◆陈志忠

(四川邮电职业技术学院 四川 610067)

下一代防火墙（NGFW）特性浅析

◆陈志忠

(四川邮电职业技术学院 四川 610067)

应用层受到攻击的概率越来越大，而传统网络防火墙在这方面的检测及防御存在着明显不足，对网络的防护效果不够明显。与传统防火墙相比，下一代防火墙性能有了很大的提升，体现了极强的可视性、融合性、智能化。本文以企业实际应用需求为背景，探讨了下一代防火墙应具备的基本功能，为用户部署下一代防火墙（NGFW）提出实施建议。

下一代防火墙NGFW；网络安全；应用层安全

0 前言

随着计算机、互联网等技术的发展，人们不管是在工作还是生活中都离不开计算机网络。特别是随着信息化、大数据时代的到来，计算机网络在人们日常中发挥着更加重要的作用。据相关部门预测，2017年世界范围内将有47%的用户每个月使用互联网，增幅将达到6.1%。而到了2019年，互联网普及率将高达50%，世界范围内互联网用户将达到38.2亿。而在我国，据中国互联网络信息中心发布的信息可知，2016年底我国互联网用户已经达到7.31亿，互联网普及率为53.2%。而随着计算机、互联网技术的发展和广泛应用，计算机网络安全日益受到人们重视。特别是随着我国进入到“互联网+”时代后，各行各业和计算机的联系更加紧密，也使得计算机安全问题成为“互联网+”时代中较为重要的一个问题。

1 第一代防火墙的缺点

越来越多的企业，开始利用计算机、互联网技术等进行信息化建设，通过信息化建设实现企业的信息管理，如人力资源管理、员工培训管理等。互联网技术的引入有效提高了企业各类事务的管理水平，进而提高了企业竞争力。但企业在开展信息化的同时，由于互联网具有较强的开放性，企业信息系统容易受到各类网络攻击。另外操作系统存在的漏洞也将影响系统安全。因此企业在系统应用过程中，一般都安装了防火墙，以应对网络安全问题。企业在应用防火墙时，大多采用的是第一代防火墙，这一防火墙技术主要存在如下缺点：

1.1 安全监测方式陈旧

企业中应用的第一代防火墙技术，系统主要是对数据包的IP、端口等进行识别判断。而具体判断识别时，并没有实现数据包的深度分析，也不清楚数据包的具体类型，更无法实现应用层功能，因此安全问题无法保证。

1.2 无法抵御应用层的网络攻击

应用层中，遭受到的网络较多，但第一代防火墙一般是在网络层、传输层中工作，针对应用层的网络攻击，第一代防火墙无法有效地应对和防御，从而使得企业服务器依然经常遭受网络攻击，影响企业信息安全。

1.3 花费成本、维护成本高

第一代防火墙应用时，为了实现网络安全目的，需要借助于其它软件设备和防火墙技术共同发挥作用。即第一代防火墙应用时还需要配置其他软件设备，因此这一网络安全保障时花费的成本较高。而不同的软件设备，为了发挥出其作用，需要对其进行维护，因此相应维护成本也较高。

基于第一代防火墙的缺点，主要应用于应用层安全防御的下一代防火墙产生和发展起来，随着下一代防火墙的出现和发展，下一代防火墙开始在企业信息化建设中得到应用。

2 下一代防火墙功能特性

下一代防火墙(Next generation firewall,简称 NGFW），是相对于第一代防火墙技术而言的。随着云计算、移动互联网等技术的发展，为了消除应用层安全威胁，下一代防火墙技术产生。下一代防火墙技术能为用户提供提供应用层一体化的防护。集成式入侵防御系统、可视化运用识别、智能防火墙、高性能等是下一代防火墙所具备的基本要素，在这些要素的整合下，实现对应用层安全威胁的防御。如图1所示为下一代防火墙网络拓扑结构图。

图1 下一代防火墙网络拓扑结构图

2.1 在任何端口上识别和控制应用程序

下一代防火墙应用时，除了对标准端口进行识别、控制外，还能实现所有端口的识别和控制。目前很多软件研发时，越来越多的应用程序都是在非端口上、跳端口等实现的。而第一代防火墙技术只能对标准端口进行识别、控制，因此为了保证应用程序的安全，就需要采用下一代防火墙。下一代防火墙应用时，可以上任何端口上应用，并在其所在端口上，根据应用实现了信息流的分类，以保证应用程序的安全。

