下一代防火墻

一體化引擎數(shù)據(jù)包處理流程大致分為以下幾個(gè)階段:

數(shù)據(jù)包入站處理階段

入站主要完成數(shù)據(jù)包的接收及L2-L4層的數(shù)據(jù)包解析過(guò)程，并且根據(jù)解析結(jié)果決定是否需要進(jìn)入防火墻安全策略處理流程，否則該數(shù)據(jù)包就會(huì)被丟棄。在這個(gè)過(guò)程中還會(huì)判斷是否經(jīng)過(guò)VPN數(shù)據(jù)加密，如果是，則會(huì)先進(jìn)行解密后再做進(jìn)一步解析。

主引擎處理階段

主引擎處理大致會(huì)經(jīng)歷三個(gè)過(guò)程:防火墻策略匹配及創(chuàng)建會(huì)話(huà)、應(yīng)用識(shí)別、內(nèi)容檢測(cè)。

創(chuàng)建會(huì)話(huà)信息

當(dāng)數(shù)據(jù)包進(jìn)入主引擎后，首先會(huì)進(jìn)行會(huì)話(huà)查找，看是否存在該數(shù)據(jù)包相關(guān)的會(huì)話(huà)。如果存在，則會(huì)依據(jù)已經(jīng)設(shè)定的防火墻策略進(jìn)行匹配和對(duì)應(yīng)。否則就需要?jiǎng)?chuàng)建會(huì)話(huà)。具體步驟簡(jiǎn)述為:進(jìn)行轉(zhuǎn)發(fā)相關(guān)的信息查找;而后進(jìn)行NAT相關(guān)的策略信息查找;最后進(jìn)行防火墻的策略查找，檢查策略是否允許。如果允許則按照之前的策略信息建立對(duì)應(yīng)的會(huì)話(huà)，如果不允許則丟棄該數(shù)據(jù)包。

應(yīng)用識(shí)別

數(shù)據(jù)包進(jìn)行完初始的防火墻安全策略匹配并創(chuàng)建對(duì)應(yīng)會(huì)話(huà)信息后，會(huì)進(jìn)行應(yīng)用識(shí)別檢測(cè)和處理，如果該應(yīng)用為已經(jīng)可識(shí)別的應(yīng)用，則對(duì)此應(yīng)用進(jìn)行識(shí)別和標(biāo)記并直接進(jìn)入下一個(gè)處理流程。如果該應(yīng)用為未識(shí)別應(yīng)用，則需要進(jìn)行應(yīng)用識(shí)別子流程，對(duì)應(yīng)用進(jìn)行特征匹配，協(xié)議解碼，行為分析等處理從而標(biāo)記該應(yīng)用。應(yīng)用標(biāo)記完成后，會(huì)查找對(duì)應(yīng)的應(yīng)用安全策略，如果策略允許則準(zhǔn)備下一階段流程;如果策略不允許，則直接丟棄。

內(nèi)容檢測(cè)

主引擎工作的最后一個(gè)流程為內(nèi)容檢測(cè)流程，主要是需要對(duì)數(shù)據(jù)包進(jìn)行深層次的協(xié)議解碼、內(nèi)容解析、模式匹配等操作，實(shí)現(xiàn)對(duì)數(shù)據(jù)包內(nèi)容的完全解析;然后通過(guò)查找相對(duì)應(yīng)的內(nèi)容安全策略進(jìn)行匹配，最后依據(jù)安全策略執(zhí)行諸如:丟棄、報(bào)警、記錄日志等動(dòng)作。

數(shù)據(jù)包出站處理階段

當(dāng)數(shù)據(jù)包經(jīng)過(guò)內(nèi)容檢測(cè)模塊后，會(huì)進(jìn)入出站處理流程。首先系統(tǒng)會(huì)路由等信息查找，然后執(zhí)行QOS，IP數(shù)據(jù)包分片的操作，如果該數(shù)據(jù)走VPN通道的話(huà)，還需要通過(guò)VPN加密，最后進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

與統(tǒng)一策略的關(guān)系

統(tǒng)一策略實(shí)際上是通過(guò)同一套安全策略將處于不同層級(jí)的安全模塊有效地整合在一起，在策略匹配順序及層次上實(shí)現(xiàn)系統(tǒng)智能匹配，其主要的目的是為了提供更好的可用性。舉個(gè)例子:有些產(chǎn)品HTTP的檢測(cè)，URL過(guò)濾是通過(guò)代理模塊做的，而其他協(xié)議的入侵檢測(cè)是用另外的引擎。 用戶(hù)必須明白這些模塊間的依賴(lài)關(guān)系，分別做出正確的購(gòu)置才能達(dá)到需要的功能，而統(tǒng)一策略可以有效的解決上述問(wèn)題。

