基于下一代防火墙技术的企业网络安全应用

2020-09-10廖伟国萧鸿希文明瑶

看世界·学术上半月 2020年11期

廖伟国萧鸿希文明瑶

摘要：在互联网高速发展的今天，网络的安全使用已成为企业信息化管理和正常发展的重要保证。本文基于下一代防火墙技术，对企业网络安全的设计与实现进行研究，首先介绍研究的背景及意义;然后传统防火墙的缺陷;接着对下一代防火墙进行特性分析并进行了安全策略研究及方案部署。

关键词：下一代防火墙网络安全安全策略

一、论文综述

（一）背景

随着互联网发展，企业加大了信息化的建设投入，以此提高企业的竞争力。企业的网络规模越来越大，网上业务越来越重要，网络的安全问题也越来越突出。

传统防火墙是保障企业网络安全的重要手段，也是目前应用最广的安全产品。防火墙通过硬件或软件形式，控制企业与外部网络的信息传输，根据用户需求，制定不同的安全策略，有效针对外部网络对企业内部网络的非法访问，防止企业内部资料遭到窃取。防火墙也可以控制企业内部网络对外部网络的访问，防止员工进行不安全的网络活动。

（二）传统防火墙的缺陷

传统防火墙用以下几种方式进行报文过滤：

（1）防火墙以端口作为依据控制报文的访问。根据报文的协议、源端口、目的端口来判断网络服务。例如防火墙收到80端口的TCP报文，判断为HTTP服务。

（2）防火墙以IP地址作为依据，控制报文的访问。

（3）防火墙以五元组作为依据，定义一条网络流。防火墙通过源IP、目的IP、源端口、目的端口、报文协议共五项数据来划分网络流。同一条网络流的所有报文的安全性是一致的。防火墙只对一条网络流的首个报文进行合法性检查，首个报文通过后，建立会话，后续的报文通过会话进行转发，无需重复检查，提高转发效率。

随着网络发展，传统的防火墙已经无法满足新的安全需求，无法良好的应对基于应用协议的攻击。

在新的网络应用中出现了各种P2P软件，通过非知名端口或随机端口进行通信。传统防火墙通过端口识别的方式无法有效识别非法程序。

传统防火墙以五元组作为依据定义一条网络流安全性的方式虽然效率高，但是却缺少对流量持续的安全防护，攻击者可以在一次正常的访问中植入木马与病毒。

VPN技术在企业中的应用十分广泛，但传统防火墙无法检测加密后的报文，容易被加密后的数据绕过，是一个很大的安全隐患。

二、下一代防火墙

（一）下一代防火墙简介

由于以被动防御为主的传统防火墙，无法良好应对基于应用协议的攻击，所以已经无法满足企业新的网络安全需求。企业在发展信息化的过程中，需要网络的稳定运行，又需要对业务流量有足够的控制能力，于是就出现了以主动防御为主的新产品——下一代防火墙（Next Generation Firewall，简称NGFW）。NGFW在传统五元组上加入了应用和用户，以七元组作为依据，为企业制定安全策略。NGFW具备传统防火墙功能的同时融合了入侵防御系统的能力，通过全新的高性能引擎技术，提供了应用内容识别能力。

（二）下一代防火墻特性分析

NGFW提供了两种先进的机制完善了应用层和内容识别的安全防护能力：

（1）一次扫描，对报文进行一次扫描，通过全新的高性能引擎，提取报文数据，智能识别出流量的应用类型、报文的内容、存在的网络威胁。

（2）实时检测，通过全新的高性能引擎，实时检测流量传输过程中的报文，实时阻拦不安全报文，持续保障网络安全。

三、基于下一代防火墙的企业网络安全方案

（一）迁移注意事项

企业目前使用的安全方案是传统防火墙、入侵检测设备、防病毒设备等多种安全产品的组合。由于现有的设备部署了大量的安全策略，所以在现有的环境直接将安全产品替换为下一代防火墙会对企业的网络服务造成很大的影响，一旦出现差错，会造成企业出现不可逆的损失。所以在迁移过程中，我们一定要注意以下事项：

（1）注意产品的兼容性。最好选购与原有防火墙同一厂家的新设备。防止设备不兼容造成网络的不稳定。同时网络管理员熟悉同一厂商的配置命令，迁移服务时的效率更高。

（2）逐步迁移，减少影响。不可以一次性将全部服务转移到新设备上，逐步迁移能控制风险，降低出错的概率，减少出错造成的损失。

（二）部署方案

1部署在三层的初始化配置

这种场景下的下一代防火墙工作在网络层（如下图1），作为网络层的网关，实现内部网络与外部网络的安全防护。需要对NGFW进行以下初始化配置：