网络安全：华为下一代安全之NGFW

6-1华为Eudemon1000E-N 下一代防火墙华为Eudemon1000E-N 下一代防火墙Eudemon1000E-N 下一代防火墙随着互联网技术的不断发展，智能手机、iPad 等终端被更多地应用到办公中，移动应用程序、Web2.0、社交网络应用于生产生活的方方面面。

网络边界变得模糊，信息安全问题日益复杂。

传统的安全网关通常只能通过IP 和端口进行安全防护，难以完全应对层出不穷的应用威胁和Web 威胁。

Eudemon1000E-N 系列是华为公司为解决运营商、企业、政府、数据中心等机构的网络安全问题自主研发的下一代防火墙产品。

它基于业界领先的软、硬件体系架构，通过对应用、用户、威胁、时间、位置的全面感知，将网络环境清晰的映射为业务环境。

在应用识别的基础上提供精准的管控能力，融合了IPS 攻击防护、AV 防病毒、URL 过滤，Web 内容过滤，反垃圾邮件和邮件过滤等行业领先的专业安全技术，支持IPv6防护及过渡技术，为用户提供强大、可扩展、持续的安全能力。

在运营商、政府、金融、电力、石油、教育、工业制造等行业得到广泛应用。

下一代防火墙，地址才能“应用（Application ）、时间（Time ）、用户多个维度解析企业的业务流量，并结合各种维度进行、行为识别等技术手段，准确识别超过6000个网络应用。

• 用户：通过Radius 、LDAP 、AD 等8种用户识别手段，将流量中的IP 地址与现实世界中的用户信息联系起来。

基于用户对网络流量进行管控。

• 威胁：支持超过5000+特征的攻击检测和防御。

支持Web 攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。

可以识别和防范SYN flood 、UDP flood 等10+种DDoS 攻击，识别500多万种病毒。

采用基于云的URL 分类过滤，预定义的URL 分类库已超过8500万，阻止访问恶意网站带来的威胁。

• 位置：与全球位置信息结合，识别流量及威胁发起的位置信息；使用流量地图和威胁地图快速发现异常，进而制定对应的防护策略。

华为运营商安全解决方案易建超华为企业网络产品线产品总监运营商安全所面临的挑战及投资驱动力⏹降低设备运行故障时间⏹抵御显著增加的垃圾邮件内容 ⏹抵御显著产生的安全攻击威胁 ⏹提高抵御未知威胁能力 ⏹保护客户数据防止窃取⏹适应显著上升的骨干网络流量 ⏹适应移动网络流量增长趋势 ⏹数据中心升级扩容⏹基于云的安全解决方案诉求 ⏹增加新的收入来源⏹保证原有服务的持续竞争力威胁防护隐私保护网络发展增加收益安全威胁增多 用户隐私泄露网络不断演进 盈利能力有限面向大数据流量的下一代安全SolutionAbilityTopic数据中心安全 管道安全 IT 信息安全 安全运营FBB MBB LTE CGN AntiDDoS身份安全 数据安全 虚拟化安全 网络与边界安全防攻击 防泄密 防特权安全增值华为安全能力和愿景华为安全案例1Clean Pipe 管道安全运营商当前网络威胁CloudCore & IGWMetro & CoreTerminal & AccessEnterprise Finance MetroNPEPEPEIP/MPLSCore2G BTS3G NodeB 4G eNodeBBackhaulSGSN GGSNPS domainEPCBSC/RNC IP/MPLSCoreInternetIDCIPTVIMSTrafficInterceptionPPBRASUnauthorizedAccessSCTPVulnerabilityDDoS AttackWorm, Trojan,VirusUntrustTrafficIPv4 ExhaustionWorm, Trojan, VirusDDoS AttackWorm, Trojan,VirusIPv4Exhaustion管道网络升级MBB 管道安全 华为“ Clean Pipe ” 管道安全方案FBB 管道安全安全域隔离 固网DDOS 防护LTE IPSec 加密 SCTP 安全防护 移动网DDOS 防护 SGi 安全防护CGN 和日志溯源华为运营商固定网络防护PE-AGGHGAccess NodeDSLAMBRASBRASHGNPEAccessInternetHead-endVoD ServerTERMINALACCESSMETRO CORE & IGW MetroPE-AGGNPEBusinessCorporateCPECLOUDGPONAccess•NAT44/NAT444•DS-Lite/NAT64/6RDIPv6 MigrationAnti-DDoSAccess Sec•Firewall for unauthorized access•TCP Flood/UDP Flood •HTTP Flood •HTTPS DDoSCorePPISP-PEISP-PE华为运营商移动网络防护SGWIMSNon-Trusted DomainFirewallEPC Trusted DomainIP BackhaulNon-Trusted DomainIP Transport CoreInternetNMSSeGW•SCTP packets flooding and SCTP state checking.SCTP SecSGi ProtectionIPsec•Illegal devices access•Signal and user traffic leakage•Intrusion from internetattack.•Exhaustion for limitation public IP resource.IPv6 Evaluation华为CGN 解决方案2010 IPv6 commercialInternet scaleIPv4 address2016InitialingDevelopingDeveloped2012 2014 Network development needs IPv6Network development needs IPv6IPv4IPv4IPv4IPv4& IPv6IPv6IPv6IPv6Evaluation of network Evaluation of network.• IPv4 firewall• Carrier grade NAT• IPv4/IPv6 Dual-stack FW • NAT444•IPv6 DDoS •DS-Lite•IPv6 IPS •NAT64IPv6 internetIPv4 internetv4v4v4 v6 v4 v6 v6 v4v6v4v4v4v4华为运营商管道网络升级2数据中心安全安全是IDC 客户最大的担忧云计算大潮已经到来，安全问题是阻碍云计算发展的最大障碍Gartner 报告显示用户几个担忧都与安全有关！报告显示超过24小时的DDoS 攻击，每次造成近80万美金的损失管道安全数据中心安全 IT 信息安全 安全运营传统数据中心安全威胁◆ 身份与安全管理 帐号盗用，身份仿冒，违规操作，权限滥用◆ 应用与数据安全 SQL 注入、跨站等针对应用层的攻击已经成为安全最大的威胁。

下一代防火墙（NGFW）第一章防火墙基础知识概要本章节主要学习防火墙基础知识，学习防火墙发展历史，理解防火墙的核心功能，以及安全域的基本理论。

学习内容⏹了解防火墙产生原因⏹理解防火墙定义⏹了解防火墙的发展历史⏹了解防火墙的主要性能⏹理解防火墙的两个核心功能⏹掌握安全域的基本概念⏹理解下一代防火墙产品架构的特点CONTENTS ⏹防火墙概述⏹防火墙的前世今生⏹安全域和边界防御思想⏹防火墙产品标准⏹下一代防火墙产品架构（1）持续演进的网络安全问题？（2）如何对网络边界进行防护？防火墙产生的原因恶意木马程序计算机病毒网络安全威胁威胁网络边界防护外部外边界外部边界内部边界防火墙（Firewall）是设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。

GB/T 20281—2015《信息安全技术防火墙安全技术要求和测试评价方法》中对防火墙定义为，部署于不同安全域之间，具备网络层访问控制及过滤功能，并具备应用层协议分析、控制及内容检测等功能，能够适用于IPv4、IPv6等不同的网络环境的安全网关产品。

两个安全域之间通信流的唯一通道安全域1Host AHost B安全域2Host CHost DUDPBlockHost CHost BTCP Pass Host C Host A Destination Protocol Permit Source 根据访问控制规则决定进出网络的行为（1）“隔离”：在不同信任级别的网络之间砌“墙”；（2）“访问控制”：在墙上开“门”并派驻守卫，按照安全策略来进行检查和放通。

DMZ研发部销售部市场部数据中心移动办公用户分支机构分支机构一个典型的企业网防火墙部署位置功能点描述基础组网和防护功能防火墙可以限制非法用户进入内部网络，比如黑客、网络破坏者等，禁止存在安全脆弱性的服务和未授权的通信数据包进出网络，并对抗各种攻击。

