特定的应用程度或者特定服务,同时,还可应用于实施较强的数据流监控、过滤、记录和报告功能。一般情况下可以应用于特定的互联网服务,比如超文本传输(HTTP)、远程文档传输(FTP)等。
        (4)第四代防火墙——基于动态包过滤(Dynamic?packet?filter)
        这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题,依据设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目标地址、以及包的使用确定是否允许该类型数据包通过。
        (5)第五代防火墙——自适应代理(Adaptiveproxy)
        在产品Gauntlet?Firewall?for?NT中得以实现,给代理类型放弃赋予了全新的意义。
(二) 下一代防火墙
        传统防火墙从技术上看主要是作用于网络层和传输层,通过针对数据包设置特定的过滤规则来阻拦有害数据。防火墙会对每一个要通过的数据包进行审查,将数据包中包含的源地址、目的地址、端口号等与已设置好的过滤规则进行对比匹配。 如果符合相应规则要求,则会转发该数据包;反之,则禁止该数据包的传输。Web 2.0 的广泛应用,大量应用建立在应用层之上,而传统防火墙主要于网络层和传输层,无法有效识别和管理这些应用,更无法检查应用中附带的威胁代码。
        下一代防火墙,以下简称 NGFW,与传统防火墙最大的技术进步就是全面覆盖七层网络协议,对网络中的数据流可以进行全面的识别。从技术角度来看,下一代防火墙不仅保留了传统防火墙的所有功能,如数据包过滤、NAT、协议状态检查、VPN 等,还实现了一体化引擎和安全功能无缝融合,主要包含以下几个方面的安全技术特点:
        (1)应用层的智能识别
        传统防火墙功能模块工作在七层网络协议的第三层,只能识别网络层的信息,而 NGFW 不仅能防护网络层,而且能深入到应用层的防护。通过智能化应用、用户识别技术可将网络中简单的 IP 地址和端口号信息转换为更容易识别且更加智能化的用户身份信息和应用程序信息,并且通过基于应用的策略控制和安全扫描,保障网络应用被安全高效地使用。
        (2)全面掌控网络的应用,精准的访问控制
        NGFW 可以对网络的流量实行智能的管理和灵活的控制。可根据应用、用户或用户组和内容来执行相应的控制,可使用带宽管理策略来对穿越防火墙的应用数据流进行分类、控制和管理。
        (3)一体化的引擎,全面的威胁防护
        NGFW 采用了一体化的引擎技术,不是简单地将网络防火墙、网络入侵检测/防御和网关防病毒功能等功能简单地叠加在了一起,然后采用串行扫描方式,而是一次性地对数据流完成识别、扫描,因而可以达到更高的性能。
        (4)配置简单,集中式的安全管理
        NGFW 可以实现全部功能模块集中式管理,并通过简单的配置就能实现。
四、 下一代防火墙应用分析
(一)  企业案例
通过对企业网络安全进行评估及需求分析之后,绘制企业改造后拓扑图。企业网络拓扑图如图4.1所示。主要有如下配置:
   (1)防火墙安全策略配置
    在该企业网络拓扑中,防火墙直接连接外部互联网,是整个企业网络的出口。而防火墙策略配置是访问控制的关键部分,用户可以根据需要定义防火墙所在网络中的各种资源的访问控制权限。对经过防火墙的所有数据,会按照用户定义的各种策略规则进行匹配和检查。
本设计选择深信服下一-代防火墙NGAF1720-TH,具有可视的网络安全,能够对网络应用、业务和终端可视化,对用户身份智能识别,能够实现面向用户与应用的访问策略控制和基于应用的流量管理具备强大的应用层、Web攻击和终端安全防护能力;并且具有独特的双向内容检测技术
(2)接口属性配置
根据现有防火墙配置,在深信服应用防火墙上设置对应的接口属性。并将联通线路接入到出口防火墙,配置对应的接口属性,并将接口划分为三个区域,分别为ouside、inside、dmz。
(3)路由配置
(4)SNAT地址转换
(二) 优化结果
针对企业网络存在的安全漏洞,对企业网络拓扑及防火墙进行优化升级之后,企业网络的安全性提升主要包括7个方面。
(1)实现双链路负载均衡,扩展网络带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
(2)增强WEB应用防护,提供更多元素的访问控制,可实现各种复杂的访问控制策略。
(3)增加流量管理,实现基于用户和应用的流量管理功能,达到阻断非法流量、限制无关流量保证核心业务的效果。采用队列流量机制。
(4)实现用户认证,提供了支持包括AD域、Radius等8种用户身份识别方式
(5)实现IPS功能,提高数据包扫描效率,同时也增加扫描的精确性,降低误报率帮助用户识别和防御基于Web框架漏洞的攻击。同时提供多种防逃逸防绕过的检测手段,避免攻击包绕过检测从而进入内网。
(6)支持IPSecVPN功能,实现高安全防护、高投资回报的分支机构安全建设目标,并支持对加密隧道数据进行安全攻击检测,对通道内存在的IPS攻击威胁进行流量清洗,提升广域网隔离的安全性。
(7)简化Web安全运维,实现Web应用防火墙融合Web弱点扫描的功能,并能通过策略联动的功能给用户提出策略部署建议。通过一键部署的方式自动生成针对性的Web安全策略,使策略制定更简化、更容易、更有效。
五、 防火墙技术的走向
        下一代防火墙虽然已经从状态检测到集多种技术为一体, 取得了很多的进步,但是随着网络攻击方式和手段的不断变化,这些还不足以应当未来的网络威胁,因为下一代防火墙所有的技术从根本上还是基于过滤,是对已知危险的防范,而对未知的威胁如何进行防御是未来防火墙技术的发展必须解决的问题。要解决对未知危险的防御,未来的防火墙技术重点在于智能化:对网络状态,能学习;对网络产生的数据,能挖掘;对网络的安全,能预警;对安全事件,能够做到可视化的管理。
        防火墙作为网络安全核心技术之一,一直在经历着变革, 随着未来防火墙技术向着智能防火墙的深度发展,网络防御将由被动转向主动,从而更好地保护我们网络的安全。


参考文献
[1]王扣武,张珺铭,王婧如.基于下一代防火墙的企业网络安全设计与实现[J].信息技术与信息化,2019(06):123-126.
[2]唐宏斌,覃晓宁.一种下一代防火墙系统设计[J].电子技术与软件工程,2019(04):192-193.
[3]陈天武.基于GNS3和VMware的防火墙技术仿真设计[J].信息系统工程,2018(11):69-71.
投稿 打印文章 转寄朋友 留言编辑 收藏文章
  期刊推荐
1/1
转寄给朋友
朋友的昵称:
朋友的邮件地址:
您的昵称:
您的邮件地址:
邮件主题:
推荐理由:

写信给编辑
标题:
内容:
您的昵称:
您的邮件地址: