浅谈主动式防火墙技术原理及创新应用.docVIP

浅谈主动式防火墙技术原理及创新应用 　　摘 要：随着网络规模进一步扩大和网络资源日趋丰富，云计算、大数据等创新技术蓬勃发展，防火墙作为一种和互联网共生共荣的主流安全技术，在新的互联网+时代将会迎来新的挑战和机遇，基于此，本文对主动式防火墙的技术原理进行分析，并提出创新观点，以供参考。 　　关键词：网络安全；包过滤；主动式防火墙；下一代防火墙新型防火墙 　　中图分类号：TP393 文献标识码：A 　　随着网络规模进一步扩大和网络资源日趋丰富，云计算、大数据等创新技术蓬勃发展，计算机网络安全技术也随之进入了新的时代：复杂性不断增加，异构性越来越高。防火墙作为一种和互联网共生共荣的主流安全技术，在新的互联网+时代将会迎来哪些新的挑战和机遇，我们又该如何设计、部署新型防火墙？笔者将结合工作经验浅谈一下主动式防火墙的技术原理及创新应用。 　　1 吞吐量是选型关键，立足应用层看“吞吐” 　　防火墙作为内部网与外部网之间的一种访问控制设备，通常安装在内部网和外部网的交界点上。从技术原理的角度看，防火墙经历了从早期的简单包过滤到今天的状态包过滤技术和应用代理的发展，一步步从被动走向主动，即能够执行不依赖于IP、端口的应用、用户和内容控制策略。实时检测网络流量中的恶意网址、病毒、漏洞利用、间谍软件等行为。 　　主动式防火墙的基础原理，是对网络应用层中的数据包执行深度检测，也就是将数据包解封到应用层。对于这样的防火墙产品，数据包封装和解封层次越多，CPU的计算负载就会越高。因此，设备的吞吐量成为评估防火墙的主要指标。 　　在实际工作中，吞吐量的评估指标与测试方法可以如下检测。 　　（1）UDP裸包处理性能（Raw Packet Processing Performance （UDP Traffic））。 　　（2）延迟（Latency）。 　　（3）最大性能（Maximum Capacity）。 　　（4）无延时情况下的HTTP性能（HTTP Capacity With No Transaction Delays）。 　　（5）应用平均响应时间（Application Average Response Time： HTTP）。 　　（6）有延时情况下的HTTP性能（HTTP Capacity With Transaction Delays）。 　　（7）“逼近真实”的通信（“Real- World” Traffic）。 　　在实际的防火墙设备选型中，笔者建议主要考核设备在进行应用层处理情况下的转发性能，也就是俗称的应用层吞吐量，如HTTP性能、应用平均响应时间等参数。 　　2 让应用识别成为管理核心，简化人工干预 　　新的主动式防火墙能提供基于用户、应用和内容作为管控平台，功能更加强大，这已经意味着访问控制能力由原先的五元组扩充至了八元组，控制一个数据包的访问和转发，可基于用户、源IP、目的IP、源端口、目的端口、协议（端口）、应用类型以及数据内容进行更加精细的过滤，这给管理人员带来了新的难题。笔者在日常维护防火墙策略时，面对网络中大量的防火墙策略，常常也会有很多疑问：哪台主机已经失陷？哪些安全策略从来没被使用过？哪些安全策略被使用得最频繁？ 　　不同的网络技术人员，配置防火墙安全的策略也会不同，这就导致甲配置的安全策略在乙看来是可以删除的，乙配置的安全策略在甲看来是影响效率的。如何才能尽可能减少人为因素，使防火墙安全策略最优化呢？笔者认为，关键还是需要建立具备真正的应用识别能力的防火墙管理系统，笔者认为以下举措值得借鉴： 　　（1）建立中心化可扩展的防火墙系统结构 　　建立一个中心化的，能够管理整个系统数据并给予安全管理团队快速响应能力的管理系统，才能化繁为简，用起来得心应手。中心化管理可以在一个应用界面下部署、查看和控制所有的防火墙活动，还可以自动化日常任务、复用元素、部署快速路径和深度调查，以最小的工作成本产生最大的工作成果。 　　建立中心化可扩展的防火墙体系机构的另一个隐性作用是保护防火墙主机自身的安全。现在，针对防火墙本身的攻击越来越多，防火墙中心化可扩展体系可以结合主机型防火墙和个人计算机型防火墙及传统防火墙功能，取长补短，全方位的优化防火墙的防卫结构。其目的是利用各区域的加强防卫动作来化解对手的攻击行为。各终端设置相应的防护功能，彼此之问相互防护，从而保护个人和企业的业务安全。 　　（2）部署更多单向防火墙或给防火墙加智能芯片 　　由于现在网络需求的不断增加，防火墙也有向专业化、硬件化发展的趋势。单向防火墙是为了让信息单向流动，只能从外网流入内网，而不能从内网流出到外网，从而达到一定的保密功能。当然如果将其固化到硬件中，不但会提高防火墙的执行速度，也会大大降低防火墙导致的网络延时。而