记录监控网络存取与访问防火墙可以收集关于系统和网络使用和误用的信息并做出日志记录。

不一样的NGFW下一代防火墙，即NGFW（Next-Generation Firewall），2009年由全球著名分析机构Gartner 定义，至此在硬件安全网关市场引起了一场“工业革命”。

国内外主流安全网关厂商纷纷向NGFW定义看齐，争先恐后将自有产品升级到NGFW或推出全新的NGFW系列产品，NGFW 已成为硬件安全市场最为闪耀的一颗新星。

至今，NGFW的概念已产生五年，按照ICT的发展速度，五年基本是一代产品的更换周期。

在这五年里，Garter并未对NGFW进行重新定义，于是各个安全厂商纷纷拉起了一场重新定义NGFW风潮，希望对它赋予更高的能力要求，满足ICT技术与网络威胁的快速发展。

本文将追溯到重新定义NGFW的源头，悉数NGFW面临的诸多挑战来看NGFW的发展方向。

环境的挑战移动化、社交化、云和大数据是ICT发展的四大趋势。

根据Facebook 2013年Q1财报，Facebook月活跃用户达11.1亿人，其中移动端占据7.51亿，比去年同期增长了54%，全球1/6人口在使用社交应用。

根据Dimensional Research的调查结果显示，55％以上的受访企业认为移动安全是当前的TOP安全问题，其中71％的受访企业认为移动设备增加了安全事件，47％的受访企业有大量客户数据存储在移动设备上。

随着企业数字化需求的增加，ICT业务日益增多，特别是软件定义网络（Software Defined Network, SDN ）技术的成熟，网络与策略的改变会频发发生。

而NGFW作为企业网络重要的安全守卫，必须能够适配网络环境的不断变化，才能尽忠职守，提供精确的安全防护。

BYOD让网络边界日渐模糊，企业环境更加开放，社交应用为信息的传递提供了更便捷的途径，云和虚拟化正在改变企业的信息化使用方式。

这一系列的变化仅仅依靠NGFW定义中的“应用+用户”识别很难支撑。

感知能力将是NGFW在新环境下的最大挑战，防护的精准程度，直接取决于感知的准确能力。

Paloalto防火墙运维手册目录下一代防火墙产品简介Paloalto下一代防火墙(NGFW)是应用层安全平台。

解决了网络复杂结构，具有强大的应用识别、威胁防范、用户识别控制、优越的性能和高中低端设备选择。

数据包处理流程图：查看会话可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙，如果会话已经建立，并且一直有后续报文命中刷新,基本可以排除防火墙的问题。

2.1.查看会话汇总命令：showsessioninfo举例：admin@PA-VM>showsessioninfo说明：通过以上命令可以查看到设备支持会话数的最大值，从而检查是否有负载的情况发生。

2.2.查看sessionID命令：showsessionidXX举例：说明：从以上命令中可以看出到底是否存在非法流量，可以通过检查源地址和目的地址端口等信息2.3.条件选择查看会话命令：showsessionallfiltersource[ip]destination[ip]application[app]举例：说明：可以检查一些风险会话2.4.查看当前并发会话数命令：showsessioninfo举例：当前并发会话13个，而最大会话为262138，说明会话利用率并不高，最后一条红色标记为新建数值。

说明：了解设备当前并发会话情况2.5.会话过多处理方法命令：1、showsessionall（检查所有session）是否不法流量）session（检查该showsessionidXX、2．说明：如果发现会话数大于设备可支撑的性能，需要按照以上步骤检查和清除或者防御通过第一步发现占会话总数较多的ID，通过第二步检查该ID是否存在不法app或者其他流量，通过Dos保护或者会话限制该IP数目（如果确定是攻击，可以通过安全策略屏蔽该IP地址访问）。

