未来会怎么样：浅析应用防火墙的发展趋势

　　对于网络安全而言，犯罪和危机总是在最薄弱的地方发生。在当前的企业环境中，应用层显然已经成为这个最薄弱的环节。相比于其他有章可循的防御——比如DDOS，应用的数量和复杂程度都让安全防御成为一件很困难的事情。3月17日，ZDNet安全频道采访了一家新兴的网络安全公司——Palo Alto Networks公司的CEO Lane Bess，Lane Bess为我们展望了未来企业应用层威胁防御和应用防火墙的发展趋势。

Palo Alto Networks公司CEO Lane Bess在接受记者采访

　　提到Palo Alto Networks这家公司，诸如“如雷贯耳”、“鼎鼎有名”之类的成语并不适合来形容他们，这是一个非常非常年轻的公司，2007年第一款产品才正式开始出货。尽管资历尚浅，它的发展轨迹却给我们留下了非常深刻的印象，原因很简单，在Gartner的2009年魔力象限中，我们看到了这家此前对我们而言非常陌生的厂商。这也是我们对其进行采访最初的一个动机。当然，此后，我们了解到，Palo Alto从成立开始就一直称其的产品为“下一代防火墙”，我们也很好奇，在Palo Alto眼中，未来的应用防火墙究竟会是什么样的呢?

Gartner的魔力象限报告上出现Palo Alto Networks

　　变革中的应用现状

　　如果企业的应用状况没有发生任何改变，我们当然也不会在这里讨论应用防火墙的发展趋势。事实上，目前企业中的应用环境和威胁正在剧烈的变化。

　　通过SANS的分析报告，我们可以发现，2009年，最高级别威胁中，竟然有16个是应用层面的威胁。一方面，应用数量的急剧增加，诸如P2P这样的应用被广泛使用，IM软件成为企业业务运营不可或缺的一部分;另一方面，对于黑客和网络罪犯而言，最薄弱的应用层威胁成为他们最喜欢的突破口，而对企业员工而言，在复杂的应用中，出现安全上的疏忽在所难免。企业中原有的传统安全设备似乎对这些并不敏感，比如传统防火墙的针对端口的过滤规则，显然无法满足现有的安全需求。

　　我们期望的安全架构

　　在这种威胁背景下，Palo Alto为我们展示了，我们期望中的应用防火墙应该是什么样的。Lane Bess表示，首先，我们的防火墙需要能够阻断威胁，这些威胁包括恶意的应用以及各种类型的威胁，比如，漏洞的嗅探与利用、病毒与木马等恶意软件的下载、木马下载器自动从互联网搜集恶意软件等等。实现了这一点，企业才有可能保障业务可以进行，然而，仅仅是可以进行是远远不够的，我们不能为了保障安全而大量牺牲了企业业务的流畅性，在保障安全的前提下，不影响到企业网络现有的性能同样也是应用防火墙的目标。最后，需要企业制定完整的法规制度，来规范内部网络安全。

　　这些趋势也许将是未来应用防火墙发展的一个方向，同时也是企业对安全需求的一个方向，Palo Alto已经在他们的产品中把握了这个趋势，我们可以通过了解Palo Alto是怎么去工作的来更好的理解应用防火墙的发展趋势。

　　防火墙上的身份认证技术

　　Lane Bess向我们介绍，Palo Alto将其应用防火墙的安全过滤分为了三个不同的层，分别为App-ID(应用识别)、User-ID(用户识别)和Content-ID(内容识别)。这三层不是各自为战的，而是统一在一起运行，共同来保障企业网络的安全。举例而言，我们可以对某个用户群组实施单独的应用程序策略和内容过滤策略。

　　在App-ID上，Palo Alto的应用防火墙可以智能识别网络上正在运行的应用，并且可以很方便的对其进行控制，在应用策略上，对5大类25个子类的950多种应用程序实施基于策略的控制，我们很惊奇的发现，从来没有正式进入中国的Palo Alto，竟然支持国内一些非常流行的应用，比如迅雷、QQ等，有些策略甚至非常细致，比如对QQ聊天、QQ游戏、QQ旋风下载等都可以被单独识别和控制。

　　User-ID上，Palo Alto采用了基于活动目录(Active Directory)的架构，超越了传统仅通过IP来识别用户，这样的方式可以更精准的定位用户，并且对用户进行分组，对每个组采用不同的安全策略。

　　Content-ID中，Palo Alto的应用防护墙将探测与阻止各种威胁，限制未授权文件传输以及控制与工作无关的网络浏览。企业可以自定义多种方式的过滤，比如，通过传统的文件类型的过滤，或者URL过滤，抑或是通过文件签名来过滤，多种手段能够让企业更方便的配置好自己的网络安全。

　　“一站式”应用防火墙

　　在提高安全性同时，应用防火墙的效率和性能成为很多企业头疼的问题。Palo Alto为我们展示了一套非常新颖的解决方案，我们将其称为应用防火墙内的“一站式服务”，用Palo Alto的专业术语来说，叫“单数据流并行处理(SP3)的体系结构”。

　　Palo Alto在其应用防火墙中集成了诸多安全模块，比如DLP、URL过滤、SSL VPN、IPSec VPN等等，安全上，毫无疑问，这将让企业得到更多的保护，然而，对于单一设备的性能而言，我们很怀疑这将是一场灾难。当我们将这个问题交给Lane Bess时，他表示这对于Palo Alto的应用防火墙而言，不是问题。对于传统的安全设备，安全处理的流程我们可以把他简化为：解包1——安全检测1——封包1——解包2——安全检测2——封包2——解包3……这个过程中，每一次的解包和封包，都是对CPU性能极大的挑战。而Palo Alto的流水线则不是这样，Palo Alto应用防火墙的安全处理过程为：解包——安全检测1——安全检测2——……——封包。整个流程中，只需要一次解包与封包的过程，这样大大降低了CPU的负担。此外，Palo Alto应用防火墙中多核+多CPU的硬件也保障了系统的性能。

Palo Alto应用防火墙的“一站式”方案

　　未来的趋势——更安全更快速

　　从Palo Alto的产品中，我们不难看出，更安全和更快速将是未来应用防火墙的一个发展趋势。而一个好的安全架构和处理架构是保证这二者的重要前提。我们不难看到，在这个企业2.0时代中，应用层威胁正在日益加剧，它不仅成为犯罪突破企业网络的切入点，还成为员工出现泄密等安全事件的优良载体，防御企业网络应用安全正在成为CIO与CSO们日益关注的话题，而应用防火墙的地位也正在凸显。