本期引言：

近年来，随着数字化业务带给我们高效和便捷的同时，信息暴露面的增加、网络边界的模糊化以及黑客攻击的产业化，使得网络安全事件相较以往成指数级增加。传统防火墙基于五元组的方式对进出网络的数据流量进行访问控制，基于网络层特征进行攻击检测与识别。由于Web2.0的普及，通过少数端口和协议的数据流量越来越多，部分应用甚至使用非标准端口，基于端口/协议类检测方式的安全策略不再具有有效性，缺乏对基于应用发起的网络攻击行为的防御。

Gartner于2009年首次提出“下一代防火墙”的概念。下一代防火墙发展至今，也经过了约13年。那么2023年的“下一代防火墙”具备些什么特性呢？本篇就以深信服下一代防火墙为例，来一探究竟。

概念：

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术，其本质就是不同网络区域之间的安全技术（访问控制、入侵检测等）。

下一代防火墙，即Next Generation Firewall，简称NGFW，是一款可以全面应对应用层威胁的高性能防火墙。下一代防火墙不仅具备传统防火墙的功能与特点，同时集成应用层安全防御技术、可视化技术和智能化技术。

深信服下一代防火墙以保障用户核心资产为目标，在传统防火墙的基础上集成丰富的应用层安全功能，为用户提供L2-L7层网络的全面安全防护能力，是一款能够有效应对传统网络攻击和未知威胁攻击的创新网络安全产品。为实现对各类安全风险的有效防御，深信服下一代防火墙集成云端订阅服务、机器学习和大数据分析等业内领先的创新安全技术，增强组织网络边界的安全检测与防控能力，保障网络的正常运行，实现业务的稳定运营。

功能介绍：

深信服下一代防火墙兼容传统防火墙的所有功能特性，包括交换/路由、访问控制、双机热备、抗DDOS攻击、应用代理、DHCP/DNS、VPN等功能，其中入侵防御功能、应用层安全防护功能和病毒防护功能是核心功能。

1.入侵防御

IPS（Intrusion Prevention System）是一种安全机制，通过分析网络流量检测僵尸、木马、蠕虫等恶意威胁入侵，并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。入侵防御实现机制如下：

• 重组应用数据

数据流量进入IPS模块前，会先对IP分片报文重组和TCP流重组，确保应用层数据的连续性，有效检测逃避入侵检测的攻击行为。

• 协议识别和协议解析

根据内容识别出多种应用层协议，并根据具体协议进行精细的解码并深入提取报文特征进行入侵检测。

• 特征匹配

将解析后的报文特征和签名进行匹配，如果命中了签名则进行响应处理。

2.应用层安全防护

根据 Gartner 的调查报告显示，信息安全攻击有 70% 都是发生在 Web 应用层而非网络层面上，同时数据也显示2/3的Web站点都相当脆弱，易受攻击。绝大多数企业将大量的投资花费在网络和服务器的安全上，通常在网络中会部署防火墙、IPS、防病毒等安全产品，但是这类产品对于Http和Https的Web应用层攻击往往无法检测，没有从真正意义上保证 Web 业务本身的安全。

深信服下一代防火墙采用“规则匹配+WISE语义引擎”双重检测机制，针对攻击者发起的应用层攻击行为进行深度检测与阻断，内置5000+主流应用特征库，每两周例行更新，重大时期二十四小时更新，有效识别攻击者发起的各类主流Web应用攻击行为。

3.病毒防护

深信服下一代防火墙采用流模式和启发式文件扫描技术，并使用自研的AI杀毒引擎SAVE，可对HTTP、SMTP、POP3、IMAP、FTP、SMB等多种协议类型的近百万种病毒进行查杀，包括木马、蠕虫、宏病毒、脚本病毒等，同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。

 

典型部署场景

1.网关模式

网关模式是指防火墙产品工作在三层交换模式，深信服下一代防火墙以网关模式部署在网络中，所有流量都经过深信服下一代防火墙处理，实现对用户或者服务器的流量管理、行为控制、安全防护等功能。作为出口网关，深信服下一代防火墙需要保障网络安全，满足多线路技术扩展出口带宽、代理内网用户上网、服务器发布及实现路由功能等。

 

2.网桥模式-单网桥模式

网桥模式是指防火墙产品工作在二层交换模式，深信服下一代防火墙以网桥模式部署在网络中，如同连接在出口网关和内网交换机之间的“智能网线”，实现对用户或者服务器的流量管理、行为控制、安全防护等功能。网桥模式适用于不希望更改网络结构、路由配置、IP配置的环境。

 

3.网桥模式-多网桥模式

深信服下一代防火墙支持多路桥接部署模式，适应多机网络环境要求。在不影响原有双机、双线路前提下，对流经深信服下一代防火墙的所有数据流进行控制、拦截、流量管理、安全检测等操作。

 

4.旁路模式

深信服下一代防火墙以旁路模式部署在网络中，与交换机镜像端口相连，实施简单且完全不影响原有的网络结构，降低了网络单点故障的发生率。此时深信服下一代防火墙获得的是链路中数据的“拷贝”，主要用于监听、检测局域网中的数据流及用户或服务器的网络行为，实现对用户或服务器的TCP行为的管控。

 

5.双机模式-主主模式

为保障网络边界可靠性，深信服下一代防火墙支持两台设备同时以主机模式运行，起到设备冗余与负载均衡的作用。在这种环境中，深信服下一代防火墙以单网桥模式或者多网桥模式部署在网络中。

 

6.双机模式-主备模式

为保障网络边界可靠性，深信服下一代防火墙支持两台设备以双机模式运行。两台设备通过心跳口相连，一主一备，当主设备发生故障时自动切换到备用设备，提高网络的稳定可靠性。在这种环境中，深信服下一代防火墙以单网桥模式、多网桥模式或者网关模式部署在网络中。

 

总结

下一代防火墙，基本上是目前企业网络安全的必备产品；同时也是在网络安全等级保护要求中，分区分域逻辑隔离的首选产品。如今的下一代防火墙在以自身安全防护功能的基础上，还可以联动终端安全产品，以及安全日志分析平台等，实现云网端的全面安全覆盖。同时订阅服务型下一代防火墙产品也逐步进入了企业，进一步解放了安全管理人员的运维压力，让安全管理越来越简单。

思考

很多组织在使用下一代防火墙时，会考虑可用性，使用双机部署。那么防火墙的主主模式部署，是否是一种值得强烈推荐的部署模式呢？

本期作者：

石岩，深信服培训认证中心主任、深信服安全服务认证专家（SCSE-S）

产业教育中心资深讲师，中国网络空间安全协会会员，深圳大学专业学位研究生校外导师；曾任国内知名安全厂商安全认证负责人、安全服务工程师、信息安全咨询顾问、信息安全讲师；多次为政府、运营商、企业、本科、高职学员以及高校老师进行信息安全培训；多次组织、参与职业能力评价认证工作，擅长Web安全、渗透测试、操作系统等多个方向的课程。