清除会话命令：Clearsessionall举例：可通过sessionid、源或目的IP、源或目的端口或清除所有会话。

FORTINET－下一代网络安全防御下一代网络安全防御1FORTINET－下一代网络安全防御目录概览 ............................................................................................................................................................................... 3 简介 ............................................................................................................................................................................... 4 企业与服务提供商面临的安全挑战.............................................................................................................................. 5 旧有的威胁从未远离 ............................................................................................................................................. 5 加速演变的新威胁................................................................................................................................................. 5 基于 web 的攻击增加数据泄漏的损失 ................................................................................................................ 5 Web2.0 应用 ........................................................................................................................................................ 6 传统防火墙不再有效 ..................................................................................................................................... 6 迁移到下一代网络 ......................................................................................................................................... 7 安全演进的下一步：新一代安全平台 .......................................................................................................................... 7 下一代安全技术 .................................................................................................................................................... 7 应用控制 ........................................................................................................................................................ 8 入侵检测系统（IPS） .................................................................................................................................. 11 数据丢失防御（DLP） ................................................................................................................................. 13 网页内容过滤............................................................................................................................................... 15 双栈道 IPv4 与 IPv6 支持.............................................................................................................................. 16 集成无线控制器 ........................................................................................................................................... 16 集中管理 ...................................................................................................................................................... 17 核心安全技术 ...................................................................................................................................................... 18 防火墙 － 状态流量检测与数据包过滤 ..................................................................................................... 18 虚拟专用网 (VPN)........................................................................................................................................ 18 URL 过滤 ....................................................................................................................................................... 19 反病毒/反间谍软件 ..................................................................................................................................... 20 反垃圾邮件 .................................................................................................................................................. 22 结论 ............................................................................................................................................................................. 23 关于 Fortinet ................................................................................................................................................................ 24 关于 FortiOS................................................................................................................................................................. 242FORTINET－下一代网络安全防御概览自从几年以前Gartner提出“下一代防火墙”的概念以来，许多网络安全厂商争先恐后将下一代防火墙作 为所生产防火墙产品的一个种类，但这却造成了不同的结果。

P a l o a l t o下一代防火墙运维手册VDocument serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】Paloalto防火墙运维手册目录1.下一代防火墙产品简介Paloalto下一代防火墙(NGFW) 是应用层安全平台。

解决了网络复杂结构，具有强大的应用识别、威胁防范、用户识别控制、优越的性能和高中低端设备选择。

数据包处理流程图：2.查看会话可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙，如果会话已经建立，并且一直有后续报文命中刷新,基本可以排除防火墙的问题。

2.1.查看会话汇总命令：show session info举例：admin@PA-VM> show session info说明：通过以上命令可以查看到设备支持会话数的最大值，从而检查是否有负载的情况发生。

2.2.查看session ID命令：show session id XX举例：说明：从以上命令中可以看出到底是否存在非法流量，可以通过检查源地址和目的地址端口等信息2.3.条件选择查看会话命令：show session all filter source[ip]destination[ip] application[app]举例：说明：可以检查一些风险会话2.4.查看当前并发会话数命令：show session info举例：当前并发会话13个，而最大会话为262138，说明会话利用率并不高，最后一条红色标记为新建数值。

说明：了解设备当前并发会话情况2.5.会话过多处理方法命令：1、show session all（检查所有session）2、show session id XX（检查该session是否不法流量）说明：如果发现会话数大于设备可支撑的性能，需要按照以上步骤检查和清除或者防御通过第一步发现占会话总数较多的ID，通过第二步检查该ID是否存在不法app或者其他流量，通过Dos保护或者会话限制该IP数目（如果确定是攻击，可以通过安全策略屏蔽该IP地址访问）。

