漫谈下一代防火墙发展趋势与应用实践
何晓敏
[摘 要]随着越来越重要的信息应用以互联网作为运行基础,用户面临的威胁形形色色,各类网络安全问题日益突出。尤其是黑客、计算机病毒对网络安全的危害,使得人们不得不重视防火墙技术。防火墙是一种行之有效的网络安全机制,是在网络的内部与外部之间实施安全防范的系统安全。只有了解了现有防火墙的安全特征,才能完善安全防范手段,实现下一代防火墙的安全使用。根据互联网目前的系统管理现状,本文就针对下一代防火墙的安全特征进行分析,探讨其未来发展趋势。
[关键词]下一代防火墙;安全特征;发展趋势
中图分类号:TM215 文献标识码:A 文章编号:1009-914X(2017)12-0311-01
前言:在信息化潮流的引导下,互联网的飞速发展给人们的生活带来便捷,人们对互联网的依赖程度加大。但是,近年来计算机网络面临的威胁越来越多的人为攻击事件,数量剧烈上升趋势。人们的利益受到威胁,对互联网的放火墙安全性能产生不信任。所以,下一代防火墙的安全性值得我们探究和思考,争取解决下一代互联网的安全威胁。
1.研究防火墙安全特征
1.1 互联网面对的安全威胁
自莫里斯蠕虫病毒出现以来,病毒的数量呈爆炸式增长,安全漏洞数量增长较快,系统或软件的严重级别漏洞增多。同时,黑客等网络不法分子通过网络技术,攻破用户防火墙,带来安全威胁。对于银行系统、商业系统、政府和军事领域而言,这些比较敏感的系统和部门对公共通信网络中存储与传输的数据安全问题尤为关注。目前,最常见的安全问题是网络协议和软件的安全缺陷、计算机病毒、身份信息窃取、网络钓鱼诈骗及分布式拒绝服务。其中计算机病毒并不独立存在,而是寄生在其他程序之中,所以,它具有隐蔽性、潜伏性、传染性和极大的破坏性。身份信息的窃取也是值得我们注意的。随着互联网金融的发展,人们的身份信息与银行资产很容易被黑客侵入,个人和企业的信息轻而易举被窃取,造成巨大损失。以上种种安全问题都需要下一代防火墙提高安全特性。
1.2 目前防火墙的安全技术标准
在2005、2006年,防火墙标准进行了重新编制,只针对包过滤和应用级防火墙技术,其中代理服务器要求和并列到应用级防火墙技术中进行描述。先后形成了《GB/T20010—2005信息安全技术包过滤防火墙评估准则》。GB/T20281—2006标准则吸收了原来国家标准的所有重要内容。该标准将防火墙通用技术要求分为功能、性能、安全和保证四大類。其中,功能要求是对防火墙产品应具备的安全功能提出具体的要求,包括包过滤、应用代理、内容过滤、安全审计和安全管理等;安全要求是对防火墙自身安全和防护能力提出具体的要求;保证要求则针对防火墙开发者和防火墙自身提出具体的要求。性能要求是对防火墙产品应达到的性能指标做出规定。同时,将防火墙产品进行安全等级划分。安全等级分为三个级别,逐级提高,功能强弱、安全强度和保证要求的高低是等级划分的具体依据,功能、安全为该标准的安全功能要求内容。这是我国信息安全标准中第一次将性能值进行量化的标准。
1.3 采用防火墙系统的必要性
随着越来越多重要的信息应用以互联网作为运行基础,信息安全问题已经成为威胁民生、社会、甚至国家安全的重要问题。从计算机网络安全技术的角度来看,防火墙是指强加于两个网络之间边界处,以保护内部网络免遭外部网络威胁的系统或者系统组合。防火墙技术作为保护计算机网络安全的最常用技术之一,当前全球约有三分之一的计算机是处于防火墙的保护之下。防火墙在不危机内部网络数据和其他资源的前提下,允许本地用户使用外部网络资源,并将外部未授权的用户屏蔽在内部网络之外,从而解决了因连接外部网络所带来的安全问题。
2.分析下一代防火墙的发展趋势
