九宮八陣圖之天覆陣——防火牆

摘要：防火牆是一種防禦邊界安全的閘道器裝置，能進行智慧狀態檢測，保護內網不受侵入，同時免受網路黑客、DDos等攻擊，是網路防護的第一道屏障，也是所有安全裝置包括VPN、IPS、AV、IDS、UTM等陣容之主力。

九宮八陣圖之天覆陣——防火牆

天覆陣：天陣十六，外方內圓，四為風揚，其形象天，為陣之主，為兵之先。善用三軍，其形不偏。

天覆陣是一種防禦陣型，同時能降低敵方命中機率和攻擊速度，通過增加防禦力和抗攻擊力以提升整個陣型的防禦能力。

防火牆是一種防禦邊界安全的閘道器裝置，能進行智慧狀態檢測，保護內網不受侵入，同時免受網路黑客、DDos等攻擊，是網路防護的第一道屏障，也是所有安全裝置包括VPN、IPS、AV、IDS、UTM等陣容之主力。

--------------------------------------------------------------------------------

下一代智慧感控防火牆

一、資訊2.0時代防火牆面臨的威脅

在當今越來越龐大的資訊產業中，資訊保安遲遲跟不上時代的步伐，與歷近數年來發展勢頭突飛猛進的雲端計算、新型網路、海量儲存等新型技術相比，安全行業的處境則是相當尷尬，而安全產業在不斷地發展和投入進入資訊2.0時代之後，面對的卻是越來越多、越來越麻煩的安全新問題，面對未來防火牆的走向，無論是企業還是終端使用者，都不可避免的寄希望於一種對新型防火牆技術需求的嚮往。正是由於不斷擴容的網路設施、快速發展的業務流程、實時變化的部署技術以及隱蔽危險的攻擊，正推動對網路安全性的新需求，那麼使用者所面臨的真實威脅到底是什麼？

1.1、混合應用的威脅

不斷增長的頻寬需求和新應用架構，正在改變協議的使用方式和資料的傳輸方式。基於應用層協議如P2P/IM/網遊/炒股等軟體已經充斥著整個網路，安全威脅將焦點集中在誘使使用者安裝可逃避安全裝置及軟體檢測的有針對性應用執行程式上；在這種環境中，傳統防火牆簡單通過五元組強制要求在標準埠上使用合適的協議和阻止對未打補丁的伺服器的探測，不再有足夠的價值。

1.2、雲端計算環境的威脅

以雲端計算為代表的現代資訊體系正變得日益龐大和複雜，對於這類複雜多變的體系，使得雲時代的安全防護重心，從使用者對防火牆簡單的對效能或功能的片面追求，逐步向基於網路之雲的智慧感知與靈活應對轉移。

1.3、惡意網站威脅

在這個資訊爆炸時代，隨著網頁數量的激增，由於一刀切的關鍵字分類技術和本地分類資料庫的限制，無法實現更高、更準確的覆蓋率和更廣泛的URL分類控制，間諜 軟體 站點和那些存在惡意程式碼的站點已經成為網路中不可忽視的威脅之一，當今Web2.0時代急切需要一種有效實用且積極主動的收集分類處理技術。

1.4、IPv4地址耗盡威脅

由於我國IPv4地址資源嚴重不足，除了採用CIDR、VLSM和DHCP技術緩解地址緊張問題，更多的是採用私有IP地址結合網路地址轉換(NAT/PAT)技術來解決這個問題，通過NAT技術接入網際網路，這不僅大大降低了網路傳輸的速度，且安全性等方面也難以得到保障，這樣使得IPv4網路面臨各種威脅， 安全 性支援不夠、缺少服務質量保證所帶來的挑戰前所未有。

