采购企业级防火墙还需要持观望态度吗？

　　防火墙是近25年来互联网的主要安全防护方式。虽然这一技术没有大幅度的改变，但是近来，被用来保护应用的新一代防火墙已悄然兴起。

　　在上世纪的最后二十五年里，黑客的攻击目标从操作系统转为系统中的应用，将协议堆栈提升为HTTP和XML等协议以发起更为复杂的攻击。这些攻击旨在回避周边防火墙强制执行的传统型访问控制策略。相应地，防火墙也增加了许多功能以便在协议堆栈的多个层级进行操作，从第二层到第七层，它要检测流量，分析协议，目的是要抵御最新的攻击。

　　防火墙一直都是基于“阻止或允许”的模式：恶意数据包会被防火墙阻挡，而不会触犯规则的数据包则可以顺利传输。尽管如此，随着Web2.0技术的兴起，企业需要一个能够根据网页特性和内容对不同威胁进行区分并恰当相应策略的防火墙。

　　许多企业采取严格限制员工使用某些特定Web应用来避免威胁，但是这样却无法领略到SaaS的潜在优势和其他云应用及移动应用的好处。在所使用的防火墙技术无法有效按预期来贯彻安全策略时，通常会出现这种因噎废食的决策。

　　新一代防火墙，如SonicWaLL的E-Class和McAfee的企业级防火墙都超越了语境感知型的防火墙，网络管理员可以利用它们调整网络流量规则。其中几个关键特性包括：

　　实时可视性：创建有效的规则，这种规则应该在实时信息和观测的基础上如同既定规则一样运行，如带宽利用或用户访问的网站。监控规则的改变会对产能和安全带来什么影响，然后了解网络的实际使用情况。

　　更高级别的粒度控制：对指定应用实施规则，而不是依赖通用端口或协议。确保关键应用，如微软SharePoint等获得所需带宽，然后通过实时图片来回顾规则更改所带来的影响。

　　简单地部署复杂规则：避免使用“拦截所有XXX”等过于绝对的规则，改为使用较为灵活的规则，如“允许XXX但不允许XXX”和“在工作时间内，XXX只能使用10%的带宽”。此外，对于某些涉及特定人群或用户的应用，要严格限制其访问权限。

　　自动签名更新：拦截那些处于动态变化中，旨在通过应用签名的动态更新，且不考虑所用端口和协议的应用，如P2P。

　　控制数据传输：无论用户在何时传输与策略相冲突的指定文件和文档，都对用户发出警告。

　　实时可视性的引入大大简化了对特定规则的部署和调整。网络流量的可视化也使得基于实时信息和观测的规则创建更容易。比起依赖于通用端口和协议，规则更适用于指定应用，而实时图片可报告规则更改对业务造成的影响。

　　应用感知型防火墙是否无所不能?

　　企业级应用感知型防火墙的功能与标准防火墙的标准网关反病毒，反间谍行为和入侵防御的特性或UTM装置没有冲突。实现这一级别的检测力和控制，评估实时流量的有效载荷都需要占用大量进程。即便这些防火墙是在多核处理器上运行，也有必要确认它们是否能掌控当前网络流量和未来网络流量。

　　对于规模较大的网络，要使用针对不同层级的付费型专用防火墙。网络防火墙可以过滤大量数据，捕获端口扫描，DOS和其他低级别的网络攻击，从而让应用感知型防火墙将现在那些复杂Web应用的使用控制在可接受范围内。如此一来，企业防火墙架构可以实现性能和深层分析之间的平衡。