网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

下一代防火墙俨然已经成为时下安全行业最为火热的安全产品，且业内也有厂商为迎合市场推出了形色各异的下一代防火墙产品，然而对于众多的安全从业人员及用户网络管理人员来说，他们的关注点可能不仅仅是一个个光鲜的概念，而更希望能够从技术层面深入理解下一代防火墙。因此，笔者希望通过本文来帮助大家全面深入地认识下一代防火墙。

统一策略框架

何为统一策略框架?简单来说就是整体考虑系统各模块与安全策略之间的逻辑关系，通过同一套安全策略将处于不同层级的安全模块有效的整合在一起，在策略匹配顺序及层次上实现系统智能匹配。相对来说，传统的安全产品由于模块之间的依赖关系不明确，用户必须理解这些模块间的层级依赖关系，分别做出正确的配置才能发挥最佳的效果，对使用者的要求较高。

因此，下一代防火墙的统一策略框架彻底解决了传统的安全产品多种安全模块之间的冗余及效率低下的问题。

那么统一策略框架到底是如何运转的呢，从上图可以看出，数据流入下一代防火墙之后，大抵会经过三个阶段：

a) 初始数据包筛选阶段

当初始数据包进入统一策略系统后，系统首先会根据传统五元组信息对数据流进行初始分类，然后进行第一次策略匹配。如果发现安全策略为禁止，则该处理流程结束，后续处理过程也不会进行，如果策略显示为非禁止，则执行后续处理流程。

b) 应用分类及筛选阶段

数据流经过初始筛选过后，统一策略框架的应用分类系统会对其进行更加细粒度的区分，形成三种不同的应用类型：已知的非加密应用，加密应用及未知应用。

对于已知的非加密应用，会直接对其进行识别和筛选处理。

对于加密应用来说，统一策略框架需要配置对应的解密策略，如果配置了解密策略，则系统自身的解密引擎会启动，并且根据类似代理的方式对该应用执行解密，同时将解密的应用纳入至已知应用分类中。

对于某些未知应用来说，可以通过数据包抓包，日志捕获等形式将原始数据信息提交至相关的应用签名分析及处理系统中(也可能是应用签名团队)，通过该处理系统执行一系列分析及处理流程，形成新的应用签名更新至应用签名库内。

对于经过上述分类的应用程序，统一策略框架系统会对上述应用进行筛选，此时可以执行的操作可以包括如下：

禁止或者允许某一种或者某一类应用。

允许使用某类应用，但是禁止该类应用的某些动作，如：允许用户使用QQ，但是禁止该用户使用QQ进行视频聊天及文件共享。

有限制的允许，如仅允许某类应用在某特定时间段内被某类用户或者用户组访问。如：仅允许财务人员在周一至周五时间段内访问公司财务数据库。

c) 安全控制阶段

对于经过初步的数据包筛选及精细化的应用程序分类筛选以后，随后会进入安全控制阶段，此阶段可以通过多种多样的安全策略对该目标应用程序执行相关动作。比如上述提到MSN应用，对于MSN应用来说，经过应用筛选后，系统已经对大部分MSN应用做了禁止，但是开放了MSN登录及MSN传输文件的功能，那么我们可以对已经允许的该部分功能进行如下动作：

对于MSN的文件传输进行深度内容扫描，并且执行脆弱性扫描，文件病毒扫描，以及恶意软件检测。

对MSN传输的文件进行流量管理，如限制传输文件的流量不大于1Mbps等。

关键组件分析

如果把统一策略框架比如为一辆高速行驶的马车的话，那么如果要保证马车能够始终快速行驶，那么需要具备两个基本条件：一匹好马及一对经久耐用的车轮，那么同样对于统一策略框架来说如果要保证良好的可用性及运转效率，同样也需要两种关键组件作为支撑，即一体化引擎及应用识别技术。

高效率的一体化引擎

一直以来类似统一威胁管理(UTM)的设备在单一盒子上集成多种安全功能，其性能效率一直被外界诟病。主要原因是UTM仅仅是把多种安全引擎叠加在一起，而不是从底层进行重新架构设计，这样做的结果就是数据流会在每个安全引擎分别执行解码，状态复原等操作，从而导致大量消耗系统资源，所以当UTM启动全部功能时，系统性能大幅度降低也不足为奇了。UTM产品的大致数据处理过程如下图：

而下一代防火墙在设计上采用一体化引擎的架构，这种一体化引擎架构可以保证引擎系统在数据流流人时，一次性的完成策略查找，应用程序识别/解码以及 内容扫描(病毒，间谍程序，入侵防御)等工作，同时结合先进的硬件平台，从而实现最高的处理性能及最小的延迟。下一代防火墙的引擎处理过程如下图：