2.1 防火墙发展的新技术趋势
就目前国内形势而言,下一代防火墙发展的新技术趋势有四方面。随着运行商、金融、大型企业的数据中心等用户对安全的关注,对防火墙高吞吐量、高性能连接处理能力的要求越来越迫切。传统的硬件构架已经无法满足用户的需求,因此多核处理,ASIC加速芯片处理等技术纷纷登场,高性能成为新的技术趋势。虽然IPv6在目前推广和普及的力度较大,但新的安全问题也逐渐产生。在纯IPv6网络中,IPv6端与端的IPSec以及最终拜托NAT的发展构架对防火墙产品的冲击影响较大,但在IPv4/6共存阶段,针对不同过渡协议混杂的背景,防火墙产品还是有着技术发展和实现的需求,所以使防火墙适用于IPv4/6也是重要技术趋势之一。基于防火墙用户的配置策略,应用深层控制技术开始越来越多的被提及。同时,随着云时代的到来,各类云服务逐渐进入普通大众的生活。防火墙的安全性能也伴随着云技术的发展开发出云服务虚拟化技术。
2.2 下一代互联网高性能防火墙标准
据国家标准化管理委员会2013年下达的国家标准制修订计划,对原有《GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法》进行修订,由于下一代互联网的特性是防火墙功能属性,所以维持原有标准名称。该标准与GB/T20281-2006的主要差异是增加了高性能防火墙的描述,增加了防火墙的功能分类,加强了防火墙的应用层控制能力,增加了下一代互联网协议支持能力的要求,级别统一划分为基本级和增强级。该标准安全功能主要对产品实现的功能进行了要求。主要包括网络层控制、应用层控制和安全运维管理三部分,其中网络层控制主要包括包过滤、NAT、状态检测、策略路由等方面。这些安全功能新标准要求将大大提高下一代防火墙的安全特性。在环境适应性要求方面,该标准对下一代防火墙产品的部署模式及下一代互联网环境的适应性支持进行了要求。同时,该标准的性能要求对下一代防火墙的吞吐量、延迟、最大并发连接数、最大连接速率和最大事务等性能指标进行了要求。
2.3 网络安全的实现
网络安全的实现是多方面的。访问控制是网络安全防御和保护的主要策略。进行访问控制的目的是保护网络资源不被非法使用和非法访问。控制用户可以访问网络资源的范围,为网络访问提供限制,只允许访问权限的用户访问网络资源。且随着当前通信技术的快速发展,用户对信息的安全处理、安全存储、安全传输的需要也越来越迫切,并受到了广泛关注。信息在网络传输的安全威胁是由于TPC/IP协议所固有的,因此数据加密技术成为实现计算机网络安全技术的必然选择。病毒防护主要包括计算机病毒的预防、检测与清除。最理想的防止病毒攻击的方法就是预防,在第一时间内阻止病毒进入系统。攻击防御对网络及网络设备的传输行为进行实时监视,在恶意行为被发动时及时进行阻止,攻击防御可以针对特征分析及分析做出判断。同时,网络安全建设“三分技术,七分管理”。因此,除了运用各种安全技术之外,还要建立一系列安全管理制度。使下一代防火墙真正的起到安全作用。
结语
总而言之,事物的发展过程是曲折的,前途是光明的。随着人类在经济、工业、军事领域方面越来越多地依赖信息化管理和处理,由于信息网络在设计上对安全问题的忽视,以及爆发性应用背后存在的使用和管理上的脱节,使互联网中信息的安全性逐渐受到严重威胁,实用和安全矛盾逐渐显现。而下一代防火墙的安全特性随着互联网的发展是不断改进,进行高性能技术的研究,已有所成果。所以,关于下一代防火墙的安全特性我们要抱有积极的态度。
参考文献
[1] 吴秀梅.防火墙技术及应用教程[M].北京:清华大学出版社.2010.
[2] 黎连业,张维.防火墙及其应用技术.清华大学,2004.
