王 楊（民航新疆空中交通管理局，新疆 烏魯木齊 830016）

?

淺談主動式防火墻的技術(shù)原理及創(chuàng)新應(yīng)用

王 楊
（民航新疆空中交通管理局，新疆 烏魯木齊 830016）

摘 要：隨著網(wǎng)絡(luò)規(guī)模進一步擴大和網(wǎng)絡(luò)資源日趨豐富，云計算、大數(shù)據(jù)等創(chuàng)新技術(shù)蓬勃發(fā)展，防火墻作為一種和互聯(lián)網(wǎng)共生共榮的主流安全技術(shù)，在新的互聯(lián)網(wǎng)+時代將會迎來新的挑戰(zhàn)和機遇，基于此，本文對主動式防火墻的技術(shù)原理進行分析，并提出創(chuàng)新觀點，以供參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全；包過濾；主動式防火墻；下一代防火墻新型防火墻

隨著網(wǎng)絡(luò)規(guī)模進一步擴大和網(wǎng)絡(luò)資源日趨豐富，云計算、大數(shù)據(jù)等創(chuàng)新技術(shù)蓬勃發(fā)展，計算機網(wǎng)絡(luò)安全技術(shù)也隨之進入了新的時代：復(fù)雜性不斷增加，異構(gòu)性越來越高。防火墻作為一種和互聯(lián)網(wǎng)共生共榮的主流安全技術(shù)，在新的互聯(lián)網(wǎng)+時代將會迎來哪些新的挑戰(zhàn)和機遇，我們又該如何設(shè)計、部署新型防火墻？筆者將結(jié)合工作經(jīng)驗淺談一下主動式防火墻的技術(shù)原理及創(chuàng)新應(yīng)用。

1 吞吐量是選型關(guān)鍵，立足應(yīng)用層看“吞吐”

防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備，通常安裝在內(nèi)部網(wǎng)和外部網(wǎng)的交界點上。從技術(shù)原理的角度看，防火墻經(jīng)歷了從早期的簡單包過濾到今天的狀態(tài)包過濾技術(shù)和應(yīng)用代理的發(fā)展，一步步從被動走向主動，即能夠執(zhí)行不依賴于IP、端口的應(yīng)用、用戶和內(nèi)容控制策略。實時檢測網(wǎng)絡(luò)流量中的惡意網(wǎng)址、病毒、漏洞利用、間諜軟件等行為。

主動式防火墻的基礎(chǔ)原理，是對網(wǎng)絡(luò)應(yīng)用層中的數(shù)據(jù)包執(zhí)行深度檢測，也就是將數(shù)據(jù)包解封到應(yīng)用層。對于這樣的防火墻產(chǎn)品，數(shù)據(jù)包封裝和解封層次越多，CPU的計算負載就會越高。因此，設(shè)備的吞吐量成為評估防火墻的主要指標。

在實際工作中，吞吐量的評估指標與測試方法可以如下檢測。

（1）UDP裸包處理性能（Raw Packet Processing Performance （UDP Traffic））。

（2）延遲（Latency）。

（3）最大性能（Maximum Capacity）。

（4）無延時情況下的HTTP性能（HTTP Capacity With No Transaction Delays）。

（5）應(yīng)用平均響應(yīng)時間（Application Average Response Time： HTTP）。

（6）有延時情況下的HTTP性能（HTTP Capacity With Transaction Delays）。

（7）“逼近真實”的通信（“Real-World” Traffic）。

在實際的防火墻設(shè)備選型中，筆者建議主要考核設(shè)備在進行應(yīng)用層處理情況下的轉(zhuǎn)發(fā)性能，也就是俗稱的應(yīng)用層吞吐量，如HTTP性能、應(yīng)用平均響應(yīng)時間等參數(shù)。

2 讓應(yīng)用識別成為管理核心，簡化人工干預(yù)

新的主動式防火墻能提供基于用戶、應(yīng)用和內(nèi)容作為管控平臺，功能更加強大，這已經(jīng)意味著訪問控制能力由原先的五元組擴充至了八元組，控制一個數(shù)據(jù)包的訪問和轉(zhuǎn)發(fā)，可基于用戶、源IP、目的IP、源端口、目的端口、協(xié)議（端口）、應(yīng)用類型以及數(shù)據(jù)內(nèi)容進行更加精細的過濾，這給管理人員帶來了新的難題。筆者在日常維護防火墻策略時，面對網(wǎng)絡(luò)中大量的防火墻策略，常常也會有很多疑問：哪臺主機已經(jīng)失陷？哪些安全策略從來沒被使用過？哪些安全策略被使用得最頻繁？

不同的網(wǎng)絡(luò)技術(shù)人員，配置防火墻安全的策略也會不同，這就導(dǎo)致甲配置的安全策略在乙看來是可以刪除的，乙配置的安全策略在甲看來是影響效率的。如何才能盡可能減少人為因素，使防火墻安全策略最優(yōu)化呢？筆者認為，關(guān)鍵還是需要建立具備真正的應(yīng)用識別能力的防火墻管理系統(tǒng)，筆者認為以下舉措值得借鑒：

（1）建立中心化可擴展的防火墻系統(tǒng)結(jié)構(gòu)

建立一個中心化的，能夠管理整個系統(tǒng)數(shù)據(jù)并給予安全管理團隊快速響應(yīng)能力的管理系統(tǒng)，才能化繁為簡，用起來得心應(yīng)手。中心化管理可以在一個應(yīng)用界面下部署、查看和控制所有的防火墻活動，還可以自動化日常任務(wù)、復(fù)用元素、部署快速路徑和深度調(diào)查，以最小的工作成本產(chǎn)生最大的工作成果。