1.5、高流量導致的效能威脅

伴隨著IT世界進入到另外一個嶄新的平臺--客戶端/伺服器到按需雲服務的轉變--眾多企業使用者紛紛在思索如何調整或者升級他們的系統以滿足網際網路時代的處理需求。大量的資料負載也逐漸過渡到越來越多的中小型企業使用者業務中來，使得 防火牆 的轉發效能和延遲有了更高要求。

1.6、黑客攻擊威脅

普通防火牆大多安裝在一般的作業系統上，如Linux、Unix等系統。在防火牆主機上執行的除了防火牆軟體外，所有的程式、系統核心，也大多來自於作業系統本身的原有程式。當防火牆主機上所執行的軟體出現安全漏洞時，防火牆本身也將受到威脅。此時，任何的防火牆控制機制都可能失效，因為當一個黑客取得了防火牆上的控制權以後，黑客幾乎可為所欲為地修改防火牆上的訪問規則，進而侵入更多的系統。因此防火牆自身應有相當高的安全保護。

二、防火牆如何防禦新時代的威脅

2.1、應用感控技術

應用感控技術不同於傳統的基於埠和協議的狀態包過濾技術，這種技術能通過流量識別網路上的應用程式，基於應用ID進行智慧識別與控制，同時，可以辨別出來自同一網站的不同應用並且可以啟用服務質量選項為這些應用優先分配頻寬。達到了六元組的新型智慧應用過濾技術，既可以進行應用識別，也可以做到對應用的細粒度控制。

2.2、雲安全防禦技術

雲安全防禦技術融合了並行處理、 網格計算 、未知病毒行為判斷等新興技術和概念，通過網狀的大量 客戶端 對網路中軟體行為的異常監測，獲取網際網路中木馬、惡意程式的最新資訊，傳送到伺服器端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。實現立體全面的防護。

2.3、WEB主動過濾技術

這種技術通常認為是在UTM上實現，但在下一代防火牆中，這種需求也越來越明顯，實際上Web過濾是指上網監控功能，具備內容過濾的安全閘道器通過多重過濾與保護，對內容和網址進行監控，對內容不良的網站實行過濾，從而實現對網路內部人員上網進行監控URL的遮蔽列表。

2.4、IPv6網路的安全技術

雖然IPv6在網路廠商應用較為廣泛，但在安全廠商中，支援IPv6的網路安全產品（如防火牆、UTM、IPS等）還是較少，具體功能包括：IPv6環境下的狀態包過濾、靜態路由、OSPF動態路由、FTP、ALG等基本安全控制，以及IPv6/v4 雙協議棧功能；裝置在同一資訊保安網路中同時支援 IPv4 和IPv6協議的安全控制日漸得到關注。

2.5、高效能多核技術

高效能多核技術為工程師們開啟了另一扇門—它是把更多的CPU壓在一個晶片當中以提高整個晶片處理交易事務的能力。以8核為例，在一塊CPU基板上整合8個處理器核心，通過並行匯流排將各處理器核心連線起來，一般多核晶片都會整合一些針對比較耗費資源處理的硬體加速引擎。比如XLR內建的網路加速器可以對從網路介面進入XLR的資料包進行高速預處理。拿乙太網包舉例，XLR的網路加速器可以對乙太網包2層、3層、4層的內容進行辨析，提取特徵串，自動完成校驗和驗證，把包DMA（Direct Memory Access）到記憶體，構造乙太網包描述符（Descriptor），然後可以基於多種策略把乙太網描述符快速均衡的分流到指定的vCPU。這樣，既可以提升網路層處理效能，也可以加速處理應用層檢測速率，小包效能以及併發數顯著提升，並且多核晶片內建應用加速安全引擎，在硬體層面上就可以支援AES，DES/3DES,SHA-1,SHA-256,MD5演算法，最大可提供10Gbps的VPN加密解密運算能力。