Huawei USG6630E/USG6650E/USG6680E Next-Generation FirewallsWith the continuous digitalization and cloudification of enterprise services, networks play an important rolein enterprise operations, and must be protected. Network attackers use various methods, such as identityspoofing, website Trojan horses, and malware, to initiate network penetration and attacks, affecting thenormal use of enterprise networks.Deploying firewalls on network borders is a common way to protect enterprise network security. However,firewalls can only analyze and block threats based on signatures. This method cannot effectively handleunknown threats and may deteriorate device performance. This single-point and passive method doesnot pre-empt or effectively defend against unknown threat attacks. Threats hidden in encrypted traffic inparticular cannot be effectively identified without breaching user privacy.Huawei's next-generation firewalls provide the latest capabilities and work with other security devicesto proactively defend against network threats, enhance border detection capabilities, effectively defendagainst advanced threats, and resolve performance deterioration problems. Network Processors providefirewall acceleration capability, which greatly improves the firewall throughput.Product AppearancesUSG6630E/USG6650E/USG6680EProduct HighlightsComprehensive and integrated protection• Integrates the traditional firewall, VPN, intrusion prevention, antivirus, data leak prevention, bandwidth management, URL filtering, and online behavior management functions all in one device.• Interworks with the local or cloud sandbox to effectively detect unknown threats and prevent zero-day attacks.• Implements refined bandwidth management based on applications and websites, preferentially forwards key services, and ensures bandwidth for key services.More comprehensive defense• The built-in traffic probe of a firewall extracts traffic information and reports it to the CIS, a security big data analysis platform developed by Huawei. The CIS analyzes threats in the traffic, without decrypting the traffic or compromising the device performance. The threat identification rate is higher than 90%.• The deception system proactively responds to hacker scanning behavior and quickly detects and records malicious behavior, facilitating forensics and source tracing.High performance• Uses the network processing chip based on the ARM architecture, improving forwarding performance significantly.• Enables chip-level pattern matching and accelerates encryption/decryption, improving the performance for processing IPS, antivirus, and IPSec services.• The throughput of a 1 U device can reach 80 Gbit/s.High port density• The device has multiple types of interfaces, such as 40G, 10G, and 1G interfaces. Services can be flexibly expanded without extra interface cards.DeploymentSmall Data center border protection• Firewalls are deployed at egresses of data centers, and functions and system resources can be virtualized.The firewall has multiple types of interfaces, such as 40G, 10G, and 1G interfaces. Services can be flexibly expanded without extra interface cards.• The 12-Gigabit intrusion prevention capability effectively blocks a variety of malicious attacks and delivers differentiated defense based on virtual environment requirements to guarantee data security.• VPN tunnels can be set up between firewalls and mobile workers and between firewalls and branch offices for secure and low-cost remote access and mobile working.Enterprise border protection• Firewalls are deployed at the network border. The built-in traffic probe extracts packets of encrypted trafficand sends the packets to the CIS, a big data analysis platform. In this way, threats in encrypted traffic are monitored in real time. Encrypted traffic does not need to be decrypted, protecting user privacy and preventing device performance deterioration.• The deception function in enabled on the firewalls to proactively respond to malicious scanning behaviorand associate with the CIS for behavior analysis to quickly detect and record malicious behavior, protecting enterprise against threats in real time.• The policy control, data filtering, and audit functions of the firewalls are used to monitor social networkapplications to prevent data breach and protect enterprise networks.Hardware1. HDD/SSD Slot2. 12 x GE (RJ45)3. 12 x 10GE (SFP+)4. 2 x 40GE (QSFP+)5. 1 x USB3.06. 1 x GE (RJ45) management port7. Console portUSG6630E/USG6650E1. HDD/SSD Slot2. 28 x10 GE (SFP+)3. 4 x 40GE (QSFP+)4. 2 x HA (SFP+)5. 1 x USB3.06. 1 x GE (RJ45) management port7. Console portUSG6680ESoftware FeaturesSpecificationsSystem Performance and Capacity1. P erformance is tested under ideal conditions based on RFC2544, 3511. The actual result may vary with deployment environments.2. Antivirus, IPS, and SA performances are measured using 100 KB HTTP files.3. F ull protection throughput is measured with Firewall, SA, IPS, Antivirus and URL Filtering enabled. Antivirus, IPS and SA performances are measured using 100 KB HTTP files.4. F ull protection throughput (Realworld) is measured with Firewall, SA, IPS, Antivirus and URL Filtering enabled, Enterprise Mix Traffic Model.5. SSL inspection throughput is measured with IPS-enabled and HTTPS traffic using TLS v1.2 with AES128-GCM-SHA256.6. SSL VPN throughput is measured using TLS v1.2 with AES128-SHA.*SA: Service Awareness.Note: All data in this document is based on USG V600R006.Hardware Specifications* Some 10G ports and 40G ports are mutually exclusive. The ports can be configured as follows: 4 x 40GE (QSFP+) + 20 x 10GE (SFP+) + 2 x 10GE (SFP+) HA + 1 x USB or 2 x 40GE (QSFP+) + 28 x 10GE (SFP+) + 2 x 10GE (SFP+) HA + 1 x USBCertificationsRegulatory, Safety, and EMC ComplianceOrdering GuideAbout This PublicationThis publication is for reference only and does not constitute any commitments or guarantees. All trademarks, pictures, logos, and brands mentioned in this document are the property of Huawei Technologies Co., Ltd. or a third party.For more information, visit /en/products/enterprise-networking/security.Copyright©2019 Huawei Technologies Co., Ltd. All rights reserved.。

