下一代防火墙(NGFW)通过深度过滤网络流量中的用户、应用程序和内容,借助新的高性能平行处理引擎,为用户提供有效的网络集成安全保护,帮助用户安全开展业务,简化用户的网络安全架构。目前,华为是中国独立的主流防火墙产品NGFW,深信服NGAF,网络神防火墙在政府、企业、教育、银行、医疗、科研等行业和领域承担着保护网络和数据安全的责任。以下是对下一代防火墙在网络安全保护中的应用的深入分析。
下一代防火墙的比较优势1
下一代防火墙去除了传统防火墙的包装过滤、网络地址转换、状态检测和VPN除了技术等,还有许多弥补传统防火墙缺陷的技术优势。一是多模块功能的集成联动,如入侵防御系统(IPS),病毒检测系统,VPN,网络应用保护系统(WAF)等,改变了传统保护设备叠加部署、糖葫芦部署模式,节约成本,消除网络瓶颈和单点故障,数据包单次分析多核并行处理,提高检测速度,多模块联动提高响应速度,日志集成提高检测效率。二是网络二至七层的全栈检测能力,克服传统防火墙包过滤的基础IP以及端口检测的局限性,可用于粒度设置过滤和安全策略,辅助用户管理应用。三是对数据包进行深入检测,通过对数据包进行深度协议解码、内容分析、模式匹配等操作,实现对数据包内容的全面分析,找到相应的内容安全策略进行匹配。下一代防火墙通过HTTPS功能,实现正确SSL对加密数据进行解密分析,可检测邮件中的非法信息。四是可视化配置界面,结合先进的技术和理念,简化设备配置,完善功能,使技术人员能量从复杂的配置命令中解放,更加注重配置规则的现实意义。可视化报告不仅能充分呈现用户和业务的安全状况,还能帮助用户快速定位安全问题。
下一代防火墙设备选择2
下一代防火墙功能强大,成本相对较高,部分厂家按功能模块收费,因此在选择防火墙设备时需要考虑成本性能。一是了解用户网络拓扑结构、核心服务、主网络带宽利用率峰值、网络安全设备部署现状和终端用户网络使用体验,探索网络建设的安全需求和亟待解决的问题。二是根据客户的安全需求,选择相应的保护功能,然后选择功能适应的防火墙设备。在购买防火墙设备时,需要打开相应的功能权限,如网络序列号。IPSecVPN分支机构,SSLVPN移动用户数,WEB防护、网关杀毒、IPS,应用控制、流量控制、各种特征库升级序号等。三是根据功能要求选择相应的设备部署方式。接入方式不同,保护功能也不同。防火墙支持网关模式、网桥模式、混合模式、旁接模式和双机接入。四是根据防火墙接入干线的流量确定防火墙的性能指标。核心指标包括接口数量和带宽、整机吞吐量、应用层吞吐量、每秒最大连接数和并发连接数、设备存储空间、关键部件冗余等,可能限制网络应用和用户体验。
下一代防火墙对网络连接通性的影响
防火墙网络连接配置复杂,部分部署模式可能改变原网络结构,影响原网络连接。一是影响网络结构。在网关模式和混合模式下,下一代防火墙可以取代现有的出口路由器,部署在网络出口配置路由功能。在网桥模式下,下一代防火墙具有二层网络交换机的功能,部署在核心路由器和核心交换机之间。在旁接模式下,下一代防火墙通常连接到核心开关,并将核心开关的流量镜像到防火墙上。由于实际流量不通过防火墙,防火墙无法实现数据的实时检测和阻断,这种部署通常用于监控和审计。两面防火墙可支持双主模式或主备模式,部署在双核网络中,实现设备冗余和线路冗余[1]。二是网络分区管理。根据网络系统安全等级保护2.0的要求,网络要分区管理,实现这一功能的主要设备是防火墙。在使用其他三种模式部署时,原网络可分为三个区域,即可信区域,DMZ区域和不可信区域,便于区域管理和配置防护策略。内网属于可信区域,外部服务的服务器部署在DMZ区域,直接连接外网的出口网络属于不可信区域,只有内部服务的服务器被划分为可信区域[2]。三是网络技术的应用。下一代防火墙支持网络出口的多线接入,包括ADSL线路的PPPoE接入,可同时接入多个运营商线路,根据需要实现各种网络出口模式的负荷平衡,充分利用出口带宽,实现出口线路冗余。设备支持网络接口配置交换口和路由口,支持常用路由协议配置,支持IPV6。使用IPSecVPN总部与分支网络之间的技术建立VPN线路,建立总部和分支专线的虚拟备份链路。SSLVPN出差人员可以方便异地接入内部网络、资源和服务,保证移动安全办公的需要。四是防火墙连接配置。首先配置连接网络。在网桥模式下,先用现有的网络设备连接网络,再在路由器与核心交换机之间安装防火墙。在网关模式下,先配置相应的防火墙接口参数,再连接网络。网络连接后,添加相应的包过滤规则或全通规则,测试防火墙内外网络数据是否可达。二是配置路由参数。选择网络通用路由协议配置相应的路由参数。最后,测试私有网络与公网的连通性。由于运营商网络上没有私网段,私网访问公网时需要配置NAT规则:公网访问私网时,配置端口映射或IP映射规则,添加映射规则后,还必须添加相应的包过滤规则才能生效。