2.6、防火牆自身的高安全技術

如果防火牆系統本身被攻擊者突破或迂迴，對內部系統來說它就毫無意義。因此，保障防火牆自身的安全是實現系統安全的前提。一個防火牆要抵禦黑客的攻擊必須具有嚴密的體系結構和安全的網路結構。 不同型別的拒絕服務攻擊。理想情況下，防火牆應該採取直截了當的方式，比如將資料包打回或乾脆關閉防火牆的方式。

三、防火牆現狀與發展趨勢

隨著網際網路新型網路應用、攻擊、病毒的出現，以前的老套安全防護技術，遲遲未能得到革命性的進展。就防火牆來說，雖然也經過了幾代的發展，從軟體到硬體、從百兆到千兆以及萬兆，再從單核到多核，但其根本的被動防護原理卻基本沒有改變，這也使得其面對變幻多端的“雲”威脅時，總是捉襟見肘，難以應對。人們不禁要問，新時代的安全出路究竟在哪裡？

當前防火牆技術也有一些新的發展趨勢。這主要可以從分級過濾技術、防火牆體系結構兩方面來體現。

3.1、防火牆分級過濾技術發展趨勢

所謂多級過濾技術，是指防火牆採用多級過濾措施，並輔以鑑別手段。在分組過濾(網路層)一級，過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級，遵循過濾規則，過濾掉所有禁止出和入的協議和有害資料包如nuke包、聖誕樹包等;在應用閘道器(應用層)一級，能利用FTP、SMTP等各種閘道器，控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火牆技術的不足而產生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。

這種過濾技術在分層上非常清楚，每種過濾技術對應於不同的網路層，從這個概念出發，又有很多內容可以擴充套件，為將來的防火牆技術發展打下基礎。

3.2、防火牆的體系架構發展趨勢

隨著網路應用的增加以及雲端計算的發展，對網路頻寬提出了更高的要求。這意味著防火牆要能夠以非常高的速率處理資料。另外，在以後幾年裡，多媒體應用將會越來越普遍，它要求資料穿過防火牆所帶來的延遲要足夠小。為了滿足這種需要，一些防火牆製造商開發了基於ASIC的防火牆和基於網路處理器的防火牆。從執行速度的角度看來，基於網路處理器的防火牆也是基於軟體的解決方案，它需要在很大程度上依賴於軟體的效能，但是由於這類防火牆中有一些專門用於處理資料層面任務的引擎，從而減輕了CPU的負擔，該類防火牆的效能要比傳統防火牆的效能好許多。但這也存在很多問題，ASIC主要處理網路層資料，而當今應用層已經佔據半壁江山，雖然起到加速作用，但效果甚微，另一方面，由於ASIC對新建併發、最大併發連線並不起多大作用，防火牆的併發瓶頸並未得到真正解決，人們更多的傾向於多核MIPS技術，所以，多核多執行緒並行處理技術既能解決高併發的問題，也能處理應用層協議，這一方向得到了多數安全廠商的認可。

四、重新定義的下一代防火牆

傳統防火牆指的是一個由軟體和硬體裝置組合而成、在 內部網 和外部網之間、專用網與公共網之間的邊界上構造的保護屏障。是一種獲取安全性方法的形象說法，使Internet與Intranet之間建立起一個 安全閘道器 ，從而保護內部網免受非法使用者的侵入。

下一代防火牆是一個能辨別新的未知的應用型別，通過實時感知和控制網路流量中動態更新的威脅資訊，進行主動應變的智慧化綜合閘道器裝置；同時能與其他裝置聯動組成的綜合防禦陣營體系。具備一種能動態化和智慧化收集彙總技術，充分利用“雲”進行動態實時的威脅資訊集中取樣與共享，它可以持續收集威脅的更新資訊，這種更新的資訊包括網際網路上已知威脅的詳細資訊，連續攻擊者、殭屍網路收穫者、惡意爆發和黑網等。通過將這些資訊實時傳遞到防火牆中，可以在殭屍網路等惡意攻擊者有機會損害重要資產之前及時過濾掉這些攻擊者，從而最終實現主動應變的安全堡壘。