网络安全防护中下一代防火墙的应用关键词：下一代；防火墙；网络；安全防护下一代防火墙（NGFW）可以全面应对应用层威胁，通过深度过滤网络流量中的用户、应用和内容，并借助全新的高性能并行处理引擎，为用户提供有效的网络一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

当前我国自主的主流防火墙产品有华为NGFW、深信服NGAF、网神防火墙等，在政企、教育、银行、医疗、科研等行业和领域承接着防护网络及数据安全的重任，下面对下一代防火墙在网络安全防护中的应用做深入分析。

1下一代防火墙的比较优势下一代防火墙除去传统防火墙具有的包过滤、网络地址转换、状态检测和VPN技术等以外，还具有很多弥补传统防火墙缺陷的技术优势。

一是多模块功能的集成联动，如入侵防御系统（IPS）、病毒检测系统、VPN、网络应用防护系统（WAF）等，改变了传统防护设备叠加部署、串糖葫芦式的部署模式，节约成本、消除网络瓶颈和单点故障，数据包单次解析多核并行处理提高检测速度，多模块联动提高响应速度，日志整合提高检测效率。

二是网络二至七层的全栈检测能力，克服传统防火墙包过滤基于IP 和端口检测的局限性，可以具体应用为粒度设置过滤及安全策略，辅助用户管理应用。

三是数据包深度检测，通过对数据包进行深层次的协议解码、内容解析、模式匹配等操作，实现对数据包内容的完全解析，查找相对应的内容安全策略进行匹配。

下一代防火墙通过HTTPS的代理功能，实现对SSL加密的数据进行解密分析，可以检测邮件中的非法信息。

四是可视化配置界面，结合先进的技术和理念，设备配置可视简化，功能完善，使技术人员精力从复杂的配置命令中解放出来，更多关注配置规则的现实意义。

通过可视化报表不仅能够全面呈现用户和业务的安全现状，还能帮助用户快速定位安全问题。

2下一代防火墙设备的选配下一代防火墙功能强大，成本也相对较高，一些厂商按功能模块收费，因此在选配防火墙设备时需要考虑性价比。

P a l o a l t o下一代防火墙运维手册V公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]Paloalto防火墙运维手册目录1.下一代防火墙产品简介Paloalto下一代防火墙(NGFW) 是应用层安全平台。

解决了网络复杂结构，具有强大的应用识别、威胁防范、用户识别控制、优越的性能和高中低端设备选择。

数据包处理流程图：2.查看会话可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙，如果会话已经建立，并且一直有后续报文命中刷新,基本可以排除防火墙的问题。

2.1.查看会话汇总命令：show session info举例：admin@PA-VM> show session info说明：通过以上命令可以查看到设备支持会话数的最大值，从而检查是否有负载的情况发生。

