防火墙应用浅析

防火墙应用浅析

李金龙

中 国第一重型机械股份公司信息技术中心 黑龙江省齐齐哈尔市 161042

摘要：纵观企业网络安全的发展，也是最近几年才被国内企业重视起来。计算机系统病毒感染；电脑黑客的肆意破坏；重要的信息被有意无意的泄露等，伴随着企业的快速发展，成为企业网络安全管理的巨大挑战。在网络安全较量的过程中防火墙至关重要，随时网络攻击手段的不断升级，防火墙扮演的角色也发生变化。

关键词：网络安全；防火墙；下一代防火墙；应用层防护

1. 近些年的网络攻击

美国打击“伊斯兰国”

2016年4月美国网战司令部对极端组织“伊斯兰国”发动网络攻击，破坏该组织的指挥与通讯系统，使他们的网络过载无法正常运行，切断该地区“伊斯兰国”战斗人员的通讯线路将使他们陷入孤立，这可以为国际盟军最终夺回被“伊斯兰国”组织占领的摩苏尔奠定重要基础。

“震网”病毒攻击伊朗

2013年，“棱镜门”泄密者斯诺登爆料，美国国家安全局与以色列一起制造了袭击伊朗核计划的“震网”病毒。该病毒导致超过3万台计算机受到病毒感染，导致上千台离心机报废，刚封顶的核电站不得不取出核燃料并延期启动，伊朗原本计划于2010年10月投入的布什尔核核电站推迟运行，伊朗核发展计划则被迫搁置。

以上列举的只是近些年各国之间网络战役中的冰山一角，从中可以看出如今的信息安全威胁开始逐步呈现出网络化和复杂化的态势。我们受到的网络威胁，无论从数量还是从形式方面，都是前所未有的。面对威胁，没有受保护的计算机设备面临的安全困境远超从前。

2. 面对威胁的防御手段

2.1传统防火墙

防火墙一词源于建筑，用来隔离火灾，阻隔火势从一个区域蔓延到另一个区域。在信息安全领域，防火墙也形象的提现了这一个特点。

首先防火墙是一个系统，通过过滤传输数据达到防止未经授权的网络传输入侵私有网络阻止不必要流量的同时允许必要流量进入，防火墙旨在私有和公共网络建立一道安全屏障，用来阻止网络黑客和恶意攻击。对于拥有大数量的计算机和服务器的企业来说，防火墙至关重要。

虽说都是网络设备，但防火墙和我们常见的交换机、路由器有着本质的不同。从OSI模型的角度分析，交换机工作在数据链路层，而防火墙和路由器工作在网络层。从工作特性角度来看，路由器用来连接不同网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机则通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。

防火墙最大的特点就是包过滤。通过识别这些数据流中的有效信息，来判断通过的数据包是通过还是阻止。然而包过滤这种方式只针对网络层起作用，据统计70％的网络攻击都作用于应用层，攻击者通过防火墙开放的端口，躲过防火墙的检测，直接针对应用程序，面对这类攻击传统防火墙显得无能为力。但当时那段时期，这种防御策略还是相当有效的。

2.1统一威胁管理平台

时间进入21世纪，互联网遇到了井喷式的发展，人类迈入了信息时代，传统的交互方式成为历史，各类应用层出不穷，于此同时带来的威胁也是多种多样。现在每天都有数百种新病毒被释放到互联网上，它们活跃在各大主流应用平台周围，等待时机寻找漏洞。通过这些漏洞绕过安全设备，将蠕虫病毒注入系统当中，肆意破坏，使企业萌受损失。为了应对这类攻击，安全厂商成产出了多种专用的防御设备。有帮助互联网用户控制和管理对互联网的使用的上网行为管理（AC）；能够监视网络中正在传输的资料，对于有威胁的资料进行阻隔，起到主动防御的作用的入侵防御系统（IPS）；专门保护企业网站的WEB攻击防护（WAF）；专门用来识别病毒特征的病毒防护系统（AV）等等。这些都是相互独立的硬件设备，各司其职，作用明显，效果显著。很明显在安全防护领域，防火墙的地位降低了。这种网络安全防护体系带来了一个显著的特征，就是成本增加，很多企业不得不把这部分预算考虑进去，但对于中小型企业来说这压力着实不小。

