■ 北京 金玲

编者按：众所周知，网络安全重在防护，完整、有效的网络安全防护方案可以确保信息系统的稳定运行。本文以笔者所在单位的信息系统为例，结合工作实际，探讨如何利用“下一代防火墙”制定全方位、行之有效的网络安全防护方案。

在日益增长的网络安全防护需求推动下，防火墙技术得到飞速发展。笔者所在单位使用的防火墙型号为深信服NGAF-1350，属于更加安全的“下一代防火墙”，提供更全面的内容级安全防护，具备完整的L2-L7完整的安全防护功能。本文以笔者所在单位的信息系统为例，结合工作实际，探讨如何利用“下一代防火墙”制定全方位、行之有效的网络安全防护方案。

Web攻击防护

笔者所在单位的门户网站和用户上网共用外网线路，在这种网络环境下，如果作为出口安全网关的防火墙不具备Web应用防护能力，那么在APT攻击的大环境下，传统的安全设备很容易被绕过，形同虚设。NGAF则提供基于黑客攻击过程的完整Web系统安全防护，针对黑客入侵三步曲即扫描、入侵、破坏进行统一的安全防护：

1.扫描：提供网站防扫描、口令暴力破解、关键URL防护、应用信息隐藏等。

2.渗透：提供强化的Web攻击防护（防SQL注入、OS命令注入、XSS攻击、CSRF攻击）、多对象漏洞利用防护等。

3.破坏：提供Webshell后门检测、黑链检测、抗CC攻击、恶意脚本上传过滤、僵木蠕检测、异常流量清洗等。

查看入侵防护情况，登录设备，点击“导航菜单”→“运行状态”→“安全状况”→“入侵风险”：显示系统受到Shellcode漏洞攻击10次、System漏洞攻击1次、Scan漏洞攻击3次。

具体情况（如图1所示）是：IP地址为192.168.31.50的服务器曾被黑客使用Nmap等工具搜集服务器的端口、服务等信息，遭受7个源IP攻击，攻击共计14次，其中，检测到111.230.45.212发起Shellcode漏洞攻击处于渗透阶段，39.104.28.63发起Scan漏洞攻击处于扫描阶段，建议管理员对该服务器加强防护，并对所涉源IP进行黑名单封堵。

图1 添加用户到用户组

NGAF提供了Web防护、IPS入侵防护、病毒防护，以及DDoS防护等功能，识别和阻断不正常的流量，监控不断增长和聚合的通讯流量，关闭恶意连接，对SQL注入、常见Web服务器插件漏洞、木马上传等OWASP常见攻击进行防护，防止恶意流量过度地消耗系统资源。

使用NGAF的网页防篡改防护可以第一时间拦截网页篡改的信息并通知管理员确认，同时对外提供篡改重定向功能，将用户的访问请求重定向到备份的Web服务器上，保证用户仍可正常访问网站。

具体配置只需管理员预先在控制台配置好需要防护的网站，点击“导航菜单”→“服务器保护”→“网页篡改防护”→“+新增”，添加防篡改策略，设置完成后，系统向网站请求页面并且缓存到设备，用以和用户访问的页面进行比对。

图2 通道配置

应用流量的管理控制

单位的局域网有200多台计算机联网且未限制手机等移动设备接入网络，如果不对流量进行合理管控，各种应用会严重挤占带宽，妨碍正常的网络办公应用。管理员可利用NGAF的流量管理模块规划上网行为，识别和管控与工作无关的应用，提高带宽利用率，解决“带宽永远不够宽”问题。

流量分配的原则是确保服务器、重要业务和行政办公的流量使用，限制流量异常的终端。具体配置过程：第一步，设置用户组，“导航菜单”→“认证系统”→“用户管理”→“组/用户”→“+新增”，选择“组”选项，在“组名列表”中输入工作组名称点击“提交”。第二步，在用户组中添加用户，点击“待添加用户组→成员管理→+新增→用户”进行添加，也可到设备默认的Default用户组或其他用户组中勾选待添加用户，点击“移动”将用户转到待添加的用户组。第三步，进行通道配置，就是把一条物理线路为用户组划分为不同的逻辑线路，以实现网络带宽的合理分配，点击“导航菜单→流量管理→通道配置”，勾选“启用流量管理系统”，进入通道配置页面，点击“+新增通道→添加通道”，进入通道编辑菜单进行通道设置。在如图2所示的通道设置中，设置内网通道上行带宽和下行带宽最多占总带宽的50%，优先级选择低，意味着该通道在与服务器争用空余带宽时处于劣势。

单位最初购买的NGAF F-1350无法识别移动终端，导致网络管理存在盲点，经与厂商工程师沟通后，在防火墙上加装了移动终端管理模块，用来识别Wi-Fi热点、无线联网用户和终端，实现对所有网络用户的可管可控。通过移动终端管理模块可对移动终端实施封禁，如图3所示，依次点击“导航菜单→安全防护对象→移动终端管理”，进入移动终端管理页面，找到并选中流量异常的移动终端IP地址，在页面左上端选择“拒绝此移动终端”，弹出对话框选择“是”，最后再页面右下角点击“立即生效配置”按键。

安全漏洞分析和扫描

对于管理员来说，每天进行安全漏洞分析、软件更新以及修补系统漏洞是每日必需的基本活动。NGAF通过实时分析网络流量，发现网络中存在的业务漏洞，包括：发现网站/OA存在的设计问题、第三方插件的漏洞检测、Web不安全配置检测等。

图4是一台刚接入网络的服务器通过NGAF-1350提供的漏洞扫描功能自动检测出的漏洞，管理员可据此逐一进行自动或手动修复。

图3 封禁移动终端

图4 服务器漏洞扫描

面向用户与应用制定访问控制策略

根据业务需求，制定L3-L7层一体化基于用户应用的访问控制策略，包括应用访问控制策略的制定和安全防护策略的创建，为网络提供有效防御。访问控制策略配置，点击“导航菜单→内容安全→应用控制策略→+新增”，进入控制策略编辑页面，确定控制规则的网络对象、应用动作等选项。控制规则的配置应关闭不需要使用或存在攻击隐患的服务及端口，删除过期的无用规则，防止规则膨胀，保留维持系统正常运行所必须开放的端口和服务的最小集合。

总结

安全防护不能存在短板，通常采用设备叠加的方案确保网络和数据安全， NGAF在端口、协议的检测和阻断基础上，增加了入侵防御、服务器防护、应用流量管理等功能，将内部网络的安全控制策略集中于防火墙之上，实现集中管理，大大降低了设备叠加防护方案的组网复杂度和不兼容性。在实际使用过程中，以NGAF为核心构建的L2-L7层整体安全防护体系可同时抵挡网络层和应用层的攻击，展现了良好的抗攻击性能，面向用户与应用的双向管控，极大的提高了管理员的工作效率，让管理员可以轻松实现对网络的有效管控，防范网络风险。