未來的防火牆產品由於在功能性上的擴充套件，以及應用日益豐富、流量日益複雜所提出的更多效能要求，會呈現出更強的處理效能要求，許多產品都會在防火牆處開啟資料包進行檢測。且如允許資料包通過，裝置會將資料包重組，併傳送至IPS處，由其在第7層而非第3層進行檢測。下一代防火牆的出現使得現有的此類技術如：UTM、防火牆、與IPS間的界線更為模糊，同時，利用下一代防火牆，還可將這些功能都整合到一個單一的CPU中，使用一個時鐘週期及一個路徑或流量，因此具有低延遲性。同時，因為其取代了多個裝置，還具有低成本高效的優點。下一代防火牆不僅具有業務應用感控功能，還具有使用者身份識別特性，可提供更多的威脅情報。隨著防火牆更新週期的自然到來、頻寬需求的增加和攻擊的新特性，促使更新防火牆越來越快的出現，大型集團、政府、電信、金融、軍隊等各行各業將用下一代防火牆替換已有的防火牆。

五、如何選擇下一代防火牆

5.1、軟體體系方面

首先，判斷一款防火牆是否具備前瞻性，是否有能力為使用者進行客製化的功能擴充套件，是否保障穩定可靠，核心的技術就是該防火牆在軟體設計方面是不是自主創新設計，而不是採用通用系統（如Linux、Unix等）進行改造。下一代防火牆的軟體體系，其應用功能的各個環節都應該基於核心的自主創新安全的作業系統平臺，必須從基礎建設做起，類似於下一代通用安全系統平臺VSP（Versatile Security Platform），是一種基於硬體、軟體、管理三種平臺相融合的專用安全平臺，集實時作業系統、網路處理、安全應用等技術於一身，具有高效、智慧、安全、健壯、易擴充套件等特點；充分考慮到基礎建設，採用有效的智慧應用感控技術，隨時應對複雜應用的高安全需求。

5.2、硬體架構方面

當今的網路可以理解為一個大型的區域網以及無數個小型的區域網，所以，適合使用者的是不同硬體架構，不同效能的多系列防火牆產品，所以，選擇防火牆時對硬體架構的評估也是首當其衝的，無論是IXP、X86、ASIC還是多核等硬體架構，適合使用者自身的網路安全需求才是最好的安全產品；首先需要明確的是廠商各系列防火牆所對應的硬體架構著作權，比如ASIC防火牆，就需要查清是否具備ASIC並行操作平臺（或系統）著作權，當然，對於高階使用者，硬體架構面臨著高效能、多業務的應用，業界很多廠商開始宣傳多核防火牆，有的甚至拿X86多核來混淆使用者，但什麼才是真正的多核架構，如何判斷多核防火牆更需要明確。當前，業界多核廠商主要有RMI和Cavium，其推出的基於MIPS架構的嵌入式多核處理器，與X86、X86多核以及ASIC相比，多核處理器每個核可以模擬出8、16或32個虛擬的處理器單元，並可在配置介面上針對每個CPU執行的狀態、利用率進行監控，另外，比較明顯的區別在於防火牆最大併發連線和新建連線數的指標值不同，真正多核最大併發連線數在400萬以上、每秒新建連線在10萬以上。

 

5.3、方案部署方面

對於使用殭屍網路傳播方式的威脅，傳統防火牆的部署模式基本上是看不到的。隨著面向服務的架構和Web2.0使用的增加，更多的通訊通過更少的埠(如HTTP和HTTPS)和使用更少的協議傳輸，這意味著基於埠/協議的政策已經變得不太合適和不太有效。使用者在選擇下一代防火牆的部署方案時，需要認清防火牆是否在不同信任級別的網路之間實時執行網路安全政策的聯機控制，是否支援新資訊饋送和新技術整合的升級路徑來應對未來的威脅，收集外來資訊來做出更好的阻止決定或建立優化的阻止規則庫方案。

