科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道未来会怎么样:浅析应用防火墙的发展趋势

未来会怎么样:浅析应用防火墙的发展趋势

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于网络安全而言,犯罪和危机总是在最薄弱的地方发生。在当前的企业环境中,应用层显然已经成为这个最薄弱的环节。

作者:李钧 来源:ZDNet安全频道【原创】 2010年3月17日

关键字: Palo Alto 防火墙 应用防火墙 Web应用防火墙 安全小趋势

  • 评论
  • 分享微博
  • 分享邮件

  对于网络安全而言,犯罪和危机总是在最薄弱的地方发生。在当前的企业环境中,应用层显然已经成为这个最薄弱的环节。相比于其他有章可循的防御——比如DDOS,应用的数量和复杂程度都让安全防御成为一件很困难的事情。3月17日,ZDNet安全频道采访了一家新兴的网络安全公司——Palo Alto Networks公司的CEO Lane Bess,Lane Bess为我们展望了未来企业应用层威胁防御和应用防火墙的发展趋势。

未来会怎么样:浅析应用防火墙的发展趋势

Palo Alto Networks公司CEO Lane Bess在接受记者采访

  提到Palo Alto Networks这家公司,诸如“如雷贯耳”、“鼎鼎有名”之类的成语并不适合来形容他们,这是一个非常非常年轻的公司,2007年第一款产品才正式开始出货。尽管资历尚浅,它的发展轨迹却给我们留下了非常深刻的印象,原因很简单,在Gartner的2009年魔力象限中,我们看到了这家此前对我们而言非常陌生的厂商。这也是我们对其进行采访最初的一个动机。当然,此后,我们了解到,Palo Alto从成立开始就一直称其的产品为“下一代防火墙”,我们也很好奇,在Palo Alto眼中,未来的应用防火墙究竟会是什么样的呢?

未来会怎么样:浅析应用防火墙的发展趋势

Gartner的魔力象限报告上出现Palo Alto Networks

  变革中的应用现状

  如果企业的应用状况没有发生任何改变,我们当然也不会在这里讨论应用防火墙的发展趋势。事实上,目前企业中的应用环境和威胁正在剧烈的变化。

  通过SANS的分析报告,我们可以发现,2009年,最高级别威胁中,竟然有16个是应用层面的威胁。一方面,应用数量的急剧增加,诸如P2P这样的应用被广泛使用,IM软件成为企业业务运营不可或缺的一部分;另一方面,对于黑客和网络罪犯而言,最薄弱的应用层威胁成为他们最喜欢的突破口,而对企业员工而言,在复杂的应用中,出现安全上的疏忽在所难免。企业中原有的传统安全设备似乎对这些并不敏感,比如传统防火墙的针对端口的过滤规则,显然无法满足现有的安全需求。

  我们期望的安全架构

  在这种威胁背景下,Palo Alto为我们展示了,我们期望中的应用防火墙应该是什么样的。Lane Bess表示,首先,我们的防火墙需要能够阻断威胁,这些威胁包括恶意的应用以及各种类型的威胁,比如,漏洞的嗅探与利用、病毒与木马等恶意软件的下载、木马下载器自动从互联网搜集恶意软件等等。实现了这一点,企业才有可能保障业务可以进行,然而,仅仅是可以进行是远远不够的,我们不能为了保障安全而大量牺牲了企业业务的流畅性,在保障安全的前提下,不影响到企业网络现有的性能同样也是应用防火墙的目标。最后,需要企业制定完整的法规制度,来规范内部网络安全。

  这些趋势也许将是未来应用防火墙发展的一个方向,同时也是企业对安全需求的一个方向,Palo Alto已经在他们的产品中把握了这个趋势,我们可以通过了解Palo Alto是怎么去工作的来更好的理解应用防火墙的发展趋势。

  防火墙上的身份认证技术

  Lane Bess向我们介绍,Palo Alto将其应用防火墙的安全过滤分为了三个不同的层,分别为App-ID(应用识别)、User-ID(用户识别)和Content-ID(内容识别)。这三层不是各自为战的,而是统一在一起运行,共同来保障企业网络的安全。举例而言,我们可以对某个用户群组实施单独的应用程序策略和内容过滤策略。

  在App-ID上,Palo Alto的应用防火墙可以智能识别网络上正在运行的应用,并且可以很方便的对其进行控制,在应用策略上,对5大类25个子类的950多种应用程序实施基于策略的控制,我们很惊奇的发现,从来没有正式进入中国的Palo Alto,竟然支持国内一些非常流行的应用,比如迅雷、QQ等,有些策略甚至非常细致,比如对QQ聊天、QQ游戏、QQ旋风下载等都可以被单独识别和控制。

  User-ID上,Palo Alto采用了基于活动目录(Active Directory)的架构,超越了传统仅通过IP来识别用户,这样的方式可以更精准的定位用户,并且对用户进行分组,对每个组采用不同的安全策略。

  Content-ID中,Palo Alto的应用防护墙将探测与阻止各种威胁,限制未授权文件传输以及控制与工作无关的网络浏览。企业可以自定义多种方式的过滤,比如,通过传统的文件类型的过滤,或者URL过滤,抑或是通过文件签名来过滤,多种手段能够让企业更方便的配置好自己的网络安全。

  “一站式”应用防火墙

  在提高安全性同时,应用防火墙的效率和性能成为很多企业头疼的问题。Palo Alto为我们展示了一套非常新颖的解决方案,我们将其称为应用防火墙内的“一站式服务”,用Palo Alto的专业术语来说,叫“单数据流并行处理(SP3)的体系结构”。

  Palo Alto在其应用防火墙中集成了诸多安全模块,比如DLP、URL过滤、SSL VPN、IPSec VPN等等,安全上,毫无疑问,这将让企业得到更多的保护,然而,对于单一设备的性能而言,我们很怀疑这将是一场灾难。当我们将这个问题交给Lane Bess时,他表示这对于Palo Alto的应用防火墙而言,不是问题。对于传统的安全设备,安全处理的流程我们可以把他简化为:解包1——安全检测1——封包1——解包2——安全检测2——封包2——解包3……这个过程中,每一次的解包和封包,都是对CPU性能极大的挑战。而Palo Alto的流水线则不是这样,Palo Alto应用防火墙的安全处理过程为:解包——安全检测1——安全检测2——……——封包。整个流程中,只需要一次解包与封包的过程,这样大大降低了CPU的负担。此外,Palo Alto应用防火墙中多核+多CPU的硬件也保障了系统的性能。

未来会怎么样:浅析应用防火墙的发展趋势

Palo Alto应用防火墙的“一站式”方案

  未来的趋势——更安全更快速

  从Palo Alto的产品中,我们不难看出,更安全和更快速将是未来应用防火墙的一个发展趋势。而一个好的安全架构和处理架构是保证这二者的重要前提。我们不难看到,在这个企业2.0时代中,应用层威胁正在日益加剧,它不仅成为犯罪突破企业网络的切入点,还成为员工出现泄密等安全事件的优良载体,防御企业网络应用安全正在成为CIO与CSO们日益关注的话题,而应用防火墙的地位也正在凸显。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章