基于下一代防火墙的企业网络安全探究

苏朝宏 张雪琳 白玉广 胡亚静 王贺 韩瑞琦

【关键词】企业;网络安全;下一代防火墙

针对下一代防火墙，它本身可以实现对应用层威胁的有效应对。通过深度过滤网络流量之中的用户、内容与应用，再搭配全新的高性能并行处理引擎，可以满足网络的一体化安全防护要求，并且帮助用户更加全面地实现用户网络安全架构的简化。目前，网神防火墙、深信服NGAF、华为NGFW等都是主流的防火墙产品，已经在科研、医疗、教育、政企等多个行业之中得到广泛的利用，需要重点关注其对于下一代防火墙在网络安全防护之中的合理应用。

（一）下一代防火墙

在防火墙诞生之后，其经过了一系列的技术革命，即过滤、代理与状态监视技术。在传统模式下，使用防火墙主要是实现对于风险的有限抵抗，但是其效率偏低，并且防护成本偏高。在安全性方面略有不足。但是下一代防火墙的使用。就能够很好地满足现阶段的实际要求，其直接跨越了协议与端口的阻断和检测，实现应用层检测与入侵防护的有效增加，其具体的防御体系见图1所示。

（二）下—代防火墙的比较优势

针对下一代防火墙，不仅剔除了传统防火墙之中的网络地址转换、包过滤、状态检测、VPN等技术之外，还能实现对诸多传统防火墙缺陷的弥补。第一，多模块功能的集成联动，如病毒检测系统、入侵防御系统、VPN等，这样就实现传统防护设备叠加部署以及串糖葫芦式部署模式的有效转变，在节约成本的基础上实现对单点故障和网络瓶颈的消除，并且还可以提升处理的检测速度，多模块联动提升响应速度以及日志整合提高检测效率。第二，针对网络的二到七层检测能力，有效实现传统防火墙包基于IP和端口检测的局限性，主要是应用为粒度设置过滤和安全策略，以此来实现用户管理应用的有效辅助。第三，数据包深度检测，通过数据包的深层次协议解码、模式匹配、内容解析等，就可以完全解析数据包内容，查找内容安全策略来实现匹配。针对下一代防火墙，要求利用HTTPS代理功能，从而针对SSL加密数据做好对应的解密分析处理，针对邮件之中的非法信息进行检测。第四，可视化界面配置，与先进的技术理念相互结合起来，让设备的配置更加简化，完善功能，这样就可以让人员从原本复杂的配置命令之中直接解放出来，而更加关注配置规则的现实意义。

为了探讨基于下一代防火墙的企业网络安全管理策略，选择某企业的具体网络安全策略配置进行分析，希望可以满足企业的实际发展需求。

（一）基本信息

选择某企业作为实际的研究分析案例，在企业经过多年的信息系统完善和业务发展，信息化初具规模。建立有专门的数据中心机房。拥有40多台交换机、50多台服务器，并且和下属单位以及各个地区的项目部有网络互联。从建设的初期阶段开始，就直接选择千兆到桌面的设计，在骨干的部分，主要是考虑到全千兆单模光纤到双核心的设一种设计;针对互联网的出口，则直接选择电信与联通的商务光纤，其本身能够直接连接到数据中心机房，并且相对应的链路都完成了冗余互备。

（二）防火墙安全策略配置

在本企业的网络拓扑之中，防护墙与外部互联网直接连接。属于网络的出口。在访问控制中，防火墙配置是关键，需要用户基于实际的需求来针对防火墙的各种防火控制权限的有效定义。对于防火墙之中的所有数据而言，在检查与匹配的环节，要求能够按照基于yoghurt定义策略规则来进行处理。通过下一代防火墙NGAF1720-TH进行击退分析，其本身的网络安全就是可视化的，并且也可以针对用户的身份实现智能的识别，同时，也可以满足基于用户与实际应用的访问策略的控制处理，最终就可以满足实际的流量管理的要求。在具体的配置方面还需要做到：

1、接口属性配置。基于目前的防火墙配置，做好对应的接口属性设置。并且利用联通线路接入到出口防火墙，合理配置对应的接口属性。

2、路由配置。将原本的Cisco防火墙路直接通过信息配置到深信服应用防火墙，然后添加新的网络静态路由，1722.2210.Y255.255.255.0路由是到财务网段，172.22.0.0/255.255.255.0路由是到视频会议，并且还添加了策略路由，这样就可以让内网的用户在访问中走不同的电信线路与联通线路。

3、SNAT地址转换。通过新增源地址的转化策略，基于公网地址。就可以满足内网地址对于互联网的访问。但是需要考虑到两条外网线路的存在，这就要求能够落实两条源地址转换策略的实施。

4、DNAT地址转换策略。通过端口，利用外网服务器业务的分布，从而实现对于外网的映射，这样也有利于后续的访问处理。并且，通过SSL、VPN联通地址转换条目的添加，可以让电信和联通线路都实现SSL、VPN的访问。

5、安全配置。在安全配置方面还需要确保通过相应的策略让各个区域之间正常流量放通，并且应用防火墙时要开启防DOS攻击、WAF、IPS功能。从而满足对于服务器以及内网的安全防护。针对网络拓扑图。具体见图2所示。

总而言之，随着时代的不断发展。基于传统防火墙作为基础，下一代防火墙拥有更为强大的设备性能、安全防护功能以及网络功能，这样就可以满足优化配置的处理要求。因此，在今后的研究中要重点关注下一代防火墙的基本性能，以此来保障对于企业网络安全的有效维护，这无论是对于下一代防火墙技术本身的發展还是对于企业网络的安全防护都能够起到良好的保护作用，具有重要的现实意义。