下一代防火墻的執(zhí)行范例包括阻止與針對(duì)細(xì)粒度網(wǎng)絡(luò)安全策略違規(guī)情況發(fā)出警報(bào)，如:使用Web郵件、anonymizer、端到端或計(jì)算機(jī)遠(yuǎn)程控制等。僅僅根據(jù)目的地IP地址阻止對(duì)此類(lèi)服務(wù)的已知源訪(fǎng)問(wèn)再也無(wú)法達(dá)到安全要求。細(xì)粒度策略會(huì)要求僅阻止發(fā)向其它允許目的地的部分類(lèi)型的應(yīng)用通訊，并利用重新導(dǎo)向功能根據(jù)明確的黑名單規(guī)則使其無(wú)法實(shí)現(xiàn)該通訊。這就意味著，即使有些應(yīng)用程序設(shè)計(jì)可避開(kāi)檢測(cè)或采用SSL加密，下一代防火墻依然可識(shí)別并阻止此類(lèi)程序。而業(yè)務(wù)識(shí)別的另外一項(xiàng)優(yōu)點(diǎn)還包括帶寬控制，例:因?yàn)榫芙^了無(wú)用或不允許進(jìn)入的端到端流量，從而大幅降低了帶寬的耗用。

僅有不到1%的互聯(lián)網(wǎng)連接采用了下一代防火墻保護(hù)。但是隨著下一代網(wǎng)絡(luò)的來(lái)臨，下一代防火墻的應(yīng)用已然是不可抗拒的趨勢(shì)，有理由相信到2014年年末使用這一產(chǎn)品進(jìn)行保護(hù)的比例將上升至35%，同時(shí)，其中將有60%都為重新購(gòu)買(mǎi)下一代防火墻。

大型企業(yè)都將隨著正常的防火墻與IPS更新循環(huán)的到來(lái)逐漸采用下一代防火墻代替其現(xiàn)有的防火墻，或因帶寬需求的增高或遭受了攻擊而進(jìn)行防火墻升級(jí)。許多防火墻與IPS供應(yīng)商都已升級(jí)了其產(chǎn)品，以提供業(yè)務(wù)識(shí)別與部分下一代防火墻特性，且有許多新興公司都十分關(guān)注下一代防火墻功能。Gartner的研究報(bào)告說(shuō)明，認(rèn)為隨著威脅情況的變化以及業(yè)務(wù)與IT程序的改變都促使網(wǎng)絡(luò)安全經(jīng)理在其下一輪防火墻/IPS更新循環(huán)中尋求具有下一代防火墻功能的產(chǎn)品。而下一代防火墻的供應(yīng)商們成功占有市場(chǎng)的關(guān)鍵則在于需要證明第一代防火墻與IPS特性既可與當(dāng)前的第一代功能相匹配，又能同時(shí)兼具下一代防火墻功能，或具有一定價(jià)格優(yōu)勢(shì)。

復(fù)雜環(huán)境下網(wǎng)絡(luò)安全管理的窘境

隨著網(wǎng)絡(luò)安全需求不斷深入，大量政府、金融、大企業(yè)等用戶(hù)將網(wǎng)絡(luò)劃分了更為細(xì)致的安全區(qū)域，并在各安全區(qū)域的邊界處部署下一代防火墻設(shè)備。對(duì)于所有的網(wǎng)絡(luò)管理者來(lái)說(shuō)，安全設(shè)備數(shù)量的不斷激增無(wú)疑增加了管理上的成本，甚至成為日常安全運(yùn)維工作的負(fù)擔(dān)，對(duì)網(wǎng)絡(luò)安全管理起著消極的反作用。對(duì)于大型網(wǎng)絡(luò)而言，網(wǎng)絡(luò)管理者往往需要在每一臺(tái)安全設(shè)備上逐一部署安全策略、安全防護(hù)規(guī)則等，并且在日常的維護(hù)中，還要逐一的對(duì)設(shè)備進(jìn)行升級(jí)等操作，類(lèi)似重復(fù)的工作將耗費(fèi)大量的時(shí)間，同時(shí)大量人工操作勢(shì)必將帶來(lái)誤配置的風(fēng)險(xiǎn)。

對(duì)于高風(fēng)險(xiǎn)、大流量、多業(yè)務(wù)的復(fù)雜網(wǎng)絡(luò)環(huán)境而言，全網(wǎng)部署的下一代防火墻設(shè)備工作在不同的安全區(qū)域，各自為戰(zhàn)，為了進(jìn)行有效的安全管理，管理者往往要單獨(dú)監(jiān)控每一臺(tái)設(shè)備的運(yùn)行狀態(tài)、流量情況以及威脅狀況等，對(duì)于絕大多數(shù)人力資源并不充裕的信息部門(mén)，這無(wú)疑又是一項(xiàng)效率低、難度大的工作，監(jiān)控到的信息往往由于實(shí)時(shí)性差，易疏漏等問(wèn)題，對(duì)全網(wǎng)安全性的提升并無(wú)促進(jìn)作用。