5.4、使用者體驗方面

下一代防火牆在使用者體驗方面首先就是要看其軟體的簡潔性，如果不易配置與管理，且介面看起來比較老派，那麼該產品也就有可能是過時產品。如果需要利用命令列進行繁雜的後臺工作，則肯定是利用過時程式碼編寫的產品，因為現在已經沒人會再利用那種介面來編制程式碼。

5.5、雲防禦技術方面

隨著人們對雲端計算的質疑聲越來越少、越來越弱，雲端計算作為IT發展的下一個關鍵方向已經基本得到了確認。雲端計算如此高效，正讓整個IT行業發生變革，然而安全性問題始終困擾著雲端計算。雲端計算服務自身的安全隱患隨著應用的不斷深入逐漸暴露出來。作為下一代防火牆，必須具備技術前瞻性，從“雲”開始出現的第一天起就要考慮其安全性，給“雲”提供必要的安全措施也是很重要的，提供安全隔離。

5.6、網路防攻擊方面

下一代防火牆在網路攻擊方面首先需要很容易處理以下的威脅，如DDoS攻擊、DNS攻擊、病毒、間諜軟體、漏洞/入侵、蠕蟲、殭屍網路、木馬等攻擊；其次能精確地應用識別(無論是埠，協議，ssl還是其他的逃避策略，在應用層訪問/功能之上的細粒度的識別和策略控制，實時的保護來對抗嵌入在跨應用的威脅。

六、網禦下一代防火牆安全解決方案

網禦下一代防火牆分為KingGuard萬兆系列、Super V高階系列、Power V中高階系列和Smart V低端系列，共計80餘款，可為各種規模的企業和政府機構網路系統提供相適應的產品。網禦防火牆已在稅務、公安、政府、軍隊、能源、交通、電信、金融、製造等各行業中部署50000臺以上。KingGuard、Super V系列採用高效能的RSIC多核架構，並結合國內首創的WindRunner矩陣式並行處理技術，將多顆CPU排成矩陣，在對網路資料流進行IPv4/IPv6雙協議棧的策略匹配、抗攻擊、內容過濾、加解密、QOS、日誌等多項業務處理時，採用平行計算和流水線兩個維度進行並行處理，確保了高安全的前提下的高效能處理。Power V系列採用基於應用識別的綠色上網控制模組，並在Power V-4000及3000系列整合了專用ASIC加速硬體晶片，使得小包高達10Gbps；Power V是已部署3萬多臺套的高可用多威脅統一管理的下一代防火牆系列。Smart V系列是整合防火牆、VPN、交換機、主動防禦等功能於一身，可採用機架型和桌上型兩種裝置部署方案，適合各類大集團的分支機構、區縣級政府機關、小型企業及SOHO使用者。

在應用感控與雲安全技術方面，網禦下一代防火牆結合VSP、USE、MRP等核心安全技術，通過智慧感控技術收集攻擊檢測源和掛馬網站URL等特徵，，與已部署的防病毒閘道器、IPS、UTM、Guard等裝置聯合抓取病毒源、攻擊檢測源和掛馬網站URL等特徵，彙集至雲防禦伺服器定時收納合並，雲防禦伺服器動態更新病毒庫、攻擊特徵庫、掛馬庫等並同步到所有網禦安全閘道器裝置中，使其他裝置也具有防病毒、IPS、防掛馬等功能，同時使其具備更高的處理效能，共同形成整體可信架構雲防禦體系。網禦公司提前部署可信架構“雲防禦”體系，主動防禦未知威脅，網禦下一代防火牆在不斷變化的威脅環境、不斷變化的業務IT流程、不斷更新的雲威脅下，為使用者提供真正有價值的資訊保安整體防護方案，使資訊保安3.0時代提前到來。