新技术让防火墙成为网络防御的主要力量

在IT行业中，很多时候那些被进一步提升到网络堆栈的防御被认为是最好的防御，至少，这是一些销售商和分析专家们对下一代网络防火墙的预测。

　　“防火墙是网络安全基础设施的一部分，负责监控进出网络的每一个框架。它是对这些网络应用提供可视性和可控性的完美的地方。” Dave Stevens——位于加利福尼亚卡里夫的Palo Alto Networks公司CEO说。

　　“供应商越来越多地转向整合IPS(入侵预防系统)和防火墙，但真正综合性的，功能完整的产品还供应不足”Gartner的分析师Greg Young说。他以他所在公司的研究成果为例，表明威胁已经变得更加复杂，而且逐渐转向网络堆栈更高层，这迫使防火墙超越仅提供状态协议分析，进而具备日益丰富的管理和配置工具。

　　Forrester Research的分析员Robert Whiteley先生也认为，在未来，防火墙将更加紧密地集成所有的网络安全功能。

　　我们已经看到融合防火墙、VPN、IPS、反恶意程序和内容过滤的UTM产品——我认为，思科（Cisco）公司的ASA和Juniper公司的SSG是不错的企业的例子。不过，这些都不是真正的一体化。

　　当网络应用攻击防火墙时，及时地扫描相关的网络应用的能力将至关重要，Whiteley继续说。“一旦认为传统的防火墙可以保护周全，这个机构的安全体系就会出现漏洞。我们看到诸如Web 2.0，Web服务和SOA软件即服务这些趋势正在极大地改变公司的应用架构”他说“这也意味着，更具有关键使命的数据流正使用着标准的网络端口。”

　　XML、Java、Flash及其他许多新的网络协议将使新的、创新性的应用类型，但这也带了数目不详的弱点，Whiteley补充道。

　　“公司将不得不将注意力转移到应用层的保护，以阻止开发的进化”，他补充道，开发正变得日益复杂和具有针对性“这对新一代的防火墙技术是至关重要地，因为它可以提供更好的可见性，以便更好地处理当今的威胁（不用考虑明日威胁）。”

　　但是，只有在不牺牲基本防火墙功能的反应时间和吞吐量的条件下，把所有这些技术集成到防火墙中才有可能获得市场上的成功，分析专家说。为此，Check Point Software Technologies公司一直专注于防火墙性能的表现。

　　“我们正在利用我们开放的性能表性架构，使得性能不单单反映防火墙的运行速度，而且要能够衡量当防火墙开启了网络入侵防护功能，以及其他安全保护措施并实时保护网络时的运行速度，” 总部设在以色列的Tel Aviv和加利福尼亚州的Redwood City的Check Point公司产品营销经理Bill Jensen提到。

　　今天的企业用户安装一些为了逃避遗产网络防火墙侦查而设计出的个人或商用的应用程序，Palo Alto Networks公司官方人员说。这就需要一种新的方案来满足现代企业公司的需要，此方案要能够利用网络防火墙的应用程序控制，IP信誉(IP reputation)技术和网关反病毒过滤等特性。

　　“现代应用程序”史蒂文斯说，“正开始采用一种通信模式，通过由一个端口到另一个端口的跳跃或隧道加密链接或仅伪装成80端口等方式相当有效地绕过现有的安全基础设施。”

　　结果，企业已大幅度的失去对这些连接的控制，而且在某些商业活动中产生了信息泄漏的问题，他说。 为了帮助企业解决这一局面，Palo Alto Networks公司已在其最近发布的防火墙装置PA-4000 Series 加入了申请分类技术，从而可识别穿越端口的应用信息流。

　　Stemvens说“如果有必要识别应用，我们可以打开SSL链接。”

　　此外，PA- 4000装置进行深度包检测，应用过滤器并执行基于应用的对策。例如，一个组织可能选择允许基于Web的邮件，但又扫描传送文件是否含有病毒， Steven说。

　　思科(Cisco)与Ironport的合并已经完成，思科官员表示，他们将会考虑将Ironport的IP信誉技术植入防火墙。

　　武装上了Ironport的SenderBase网站的声誉数据，思科公司的防火墙将可以知道它所连接的服务器的信誉，加利福尼亚州的San Jose的Cisco's IronPort事业部副营销主管Tom Gillis说。

　　“此防火墙将在2008年上半年首次发布，它会让你为这些连接提供可见性，这样你可以看到你的网络中有多少客户在连接那些被称为botnet控制节点的服务器”，Gillis补充道，用户将能够阻止、扼杀或拒绝那些可疑的连接。

　　阻止连接是信誉技术最明显一个用处， Gillis说。 但他也说，他预见到它被用于传送攻击防火墙的信息。 举例来说， 如果内容是来自一个被认为是“流氓”的服务器，信息流则可以被阻隔；如果服务器看作是无可指摘的，那么信息流会被发送绕过垃圾邮件扫描引擎。来自服务器的不能确定好坏的信息量，可以被传送经过几个不同的基于签名的扫描引擎，他说。

　　通过适当的基于连接服务器信誉的扫描检测，未来的防火墙将会有能力传输信息流，防火墙是有效的信息警察