安全管理應(yīng)面向風(fēng)險(xiǎn)而非單純的安全事件響應(yīng)，網(wǎng)絡(luò)安全同樣遵循這樣的方向和趨勢(shì)，而如何及時(shí)預(yù)見(jiàn)風(fēng)險(xiǎn)，以及在安全事件發(fā)生后如何快速溯源并采取響應(yīng)措施，是擺在每一位網(wǎng)絡(luò)管理者面前的難題。專(zhuān)家認(rèn)為，基于大數(shù)據(jù)挖掘技術(shù)無(wú)疑可以幫助管理者更加快速的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，進(jìn)而盡早的確認(rèn)威脅并采取干預(yù)措施，實(shí)現(xiàn)主動(dòng)防御。而此方案實(shí)現(xiàn)的前提，則需具備對(duì)數(shù)據(jù)的收集集中能力以及智能分析能力。

為什么要識(shí)別應(yīng)用

隨著以WEB2.0為代表的社區(qū)化網(wǎng)絡(luò)時(shí)代的到來(lái)，互聯(lián)網(wǎng)進(jìn)入了以論壇、博客、社交、視頻、P2P分享等應(yīng)用為代表的下一代互聯(lián)網(wǎng)時(shí)代，用戶(hù)不再是單向的信息接受者，更是以WEB應(yīng)用為媒介的內(nèi)容發(fā)布者和參與者，在這種趨勢(shì)下，越來(lái)越多的應(yīng)用呈現(xiàn)出WEB化，據(jù)調(diào)查顯示超過(guò)90%的網(wǎng)絡(luò)應(yīng)用運(yùn)行于HTTP協(xié)議的80和443端口，大量應(yīng)用可以進(jìn)行端口復(fù)用和IP地址修改。

然而，由于傳統(tǒng)的防火墻的基本原理是根據(jù)IP地址/端口號(hào)或協(xié)議標(biāo)識(shí)符識(shí)別和分類(lèi)網(wǎng)絡(luò)流量，并執(zhí)行相關(guān)的策略。所以對(duì)于WEB2.0應(yīng)用來(lái)說(shuō)，傳統(tǒng)防火墻看到的所有基于瀏覽器的應(yīng)用程序的網(wǎng)絡(luò)流量是完全一樣的，無(wú)法區(qū)分各種應(yīng)用程序，更無(wú)法實(shí)施策略來(lái)區(qū)分哪些是不當(dāng)?shù)?、不需要的或不適當(dāng)?shù)某绦颍蛘咴试S這些應(yīng)用程序。如果通過(guò)這些端口屏蔽相關(guān)的流量或者協(xié)議，會(huì)導(dǎo)致阻止所有基于web的流量，其中包括合法商業(yè)用途的內(nèi)容和服務(wù)。即便是對(duì)授權(quán)通過(guò)的流量也會(huì)因?yàn)椴荒芗?xì)粒度的準(zhǔn)確分辨應(yīng)用，而使針對(duì)應(yīng)用的入侵攻擊或病毒傳播趁虛而入，使用戶(hù)私有網(wǎng)絡(luò)完全暴露于廣域網(wǎng)威脅攻擊之中。

綜上所述，在新一代網(wǎng)絡(luò)技術(shù)發(fā)展和新型應(yīng)用威脅不斷涌現(xiàn)的現(xiàn)有環(huán)境下，對(duì)網(wǎng)絡(luò)流量進(jìn)行全面、智能、多維的應(yīng)用識(shí)別需求已迫在眉睫，也必將成為下一代防火墻所必須具備的基本和核心理念之一。

全面、多維的識(shí)別應(yīng)用

每一種網(wǎng)絡(luò)應(yīng)用都應(yīng)具備多方面的屬性和特質(zhì)，比如商業(yè)屬性、風(fēng)險(xiǎn)屬性、資源屬性、技術(shù)屬性等等，只有從各個(gè)角度多維、立體的去識(shí)別一個(gè)應(yīng)用才會(huì)更加全面和準(zhǔn)確。舉例來(lái)說(shuō)，從商業(yè)屬性來(lái)講，可以是ERP/CRM類(lèi)、數(shù)據(jù)庫(kù)類(lèi)、辦公自動(dòng)化類(lèi)或系統(tǒng)升級(jí)類(lèi)應(yīng)用;從風(fēng)險(xiǎn)屬性來(lái)講，可以是1至5級(jí)不等的風(fēng)險(xiǎn)級(jí)別分類(lèi)，風(fēng)險(xiǎn)級(jí)別越高的應(yīng)用(如QQ/MSN文件傳輸?shù)?其可能帶來(lái)的惡意軟件入侵、資產(chǎn)泄密的可能性就越高;從資源屬性來(lái)講，可以是容易消耗帶寬類(lèi)、容易誤操作類(lèi)或易規(guī)避類(lèi)的應(yīng)用等;而從技術(shù)屬性來(lái)講，又可以是P2P類(lèi)、客戶(hù)端/服務(wù)器類(lèi)或是基于瀏覽器類(lèi)的應(yīng)用等。