2.2.查看session ID命令：show session id XX举例：说明：从以上命令中可以看出到底是否存在非法流量，可以通过检查源地址和目的地址端口等信息2.3.条件选择查看会话命令：show session all filter source[ip]destination[ip] application[app]举例：说明：可以检查一些风险会话2.4.查看当前并发会话数命令：show session info举例：当前并发会话13个，而最大会话为262138，说明会话利用率并不高，最后一条红色标记为新建数值。

说明：了解设备当前并发会话情况2.5.会话过多处理方法命令：1、show session all（检查所有session）2、show session id XX（检查该session是否不法流量）说明：如果发现会话数大于设备可支撑的性能，需要按照以上步骤检查和清除或者防御通过第一步发现占会话总数较多的ID，通过第二步检查该ID是否存在不法app或者其他流量，通过Dos保护或者会话限制该IP数目（如果确定是攻击，可以通过安全策略屏蔽该IP地址访问）。

应用威胁泛滥的时代，如何选择NGFW随着IT技术的不断发展，移动办公成为一种趋势，移动应用、Web2.0程序、社交网络被应用于企业运营的方方面面。

这些技术上的变化帮助企业更快、更好地完成业务目标。

但同时也带来了严重的安全问题。

为企业带来巨大帮助的应用程序可能携带病毒、木马、恶意软件及其他威胁，传统的网关无法区分威胁与正常流量。

此外，对企业信息系统访问的角色更加复杂，使用移动设备的员工、合作伙伴、客户需要不同程度的联入企业网络。

传统安全设备很难通过固定的IP进行识别和控制。

应对企业IT的发展面临的安全问题，Gartner在2009年提出了NGFW的概念。

与传统防火墙相比，Gartner定义的NGFW应更好的与IPS集成，具备应用感知能力，并拥有额外的防火墙智能。

业界各个厂商纷纷提出NGFW产品，也对NGFW的概念分布进行了自己的诠释。

选择NGFW时应该关注些什么？本文试图给出答案。

NGFW应具备全局环境感知和综合控制能力这里提到的全局环境感知，包括对应用、用户、内容、威胁、时间以及位置的感知。

NGFW最核心的功能就是访问控制，只有区分出正常流量与威胁，将流量中的IP与现实世界中的用户联系起来，才有可能做到细粒度的访问控制。

掌握流量的内容，才能更精确更有效率的判断面临的威胁，进行针对性的防护；通过时间和用户所在的位置，能更准确、细致地对流量进行控制。

入侵检测、病毒扫描、数据防泄漏等防护均基于应用进行，比传统的安全网关更加细致，更加深入。

因此，感知能力尤其是应用识别的能力强弱决定了NGFW的品质。

NGFW应支持智能的安全管理在传统防火墙时代，应用的数量有限，可以使用端口代表。

用户基于五元组配置安全策略，管理相对简单。

而现在，安全管理必须基于应用进行，否则无法充分发挥NGFW精细化控制的作用。

企业将安全网关替换为NGFW时，也需要根据原有的FW策略转换为基于应用的NGFW策略，这带来了新的安全管理难题。

防火墙：华为防火墙默认拒绝所有区域间的访问；默认区域内部之间互相访问，不存在安全问题，默认放行其余厂商：高优先级到低优先级区域默认可以访问，低优先级到高优先级拒绝访问防火墙支持入侵检测（主动）/入侵防御（被动）防火墙特征：逻辑区域过滤器隐藏内网网络结构自身安全保障主动防御攻击防火墙分类：包过滤防火墙：只能通过检测报文头部匹配安全策略，本质其实就是ACL 1.无法关联后续的数据包，每个数据包都需要匹配的安全策略，转发速度较慢2.无法适应多通道协议（需要协商端口的协议）（如：FTP：21控制信道，20数据信道）3.通常不检查应用层数据，安全性比较低FTP：文件传输协议端口21：建立控制信道：客户端发送服务器：SYN S.port：X D.port：21服务器发送客户端：SYN+ACK S.port：21 D.port：X客户端发送服务器：ACK S.port：X D.port：21TCP三次握手成功，代表控制信道建立完成；作用：传输用户名/密码/协商端口（数据信道）端口20：数据信道：传输信道主动：服务器发起数据信道的TCP请求（PORT）建立数据信道之前：客户端发送一个PORT告诉服务器临时开发的端口PORT：a,b,c,d,e,f a,b,c,d：客户端IP地址 e,f:临时开放的端口（e*256+f）服务器向客户端发起TCP请求建立数据信道：SYN：S.port：20 