防火墙走向下一代 安全更上一层

ZDNET安全频道 05月31日 综合消息：2009年，权威咨询机构Gartner定义了下一代防火墙的概念，一时间，下一代防火墙已经同云计算、WEB2.0、移动互联等当下最热门的名词一起，成为业界的焦点话题。下一代防火墙之所以是应对当今网络威胁的最佳选择，最为核心的原因之一，在于下一代防火墙能够抵御来自应用层的威胁。因此，对于当今网络中各种应用流量的精确识别能力，已经成为下一代防火墙能否发挥最大效能的决定性因素。

基于五元组已无法识别当今应用

随着网络应用的不断地演变，网络中的流量较之先前发生了巨大的变化。在之前，我们基于数据包的地址、端口等信息即可轻松识别网络流量，并在此基础上加以安全管控，然而在当下，大量应用出于各种目的，广泛采用跳变端口甚至复用知名服务端口进行数据传输。以TCP80端口为例，在从前我们会简单地认为访问此端口一定是在进行HTTP网页浏览，但如今，TCP 80端口既可以被用来P2P下载，也可以传输即时通信软件的流量。

以传统防火墙为代表的一类产品，基于数据包五元组的安全检测机制，仅依靠判断传输层端口，早已无法识别具体的应用类型，在面对此类应用时已完全失效，这给网络的管理和安全防护都带来了极大的挑战。

“TCP 80”已不再是HTTP的专利

站在三、四层上何谈应对应用层威胁?

回过头来再看上述例子，即便TCP 80流量的确是在进行网页浏览，但利用传统的技术也无从对HTTP流量进行更加深入的识别和检查，尤其是随着WEB2.0技术的大量运用，一个看似简单的网页仅仅利用浏览器就可以向用户交付多种形式的应用，通过网页骗取敏感信息、在网页中嵌入病毒或木马等黑客攻击手段，利用的就是传统技术在此方面的缺陷。

基于“五元组”对流量内容毫不知情

传统的入侵防御(IPS)技术尽管可以基于特征码识别并阻断针对特定协议的入侵行为，看似可以防范应用层威胁，但从本质上讲，其基于三、四层信息识别数据包的机制没有变化。必须要澄清的是，传统的IPS、UTM产品，在某种程度上能够识别一些应用层威胁，但并不意味着它们能够识别应用，当应用使用非标端口(例如HTTP服务使用TCP 8080端口)时，这些产品在未经手工配置的情况下，同样无法智能识别非标端口上传输的应用类型，也就无法针对这些流量提供入侵防御、病毒防护的功能。

值得一提的是，尽管很多传统防火墙、IPS、UTM设备早已具备了应用层网关(ALG)功能，但ALG设计的初衷仅是为了满足特殊协议正常通信的需求，因此其支持的应用类型少之又少。综合以上分析，基于三、四层技术无法真正抵御来自应用层的威胁。

企业需要应用层的“安全使能”

在应用大爆炸的今天，以上提到的种种挑战，使得的网络的管理者必须在“允许”与“阻断”之间进行艰难的抉择。允许某些应用，意味着有更多的威胁可以长驱直入，将大大增加企业信息安全的风险，但阻断某些应用，又将影响到正常业务的开展。信息系统本身就是为业务服务的，如果不能有效支撑业务的开展，也就失去了其本身存在的意义，因此，在面对抉择和平衡时，网络管理者迫于来自业务方面的压力，往往选择默默的接受风险，以求业务的顺利开展。

然而，近年来大量的信息安全事件让我们遗憾地看到，一旦信息系统遭受黑客的攻击或入侵，给企业造成的绝不仅仅是经济上的损失。系统瘫痪、信息泄密等安全事件，将会给企业带来不良的社会影响，严重的还要承担法律责任，这些破坏和打击对于很多企业来讲都是致命的。

当今企业需要精细化的应用控制，对于支撑业务所必须允许的应用，要进行深层次的安全检测及一体化的安全防护，实现真正基于应用层的“安全使能”，同时阻断与业务无关的应用或应用的子功能，这些都要求设备对网络流量深入、智能的识别。

基于应用层的“安全使能”

下一代防火墙才能真正应对应用层威胁

统计数据表明，当今有3/4的网络安全事件发生在应用层，今后应用层威胁将越来越普遍，传统的安全防护技术在面对当今威胁时几乎不战而败，最核心的原因是传统的技术已经无法对当今网络中的流量进行精确的识别，也就谈不上加以管控和过滤了。在当今的技术背景下，要精确的识别流量，必须要基于应用、行为的特征来实现，正如当今医学上要准确的确定一个人，绝不能再仅仅基于其身高、体貌来判断，而是要检验其指纹甚至DNA的特征，利用网络数据包的“指纹”、“DNA”对数据类型进行鉴别的技术，就是我们常说的基于应用层的应用识别技术。

下一代防火墙从容应对应用层威胁

作为网络应用层安全、管理方面的专家，网康科技利用专有的应用特征和行为特征检测技术，可以精确的识别网络中的各种应用，目前网康科技的应用特征库已经收录了超过3000种互联网应用，还包括700余种移动互联网应用，是目前国内最全面的网络应用协议数据库。

在对海量应用精确识别的基础之上，网康科技下一代防火墙通过简单的策略配置，即可实现对各种应用的细粒度控制，可完全阻断与企业业务无关的高风险应用，对于支撑业务开展必须保障的关键应用，可进行攻击防护、入侵防御、病毒防护、间谍软件防护、URL过滤等一体化的安全检查，并利用主动防御的管理接口对网络中的可疑行为进行关联分析，帮助网络管理者及时发现未知的、隐蔽性强的威胁。同时，网康科技下一代防火墙具有十余种用户识别手段，内嵌了全球最大的中文网页URL分类库，综合对人、应用、内容的管控和安全防护，可帮助企业构建稳定、高效的安全网络。

防火墙走向下一代，安全更上一层!