2.2 用户身份识别

下一代防火墙能对用户身份进行识别，这是下一代防火墙的另一大特性。本地通信设备、用户等如果不合法，则会给系统带来安全威胁，因此下一代防火墙中具备的认证系统，能够实现对网络进出通信的用户身份、类型识别，并对数据接收者的用户身份进行判断，从而实现数据的有效传输，这些都是用户身份识别的表现。

2.3 恶意软件检测

下一代防火墙还具备恶意软件检测特性。根据业务行为学习构建动态安全模型，下一代防火墙对服务器等应用程序中出现的各种异常行为进行偏离度分析，从而对存在的恶意软件进行检测。如网络爬虫、扫描攻击、信息泄露等都能检测出来，以保证应用层的安全。

2.4 具备应用程序控制功能

企业信息化建设主要是提高企业管理水平、员工工作效率的，因此就需要对应用程序进行控制，而下一代防火墙中则具备了应用程序控制功能。应用程序控制主要是以用户身份、角色、应用特征等为基础搭建出程序控制策略，也可以通过用户名、域名等的扩充、系统日志、系统报表等记录和表现出来应用程序日常情况，为应用程序控制奠定基础。

2.5 集成入侵防御系统（IPS）功能

操作系统、应用程序运行时面临着严重的安全隐患，黑客会根据系统、程序漏洞等进行网络攻击，给网络带来严重的安全隐患。在下一代防火墙中，集成式入侵防御系统的存在，则能有效应对web、服务器等应用层面临的网络攻击。IPS的存在，能够对数据包进行拆分、检查，并对其类型进行识别，从而判断是否允许该数据包进入。在服务器网络保护方面，主要通过网站攻击防护、口令防护、权限控制、网站扫描、异常检测等方式实现的。随着网络攻击方式等的不断变化，IPS特征库也不断处于更新中，如特洛伊、SQL注入等都包括在其中，因此集成入侵防御系统是下一代防火墙的一个重要特征。

2.6 具备桥接和路由模式

桥接、路由模式是下一代防火墙中的一个重要特性。企业当前应用的防火墙中，并非都是下一代防火墙，很多都是第一代防火墙。而要实现两代防火墙的过度，则需要桥接或路由模式的实现，进而实现下一代防火墙的应用。

2.7 具备为受信远程用户提供应用程序可视化的能力

下一代防火墙还具备为受信远程用户提供应用程序可视化的能力，以实现应用的精细访问控制，保证宽带应用的合理性、安全性。其中，下一代防火墙的可视化能力主要有DPI、DFI两种。DPI即深度数据包监测，该监测除了具备第一代防火墙的作用外，还实现了应用层的分析，即将数据包进行拆分、识别，实现精细访问控制。DFI即流特征监测，将流量特征和后台模型进行比较分析，实现精细识别控制。

2.8 具备使网络安全管理趋于简单

下一代防火墙中，融合了多种硬件设备，并能实现可视化的智能管理，因此下一代防火墙配置简单，管理方便，管理员无需掌握多种管理技术即可实现网络安全管理，因此下一代防火墙还具备网络安全管理趋于简单的特性。在这一特性下，企业在应用下一代防火墙时，只需对网络安全管理员进行简单培训，使其掌握下一代防火墙应用方法、网络实时监控、异常采取措施等，便能实现网络安全管理。

2.9 具备服务质量和带宽管理功能

下一代防火墙还具备服务质量和宽带管理功能特性。为了保证服务质量，下一代防火墙的应用，能够对企业内网用户应用进行相应控制，防止由于过多访问、下载现象所导致的占用宽带数据流量，从而影响网络其它程序的正常应用，从而保证了系统应用的服务质量。同时，管理员也能对网络使用情况进行定期查看，并根据应用情况确定其合适的应用带宽，实现带宽的有效管理。

3 结语

随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。下一代应用层防火墙技术克服了传统“边界防火墙”的缺点，集成了IPS、防病毒等安全技术，实现从网络到服务器以及客户端全方位的安全解决方案，满足企业实际应用和发展的安全要求。

[1]西安交大捷普网络科技有限公司.下一代防火墙技术探讨[J].信息安全与通信保密，2014.

[2]陈科.做更完善的下一代防火墙[J].中国政府采购，2014.

[3]庞博，张宝峰，张骁等.我国下一代防火墙的现状与发展[J].中国信息安全，2014.

[4]孙浩峰.下一代防火墙进化论[J].网络运维与管理，2014.