D.port：e*256+f客户端向服务器回应第二个TCP消息：SYN+ACK：S.port：e*256+f D.port：20服务器向客户端回应第三个TCP消息：ACK：S.port：20 D.port：e*256+fTCP连接建立成功代表数据信道建立完成，传输FTP数据（上传：put；下载：get）被动：客户端发起数据信道的TCP请求（PASV）建立数据信道之前：客户端向服务器发送PASV消息请求服务器的临时端口服务器向客户端回应PASV消息携带服务器的临时端口（e*256+f）客户端向服务器发起TCP请求：SYN：S.port：X（随机） D.port：e*256+f服务器向客户端回应第二个TCP消息：SYN+ACK：S.port：e*256+f D.port：X客户端向服务器回应第三个TCP消息：ACK：S.port：X D.port：e*256+fTCP连接建立成功代表数据信道建立完成，传输FTP数据（上传：put；下载：get）代理防火墙：proxy（中间人）1.防止DOS攻击（如：SYN洪水攻击）：服务器资源浪费---防火墙资源浪费---每IPTCP连接阈值/每时间TCP连接阈值2.造成访问延时增加，处理速度慢3.升级困难/应用实现难：代理防火墙针对特定的应用/服务作代理（WAF专门针对web服务器防护，WEB应用场景非常多状态检测防火墙：（NGFW）1.可以关联后续的数据包：只需要进行首包检测，创建会话表（记录TCP连接的状态），后续数据包只需要匹配会话表，提高数据包的转发效率2.可以检测应用层数据/DATA3.会话表是状态检测防火墙的转发的唯一依据（市场所有的防火墙都是状态检测防火墙）------下一代防火墙：性能，集成4.首保检测：华为TCP（SYN）,ICMP(request) UDP（每个都是首包）display firewall session table 查看防火墙会话表display firewall session table verboseCurrent Total Sessions : 1icmp VPN: public --> public ID: c487f0613587050af465f2a26f7协议没有虚拟防火墙系统会话id 唯一Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:03区域流量老化时间（不同协议不同）剩余生存时间Interface: GigabitEthernet1/0/1 NextHop: 10.1.2.3 MAC:00e0-fcb1-581f出接口下一跳IP 下一跳MAC地址<--packets: 5 bytes: 420 --> packets: 5 bytes: 420数据包数量/大小10.1.1.2:52651 --> 10.1.2.3:2048 PolicyName: permit_all源目IP地址/端口---谁访问谁策略名字firewall session link-state check NGFW开启状态检测（默认开启）display firewall session aging-time 查看会话表不同协议老化时间 firewall session aging-time service-set icmp 40000 配置协议/应用会话表的老化时间int g1/0/0.1vlan-type dot1q 10ip address ……防火墙部署模式：直路部署：流量经过防火墙，防火墙相当于私网的网关设备1.路由：三层，改变原有网络的拓扑结构，对网络的影响较大2.网桥：二层，对网络影响有限，不会造成太大影响，会失去很多功能（DHCP，VPN）3.混合：既有三层接口，又有二层接口旁路部署：镜像检查，防火墙旁挂会失去大部分功能，对网络基本没有影响网络部署哪种合适：先看网络需求，再考虑网络影响防火墙配置步骤：1.配置接口：-------三层接口二层接口2.配置区域：3.配置路由4.配置策略（对象---）5.内容安全/检查数据部分的内容（可选）6.NAT包过滤技术：对需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃实现包过滤的核心技术是访问控制列表防火墙安全策略：域间定义：安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略规则的本质是包过滤主要应用：对跨防火墙的网络互访进行控制。