建立中心化可擴展的防火墻體系機構(gòu)的另一個隱性作用是保護防火墻主機自身的安全?，F(xiàn)在，針對防火墻本身的攻擊越來越多，防火墻中心化可擴展體系可以結(jié)合主機型防火墻和個人計算機型防火墻及傳統(tǒng)防火墻功能，取長補短，全方位的優(yōu)化防火墻的防衛(wèi)結(jié)構(gòu)。其目的是利用各區(qū)域的加強防衛(wèi)動作來化解對手的攻擊行為。各終端設(shè)置相應(yīng)的防護功能，彼此之問相互防護，從而保護個人和企業(yè)的業(yè)務(wù)安全。

（2）部署更多單向防火墻或給防火墻加智能芯片

由于現(xiàn)在網(wǎng)絡(luò)需求的不斷增加，防火墻也有向?qū)I(yè)化、硬件化發(fā)展的趨勢。單向防火墻是為了讓信息單向流動，只能從外網(wǎng)流入內(nèi)網(wǎng)，而不能從內(nèi)網(wǎng)流出到外網(wǎng)，從而達到一定的保密功能。當然如果將其固化到硬件中，不但會提高防火墻的執(zhí)行速度，也會大大降低防火墻導(dǎo)致的網(wǎng)絡(luò)延時。而且如果防火墻嵌入智能芯片則會更有效的識別惡意數(shù)據(jù)流量和阻斷惡意數(shù)據(jù)攻擊且切斷惡意病毒的流量攻擊。如果防火墻可以基于MAC設(shè)計訪問控制機制的話，則可以更好的支持MAC過濾，從而將其訪問控制發(fā)展到數(shù)據(jù)鏈路層，這樣便可防止MAC欺騙。

（3）為防火墻配置優(yōu)秀的應(yīng)用識別引擎

互聯(lián)網(wǎng)應(yīng)用程序越來越復(fù)雜，增加了防火墻應(yīng)用識別的難度。比如說，如何識別員工是在用社交應(yīng)用程序（如Facebook）工作還是游戲？這就需要防火墻具備更強大的識別引擎。如果其不能識別應(yīng)用則根本談不上應(yīng)用層威脅的防御。好的防火墻需要配備一個真正優(yōu)秀的應(yīng)用識別引擎，借此知道通過的流量信號是什么，并且知道是誰在使用這個流量信號訪問這個程序。應(yīng)用程序控制要比端口和協(xié)議控制高級的多，它可以基于用戶身份、角色，網(wǎng)頁應(yīng)用的特征來建立詳細的控制策略，更高級的控制還包括擴充用戶組、域名、安全傳輸層協(xié)議（TLS）的匹配，以及用報告、日志和統(tǒng)計報表形式表現(xiàn)出來的用戶信息和應(yīng)用程序使用細節(jié)。

3 立足現(xiàn)在關(guān)注未來，心中始終存有“防火墻”

當今時代是一個云計算和大數(shù)據(jù)的時代，海量信息被封裝為一個個數(shù)據(jù)包在網(wǎng)絡(luò)上高速流轉(zhuǎn)，就好像把不同信件裝在同樣的信封里，大量威脅藏身其中。所以有人說，云計算時代將會意味著防火墻的終結(jié)，也有人說，云計算時代代表著防火墻的新一輪繁榮。筆者認為，問題的核心不是防火墻還有沒有必要，而是如何讓防火墻變得更加強大。比如說提高防火墻的應(yīng)用“透視化”技術(shù)，能夠透過信封看到信件，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制；能夠?qū)崿F(xiàn)與多種認證系統(tǒng)（AD、LDAP等）無縫對接，還可以進一步自動識別出網(wǎng)絡(luò)中當前IP所對應(yīng)的用戶信息，勾畫出人—內(nèi)容—應(yīng)用的立體畫像。

移動互聯(lián)網(wǎng)時代，任何人都可以拿起手機，在任何時間、地點都可以上網(wǎng)，這還會導(dǎo)致企業(yè)將大量敏感資產(chǎn)存儲在智能終端上。此時，移動信息泄密的風(fēng)險遠非一道簡單的防火墻所能堵?。簡T工安全意識欠缺、設(shè)備被盜丟失，存儲數(shù)據(jù)外泄、不安全的網(wǎng)頁瀏覽、不安全的WiFi、藍牙連接以及補丁升級不及時導(dǎo)致被入侵等，都可能帶來安全隱患。所以說，移動應(yīng)用無論從產(chǎn)品上還是意識上都在面臨一個安全的空窗期，惡意攻擊者往往利用這一時期發(fā)起更多攻擊，亟需新的基于移動互聯(lián)網(wǎng)的新型防火墻保護安全。

在云計算、大數(shù)據(jù)和移動互聯(lián)面前，防火墻技術(shù)新一輪挑戰(zhàn)也許才剛剛開始！

參考文獻

［1］許一凡.防火墻新技術(shù)分析［J］.計算機安全，2003（11）.

［2］廉育功.立體防護體系的新手段——聯(lián)動防火墻［J］.電腦知識與技術(shù)（經(jīng)驗技巧），2002（6）.

［3］王曉聰，黃赪東，畢建權(quán)，龐訓(xùn)龍，李智強.探析防火墻的現(xiàn)狀與發(fā)展［J］.信息與電腦（理論版），2013（5）.

［4］孔佳泉.淺談下一代防火墻及其應(yīng)用［J］.信息安全與技術(shù)，2012（11）.

［5］江峰面向IPv6防火墻的高性能規(guī)則匹配關(guān)鍵技術(shù)研究與實現(xiàn)［D］.國防科學(xué)技術(shù)大學(xué)，2011.

中圖分類號：TP393

文獻標識碼：A