本文即針對(duì)下一代防火墻的這一主要特征，從基于應(yīng)用的識(shí)別、控制、掃描的三步走中，闡述新時(shí)代網(wǎng)絡(luò)環(huán)境下的防護(hù)重點(diǎn)和安全變遷，旨在幫助讀者對(duì)下一代防火墻新的核心防護(hù)理念做一個(gè)較為全面的梳理和歸納。

 

    面對(duì)應(yīng)用層威脅，傳統(tǒng)防火墻遭遇“阿喀琉斯之踵”

 

    1.新的應(yīng)用帶來全新的應(yīng)用層威脅

 

    Web2.0應(yīng)用雖然可以顯著增強(qiáng)協(xié)作能力，提高生產(chǎn)效率，但同時(shí)也不可避免地帶來了新的安全威脅。

 

    1)惡意軟件入侵

 

    WEB應(yīng)用中社交網(wǎng)絡(luò)的普及給惡意軟件的入侵帶來了巨大的便利，例如灰色軟件或鏈接到惡意站點(diǎn)的鏈接。用戶的一條評(píng)價(jià)、一篇帖子、或者一次照片上傳都可能包含殃及用戶或甚至整個(gè)網(wǎng)絡(luò)的惡意代碼。例如，如果用戶在下載驅(qū)動(dòng)程序的過程中點(diǎn)擊了含有惡意站點(diǎn)的鏈接，就很有可能在不知情的情況下下載了惡意軟件。

 

    2)網(wǎng)絡(luò)帶寬消耗

 

    對(duì)于部分應(yīng)用來說，廣泛的使用會(huì)導(dǎo)致網(wǎng)絡(luò)帶寬的過渡消耗。例如優(yōu)酷視頻可以導(dǎo)致網(wǎng)絡(luò)擁塞并阻礙關(guān)鍵業(yè)務(wù)使用和交付。還有對(duì)于文件共享類應(yīng)用，由于存在大量的文件之間的頻繁交換，也可能會(huì)最終導(dǎo)致網(wǎng)絡(luò)陷入癱瘓。

 

    3)機(jī)密資料外泄

 

    某些應(yīng)用（如即時(shí)通信，P2P下載等）可提供向外傳輸文件附件的功能，如果對(duì)外傳輸?shù)倪@些文件存在敏感、機(jī)密的信息，那么將給企業(yè)帶來無形和有形資產(chǎn)的損失，并且也會(huì)帶來潛在的民事和刑事責(zé)任。

 

    2.傳統(tǒng)防火墻的“阿喀琉斯之踵”

 

    由于傳統(tǒng)的防火墻的基本原理是根據(jù)IP地址/端口號(hào)或協(xié)議標(biāo)識(shí)符識(shí)別和分類網(wǎng)絡(luò)流量，并執(zhí)行相關(guān)的策略。對(duì)于WEB2.0應(yīng)用來說，傳統(tǒng)防火墻看到的所有基于瀏覽器的應(yīng)用程序的流量是完全一樣的，因而無法區(qū)分各種應(yīng)用程序，更無法實(shí)施策略來區(qū)分哪些是不當(dāng)?shù)摹⒉恍枰幕虿贿m當(dāng)?shù)某绦?，或者允許這些應(yīng)用程序。如果通過這些端口屏蔽相關(guān)的流量或者協(xié)議，會(huì)導(dǎo)致阻止所有基于web的流量，其中包括合法商業(yè)用途的內(nèi)容和服務(wù)。另外傳統(tǒng)防火墻也檢測(cè)不到基于隧道的應(yīng)用，以及加密后的數(shù)據(jù)包，甚至不能屏蔽使用非標(biāo)準(zhǔn)端口號(hào)的非法應(yīng)用。

 

    下一代防火墻之“三步走”

 

    下一代防火墻的核心理念其實(shí)是在企業(yè)網(wǎng)絡(luò)邊界建立以應(yīng)用為核心的網(wǎng)絡(luò)安全策略，通過智能化識(shí)別、精細(xì)化控制、一體化掃描等逐層遞進(jìn)方式實(shí)現(xiàn)用戶/應(yīng)用行為的可視，可控、合規(guī)和安全，從而保障網(wǎng)絡(luò)應(yīng)用被安全高效的使用。

 

    第一步：智能化識(shí)別

 

    通過智能化應(yīng)用、用戶識(shí)別技術(shù)可將網(wǎng)絡(luò)中簡(jiǎn)單的IP地址/端口號(hào)信息轉(zhuǎn)換為更容易識(shí)別且更加智能化的用戶身份信息和應(yīng)用程序信息，為下一代防火墻后續(xù)的基于應(yīng)用的策略控制和安全掃描提供的識(shí)別基礎(chǔ)。例如：對(duì)于同樣一條數(shù)據(jù)信息，傳統(tǒng)防火墻看到的是：某源IP通過某端口訪問了某目的IP；下一代防火墻看到：某單位張三通過QQ給遠(yuǎn)在美國的李四傳輸了一個(gè)PDF文件。

 

    第二步：精細(xì)化控制

 

    下一代防火墻可以根據(jù)風(fēng)險(xiǎn)級(jí)別、應(yīng)用類型是否消耗帶寬等多種方式對(duì)應(yīng)用進(jìn)行分類，并且通過應(yīng)用訪問控制，應(yīng)用帶寬管理或者應(yīng)用安全掃描等不同的策略對(duì)應(yīng)用分別進(jìn)行細(xì)粒度的控制。相對(duì)于傳統(tǒng)防火墻，下一代防火墻可以區(qū)分同一個(gè)應(yīng)用的合法行為和非法行為，并且對(duì)非法行為進(jìn)行阻斷。如：下一代防火墻可以允許使用QQ的前提下，禁止QQ的文件傳輸動(dòng)作，從而一定程度上避免單位員工由于傳輸QQ文件造成的內(nèi)部信息泄漏。

 

    第三步：一體化掃描

 

    在完成智能化識(shí)別和精細(xì)化控制以后，對(duì)允許使用且存在高安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)應(yīng)用，下一代防火墻可以進(jìn)行漏洞、病毒、URL和內(nèi)容等不同層次深度掃描，如果發(fā)現(xiàn)該應(yīng)用中存在安全風(fēng)險(xiǎn)或攻擊行為可以做進(jìn)一步的阻斷等動(dòng)作。下一代防火墻在引擎設(shè)計(jì)上采用了單次解析架構(gòu)，這種引擎架構(gòu)可以保證引擎系統(tǒng)在數(shù)據(jù)流流入時(shí)，一次性地完成策略查找，應(yīng)用程序識(shí)別/協(xié)議解碼以及內(nèi)容掃描（病毒，間諜程序，入侵防御）等工作，從而在保證掃描效果前提下大大提升了掃描效率。

 

    從目前來看，對(duì)于下一代防火墻這一新的安全防護(hù)核心理念的出現(xiàn)，無論是廠商、用戶還是媒體，無疑都持歡迎，肯定與支持的態(tài)度。成立13年來一直專注于安全攻防領(lǐng)域研究的綠盟科技，在2013年4月底推出的下一代防火墻產(chǎn)品和解決方案http://www.nsfocus.com/event/nf/index.html，順應(yīng)了這一發(fā)展的必然趨勢(shì)，成為此項(xiàng)新理念的堅(jiān)定倡導(dǎo)和執(zhí)行者。下一代防火墻及其安全防護(hù)新理念最終必將成為未來防火墻及網(wǎng)關(guān)市場(chǎng)的主流并被用戶完全接受，讓我們拭目以待。