一体化网关式防火墙的策略设置分析.docVIP

一体化网关式防火墙的策略设置分析 　　摘要 多种网络安全产品的应用给校园网的安全产品兼容性和管理增加了难度,而采用一体化网关式防火墙则比较经济、有效。分析一体化网关式防火墙特点,阐述防火墙策略配置的重要性,利用算法、实例验证策略规划和配置,达到保护校园网安全的目的。 　　关键词 网络安全;防火墙;安全策略;网络威胁 　　中图分类号:TP393.08 文献标识码:B 文章编号:1671-489X(2009)27-0099-02 　　Strategy and Analysis of An Integrated Gateway Firewall//Hu Binyan 　　Abstract The application of a variety of network security products makes the campus network security products compatibility and management more difficult, while the use of an integrated gateway firewall is more economical and effective. This paper analyzes the integration of the gateway firewall features, and expounded the importance of the firewall policy configuration, and the use of algorithms, examples demonstrate the strategic planning and configuration ,and achieve the protection of campus security. 　　Key words network security; firewalls; security policy; network threats 　　Author’s address Wuwei Occupational College, Wuwei, Gansu, 733000, China 　　 　　一体化网关式防火墙(UTM)是将多种安全能力融合在一个产品之中,实现防御一体化,为安全解决方案、规避设备兼容性问题、简化安全管理提供先决条件[1]。具体来讲,就是采用综合分析、分流处理的设计思想,将各种数据由综合分析引擎判断出数据的合法性,做到单点部署、立体防御、一体化设计、高效易管、简单安全[2]。尤其是对建设时期的高职院校,实现花最小财力、人力完成校园网安全维护大问题。 　　 　　1 一体化网关的特点 　　 　　1.1 软硬结合方式一体化网关式防火墙通常采用专用的FPGA和ASIC芯片,可实现病毒检测、内容过滤、入侵防御等功能。但FPGA和ASIC芯片更新周期缓慢,且更新费用高昂。解决此类问题,一体化网关大多采用软件升级方式,即软硬件结合的方式完成安全防护。 　　1.2 合并横向多种功能USG(如启明星辰的天清汉马USG-2000)在将协议重组分析之后,对模式匹配引擎和特征库进行合并(见图1),形成“综合分析引擎”技术,将模式匹配进行归一化处理:在接收到数据报文后,通过一个综合分析引擎实现对防病毒、入侵防御、内容过滤、反垃圾邮件等高级安全功能分析和匹配。以一体化特征库(病毒特征库、入侵事件库、内容过滤特征库、垃圾邮件特征库)作为支撑,以统一的格式根据标记准确判断该特征所属类型,针对数据流用相应的处理模块进行控制。一体化特征库提高了多种安全功能协同运作的效率,相比分散的特征库,可以使整体性能提升40%以上[3],如图2所示。 　　1.3 优化算法对于特征库的匹配,通常存在AC和BM两种算法,AC算法是最著名的模式匹配算法之一;BM算法的时间复杂度低于线性,是现在用得比较多的一种方法。启明星辰公司对于2种算法进行深入研究和优化,通过BM算法提高步长,通过AC算法提高比对效率,并融入很多创新技术,形成目前应用在天清汉马USG产品中的专利算法(专利号:200610089420.7)。此专利算法与特征库大小、文本大小无关,可以确保大容量特征库正常情况下的检测效率[4]。 　　 　　2 天清汉马防火墙功能 　　 　　2.1 高效防病毒其实防病毒功能是UTM产品的难点,因为防病毒产品的核心部件有2个:防病毒引擎和病毒库。其中病毒库是需要经常甚至每天更新的。这样,病毒库的数据量往往会很大,而作为网关级产品,需要对每个数据包进行打开、分析、检查,这是一个较长的比对过程。一个数据包如此,个个数据包都如此,这样很容易把一台UTM设备拖垮。但