浅谈主动式防火墙的技术原理及创新应用

王 杨（民航新疆空中交通管理局，新疆 乌鲁木齐 830016）



浅谈主动式防火墙的技术原理及创新应用

王 杨
（民航新疆空中交通管理局，新疆 乌鲁木齐 830016）

摘 要：随着网络规模进一步扩大和网络资源日趋丰富，云计算、大数据等创新技术蓬勃发展，防火墙作为一种和互联网共生共荣的主流安全技术，在新的互联网+时代将会迎来新的挑战和机遇，基于此，本文对主动式防火墙的技术原理进行分析，并提出创新观点，以供参考。

关键词：网络安全；包过滤；主动式防火墙；下一代防火墙新型防火墙

随着网络规模进一步扩大和网络资源日趋丰富，云计算、大数据等创新技术蓬勃发展，计算机网络安全技术也随之进入了新的时代：复杂性不断增加，异构性越来越高。防火墙作为一种和互联网共生共荣的主流安全技术，在新的互联网+时代将会迎来哪些新的挑战和机遇，我们又该如何设计、部署新型防火墙？笔者将结合工作经验浅谈一下主动式防火墙的技术原理及创新应用。

1 吞吐量是选型关键，立足应用层看“吞吐”

防火墙作为内部网与外部网之间的一种访问控制设备，通常安装在内部网和外部网的交界点上。从技术原理的角度看，防火墙经历了从早期的简单包过滤到今天的状态包过滤技术和应用代理的发展，一步步从被动走向主动，即能够执行不依赖于IP、端口的应用、用户和内容控制策略。实时检测网络流量中的恶意网址、病毒、漏洞利用、间谍软件等行为。

主动式防火墙的基础原理，是对网络应用层中的数据包执行深度检测，也就是将数据包解封到应用层。对于这样的防火墙产品，数据包封装和解封层次越多，CPU的计算负载就会越高。因此，设备的吞吐量成为评估防火墙的主要指标。

在实际工作中，吞吐量的评估指标与测试方法可以如下检测。

（1）UDP裸包处理性能（Raw Packet Processing Performance （UDP Traffic））。

（2）延迟（Latency）。

（3）最大性能（Maximum Capacity）。

（4）无延时情况下的HTTP性能（HTTP Capacity With No Transaction Delays）。

（5）应用平均响应时间（Application Average Response Time： HTTP）。

（6）有延时情况下的HTTP性能（HTTP Capacity With Transaction Delays）。

（7）“逼近真实”的通信（“Real-World” Traffic）。

在实际的防火墙设备选型中，笔者建议主要考核设备在进行应用层处理情况下的转发性能，也就是俗称的应用层吞吐量，如HTTP性能、应用平均响应时间等参数。

2 让应用识别成为管理核心，简化人工干预

新的主动式防火墙能提供基于用户、应用和内容作为管控平台，功能更加强大，这已经意味着访问控制能力由原先的五元组扩充至了八元组，控制一个数据包的访问和转发，可基于用户、源IP、目的IP、源端口、目的端口、协议（端口）、应用类型以及数据内容进行更加精细的过滤，这给管理人员带来了新的难题。笔者在日常维护防火墙策略时，面对网络中大量的防火墙策略，常常也会有很多疑问：哪台主机已经失陷？哪些安全策略从来没被使用过？哪些安全策略被使用得最频繁？

不同的网络技术人员，配置防火墙安全的策略也会不同，这就导致甲配置的安全策略在乙看来是可以删除的，乙配置的安全策略在甲看来是影响效率的。如何才能尽可能减少人为因素，使防火墙安全策略最优化呢？笔者认为，关键还是需要建立具备真正的应用识别能力的防火墙管理系统，笔者认为以下举措值得借鉴：

（1）建立中心化可扩展的防火墙系统结构

建立一个中心化的，能够管理整个系统数据并给予安全管理团队快速响应能力的管理系统，才能化繁为简，用起来得心应手。中心化管理可以在一个应用界面下部署、查看和控制所有的防火墙活动，还可以自动化日常任务、复用元素、部署快速路径和深度调查，以最小的工作成本产生最大的工作成果。

