2024年4月20日发(作者：鼠标锁住了按哪三个键解锁)

信息安全

•

Information Security

一种下一代防火墙系统设计

文/唐宏斌 覃晓宁

传统防火墙无法鉴别和防护应用层攻击手段。

同时，以窃取企业核心数据为目的的APT攻

击逐渐增多，传统防火墙被动防御已经无法应

对日益严峻的网络安全风险。

为了解决传统防火墙的不足，本文设计

了下一代防火墙系统，该系统覆盖一代墙的所

有功能且满足了Gartner定义的下一代防火墙

的功能要求。

防火墙系统，该系统的功能架构如图 1所示。

1.1 高性能基础平台

基础平台采用了多核并发技术，使并发

处理数据包无需排队等待；一体化安全引擎技

术，统一对数据包进行基础解析，避免每个功

能模块重复解析数据包；零拷贝技术，数据面

与控制面共享内存，避免同步时的数据拷贝动

作；三种技术结合使第二代防火墙性能较传统

墙有极大提升,可获得极高吞吐量。

1.2 基本功能

二代墙覆盖了一代墙的基本功能，包过

滤、网络地址转换、身份认证、防DDoS攻击、

VPN、流量控制、地址绑定、内容检测过滤、

上网行为管理、Web应用防护、木马防护、入

侵防御、恶意代码防护、僵尸网络检测、支持

802.1Q VLAN Trunk协议、监控与审计、日志

审计、双机热备等基本功能。

1.3 智能分析

平台支持精细化上网行为管控，采用基于

机器学习的流量异常检测和行为异常检测，综

摘

要

随着以WEB2.0为代表的网络

时代的到来，传统防火墙已无法

有效区分各种应用程序。本文设

计了一种下一代防火墙系统，系

统基于高性能基础平台，涵盖了

一代墙的功能，并提供入侵防御

功能、Web应用防火墙功能和人工

智能监测等功能，满足了Gartner

定义的下一代墙的功能要求。

1 下一代防火墙功能架构

Gartner将下一代防火墙定义为在不同信

任级别的网络之间实时执行网络安全策略的联

机控制，其应该具有以下属性:

首先，在不影响网络运行之下支持内嵌

的bump-in-the-wire配置；

其次，作为网络流监测和网络安全策略

执行平台，应至少具有以下特性：

（1）具有标准的一代防火墙功能；

（2）具有集成而非仅仅堆砌的网络入侵

防御系统；

（3）应用感知和全栈可见性；

（4）超级智能防火墙。

针对上述需求，本文设计了一种下一代

【关键词】下一代防火墙 虚拟防火墙 APT攻

击 AI威胁监测引擎

随着以WEB2.0为代表的网络时代的到

来，互联网进入了以论坛、博客、社交、视频、

P2P分享等应用为代表的下一代互联网时代，

越来越多的应用呈现出WEB化。传统的防火

墙的基本原理是根据五元组，包括IP地址、

端口号或协议标识符等来检测网络流量，对中

标的数据包执行相应的策略。针对WEB2.0应

用，传统防火墙无法有效区分各种应用程序。

<<上接191页

至强制用户安装。而对于移动终端设备的使用

者而言，被捆绑安装的软件并不一定是他们所

想要安装的，并且这些捆绑安装的软件其安全

性也有待商榷。因此，为更完善的保护自身的

个人信息和财产，就需要对一些捆绑软件和网

站链接等谨慎对待。

所以有必要着眼于Logcat的原理进行跟踪分

析，在一些关键节点当中，比如native层的

android_util_Log_println_native函数实行重新

加载，避免日志信息被泄露。

（3）Zip解压缩文件覆盖风险，攻击者

借助检查应用中未命名格式的文件，将文件

名中带有“../”进行设计，以突破安卓系统中

的沙盒隔离体系。所以应当对ZipEntry类的

getName方法展开重新编写，对文件名中带有

“../”的文件实行过滤，以实现系统的安全防护。

参考文献

[1]李敏.智能手机泄密风险分析及安全保密

防护[J].保密科学技术,2017(03):66.

[2]都晓丽.利用WiFi实现支付时应注意的安

全问题[J].网络空间安全,2017(21):70-

72.

[3]吴燕波,向大为,麦永浩,侯训杰.智能

手机的信息安全风险及防护对策研究[J].

信息安全研究,2016(12):1122-1127.

[4]高见,王威,芦天亮.移动僵尸网络研究

[J].中国人民公安大学学报(自然科学

版),2016(01):61-67.

[5]杨富雄.浅谈如何防治手机信号放大器

干扰公众移动通信基站[J].中国无线

电,2016(12):25-27.

3 基于应用层漏洞的安全防护策略

借助在系统中嵌入的安全防护代码，可

以主动切断攻击路径，以实现应用层漏洞的主

动防御，提升移动应用的安全程度。通过制定

安卓应用程序中的安全加载方案，其具体方式

是通过加密原始Dex文件，并借助过壳程序

展开动态加载，安全防护系统架构如图1所示。

其具体防护措施如下：

（1）根据WebView组件的应用风

险，通过借助WebView系统组件的集

成，设计具有漏洞统一屏蔽程序的接口，

例如重写addJavascriptInterface接口；

对 searchBoxJavaBridge、accessibility和

accessihilityTraversal等操作接口予以移除。

（2）对于Logcat信息泄露，由于应用可

能在Logcat调试过程中对敏感信息进行泄露，

4 结语

智能手机的普及在为人们的生活带来便

捷的同时，也带来了很大的安全隐患，现阶段

智能手机的安全防护主要还是靠人们的自我安

全认知，主要包括个人信息的防护，不和未知

信息交互、对手机运行状况进行关注并日常进

行安全检查等。随着移动互联网技术的不断发

展，网络攻击的形式也开始变得更加难以防护，

而一旦遭遇网络攻击，就需要及时通过终止信

息交互和恶意进程的运行来避免损失的扩大，

并借助法律武器来维护网络环境的整洁。

作者简介

王硕锋（1994-），男，江苏省徐州市人。研究生。

研究方向为网络安全。

作者单位

南京航空航天大学 江苏省南京市 211100

192 •

电子技术与软件工程