为了解决中小企业用户以及降低用户预算总体成本，防火墙厂家就想办法在防火墙这个平台上集成更多的安全功能，比如将上网行为管理（AC）入侵防御系统（IPS）、WEB攻击防护（WAF）以及病毒防护（AV）、垃圾邮件过滤，URL过滤等等这样的功能模块堆砌到防火墙平台里面去，而并不是将这些功能模块融入到防火墙的底层，这就导致一个问题，UTM会出现可预测性差以及功能融合度低这种特点。举个例子来了一个数据包，到达防火墙的平台防火墙的处理完了之后，要交给下一个模块上网行为管理去处理上网行为管理，处理完了之后把这个包封装好交给下一个模块入境防御系统去处理，处理完了之后把这个包封装好交给下一个模块以此类推，各个模块单独去处理各自为战，这很明显UTM功能是有了，但处理数据包的效率是并不高。

2.3下一代防火墙

UTM的出现解决了中小企业的燃眉之急，得到了业界的认可，但处理效率的问题仍然无法回避。直到下一代防火墙的出现，人们似乎看到了解决问题的方案。

下一代防火墙NGFW，即Next Generation FIrewall，是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量的用户、应用和内容，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。UTM只是属于多功能，虽然也可以应对应用层的威胁，但是性能不高。而下一代防火墙主要看中的是威胁和性能。

不同于UTM，下一代防火墙是一种深度的集成，将各种安全功能融入一个独立的架构中。各个安全模块间可开展有机联动，各模块产生的信息可实现全维度关联，使NGFW具备强大的模块间安全协同能力和威胁情报聚合能力。

3. 下一代防火墙的优势

从下一代防火墙的特点可以看出，NGFW相较于传统防火墙甚至UTM都有着明显的优势。

第一，从架构看，NGFW集成化程度提高的同时将应用层安全检测模块统一到一个检测引擎，各个功能模块还可以形成联动，也就是上面提到的一次解包，全面检查。

第二，性能更强，管理更高效。传统防火墙是配合这IPS、WAF等安全设备一起使用，设备多，导致管理起来的效率不高。UTM集成了多种安全防护模块，虽然功能实现了叠加，但各个模块之间相互对立，是得UTM难以对安全日志进行统一分析。而下一代防火墙采用一体化引擎，可一次性对数据流完成识别、扫描，分析，再通过融合技术，将处理结果一次性的展示给管理员，使管理员更加轻松。

第三，提供更全面的L2-L7层安全防护，适应不同规模的企业。下一代防火墙具有传统防火墙不具备的精细的应用层防护能力，可根据应用的行为和特征实现对应用进行识别和控制，即使加密过的数据流也能进行管控。通过应用的协议识别定制出L2-L7层的应用访问控制策略,不仅对web应用渗透、漏洞探测、病毒入侵等类型的应用层攻击有很好的防护效果，还能对服务器或终端外发的流量进行检查。

4. 结语

下一代防火墙作为网络安全领域的挑战者，它的一体化引擎和安全功能融合的技术设计理念是先进的，面对传统的防火墙、UTM或IPS的竞争具有一定优势。但随着云计算、虚拟化和大数据等新技术的来临，整个互联网应用的架构及模式都发生了变化。跟随新技术的革新而来的又会是新的安全问题，新应用模式下的攻击手段变得更加复杂多变。下一代防火墙将以什么姿态迎接新一轮的挑战，让我们拭目以待。

参考文献：

[1]吴玥昕.浅析计算机网络安全与维护浅析计算机网络安全与维护[J].中国新通信,,2018,20(21):145.