建立中心化可扩展的防火墙体系机构的另一个隐性作用是保护防火墙主机自身的安全。现在，针对防火墙本身的攻击越来越多，防火墙中心化可扩展体系可以结合主机型防火墙和个人计算机型防火墙及传统防火墙功能，取长补短，全方位的优化防火墙的防卫结构。其目的是利用各区域的加强防卫动作来化解对手的攻击行为。各终端设置相应的防护功能，彼此之问相互防护，从而保护个人和企业的业务安全。

（2）部署更多单向防火墙或给防火墙加智能芯片

由于现在网络需求的不断增加，防火墙也有向专业化、硬件化发展的趋势。单向防火墙是为了让信息单向流动，只能从外网流入内网，而不能从内网流出到外网，从而达到一定的保密功能。当然如果将其固化到硬件中，不但会提高防火墙的执行速度，也会大大降低防火墙导致的网络延时。而且如果防火墙嵌入智能芯片则会更有效的识别恶意数据流量和阻断恶意数据攻击且切断恶意病毒的流量攻击。如果防火墙可以基于MAC设计访问控制机制的话，则可以更好的支持MAC过滤，从而将其访问控制发展到数据链路层，这样便可防止MAC欺骗。

（3）为防火墙配置优秀的应用识别引擎

互联网应用程序越来越复杂，增加了防火墙应用识别的难度。比如说，如何识别员工是在用社交应用程序（如Facebook）工作还是游戏？这就需要防火墙具备更强大的识别引擎。如果其不能识别应用则根本谈不上应用层威胁的防御。好的防火墙需要配备一个真正优秀的应用识别引擎，借此知道通过的流量信号是什么，并且知道是谁在使用这个流量信号访问这个程序。应用程序控制要比端口和协议控制高级的多，它可以基于用户身份、角色，网页应用的特征来建立详细的控制策略，更高级的控制还包括扩充用户组、域名、安全传输层协议（TLS）的匹配，以及用报告、日志和统计报表形式表现出来的用户信息和应用程序使用细节。

3 立足现在关注未来，心中始终存有“防火墙”

当今时代是一个云计算和大数据的时代，海量信息被封装为一个个数据包在网络上高速流转，就好像把不同信件装在同样的信封里，大量威胁藏身其中。所以有人说，云计算时代将会意味着防火墙的终结，也有人说，云计算时代代表着防火墙的新一轮繁荣。笔者认为，问题的核心不是防火墙还有没有必要，而是如何让防火墙变得更加强大。比如说提高防火墙的应用“透视化”技术，能够透过信封看到信件，可以根据应用的行为和特征实现对应用的识别和控制；能够实现与多种认证系统（AD、LDAP等）无缝对接，还可以进一步自动识别出网络中当前IP所对应的用户信息，勾画出人—内容—应用的立体画像。

移动互联网时代，任何人都可以拿起手机，在任何时间、地点都可以上网，这还会导致企业将大量敏感资产存储在智能终端上。此时，移动信息泄密的风险远非一道简单的防火墙所能堵住：员工安全意识欠缺、设备被盗丢失，存储数据外泄、不安全的网页浏览、不安全的WiFi、蓝牙连接以及补丁升级不及时导致被入侵等，都可能带来安全隐患。所以说，移动应用无论从产品上还是意识上都在面临一个安全的空窗期，恶意攻击者往往利用这一时期发起更多攻击，亟需新的基于移动互联网的新型防火墙保护安全。

在云计算、大数据和移动互联面前，防火墙技术新一轮挑战也许才刚刚开始！

参考文献

［1］许一凡.防火墙新技术分析［J］.计算机安全，2003（11）.

［2］廉育功.立体防护体系的新手段——联动防火墙［J］.电脑知识与技术（经验技巧），2002（6）.

［3］王晓聪，黄赪东，毕建权，庞训龙，李智强.探析防火墙的现状与发展［J］.信息与电脑（理论版），2013（5）.

［4］孔佳泉.浅谈下一代防火墙及其应用［J］.信息安全与技术，2012（11）.

［5］江峰面向IPv6防火墙的高性能规则匹配关键技术研究与实现［D］.国防科学技术大学，2011.

中图分类号：TP393

文献标识码：A