對(duì)應(yīng)用的多維、立體識(shí)別不僅是下一代防火墻做到全面、準(zhǔn)確識(shí)別應(yīng)用的必須要求，更是輔助用戶(hù)管理應(yīng)用、制定應(yīng)用相關(guān)的控制和安全策略的關(guān)鍵手段，從而將用戶(hù)從晦澀難懂的技術(shù)語(yǔ)言抽離出來(lái)，轉(zhuǎn)而采用用戶(hù)更關(guān)心和可以理解的語(yǔ)言去分類(lèi)和解釋?xiě)?yīng)用，方便其做出正確的控制和攻防決斷。下一代防火墻必須也應(yīng)該要做到這一點(diǎn)，一種重要的實(shí)現(xiàn)手段就是---應(yīng)用過(guò)濾器。

應(yīng)用過(guò)濾器的關(guān)鍵特點(diǎn)是提供給用戶(hù)一種工具，讓用戶(hù)通過(guò)易于理解的屬性語(yǔ)言去多維度的過(guò)濾和篩選應(yīng)用，經(jīng)過(guò)篩選過(guò)濾后得到的所有應(yīng)用形成一個(gè)應(yīng)用集，用戶(hù)可以對(duì)此應(yīng)用集針對(duì)性的進(jìn)行統(tǒng)一的訪(fǎng)問(wèn)控制或安全管理。舉例來(lái)說(shuō)，作為邊界安全設(shè)備，用戶(hù)希望在允許內(nèi)網(wǎng)用戶(hù)與外網(wǎng)進(jìn)行必要的郵件、IM即時(shí)通信、網(wǎng)絡(luò)會(huì)議通信的同時(shí)，能夠?qū)ζ渲械闹?、高?jí)風(fēng)險(xiǎn)類(lèi)應(yīng)用進(jìn)行安全掃描和防護(hù)，保證通信安全，杜絕威脅入侵。要做到這點(diǎn)用戶(hù)只要通過(guò)應(yīng)用過(guò)濾器，在商業(yè)屬性維度給出選擇，這里選擇協(xié)作類(lèi)應(yīng)用(包括郵件、IM通信、網(wǎng)絡(luò)會(huì)議、社交網(wǎng)絡(luò)、論壇貼吧等應(yīng)用)，再在風(fēng)險(xiǎn)屬性維度給出選擇，這里可選擇3級(jí)以上風(fēng)險(xiǎn)等級(jí)，應(yīng)用過(guò)濾器會(huì)根據(jù)選擇過(guò)濾、篩選出符合維度要求的所有應(yīng)用(這里包括雅虎mail、QQ郵箱、MSN聊天、WebEx會(huì)議、人人網(wǎng)論壇等幾十個(gè)應(yīng)用)，并以分類(lèi)頁(yè)表的形式呈現(xiàn)給用戶(hù)，用戶(hù)還可以通過(guò)點(diǎn)擊應(yīng)用名稱(chēng)查看每個(gè)應(yīng)用的詳細(xì)描述信息。接下來(lái)在一體化安全策略中，用戶(hù)在指定好IP、安全區(qū)、時(shí)間、用戶(hù)等基本控制條件，以及指定好IPS、防病毒、URL過(guò)濾、內(nèi)容過(guò)濾等安全掃描條件后，只要選定剛才的應(yīng)用過(guò)濾器，即可對(duì)所有內(nèi)外網(wǎng)協(xié)作且高風(fēng)險(xiǎn)類(lèi)應(yīng)用進(jìn)行全天24小時(shí)的安全掃描和防護(hù)，當(dāng)發(fā)現(xiàn)攻擊威脅時(shí)及時(shí)阻斷并審計(jì)記錄，保障用戶(hù)的應(yīng)用安全無(wú)憂(yōu)。

識(shí)別未知應(yīng)用

社區(qū)化網(wǎng)絡(luò)的發(fā)展，縮短了世界各地用戶(hù)經(jīng)驗(yàn)交流和合作的時(shí)間與空間，應(yīng)用數(shù)量和種類(lèi)及相關(guān)的網(wǎng)絡(luò)威脅都在日新月異的增長(zhǎng)和發(fā)展著。面對(duì)來(lái)自世界各地、隨時(shí)隨地涌現(xiàn)的新類(lèi)型、新應(yīng)用，任何一個(gè)安全廠(chǎng)商或機(jī)構(gòu)都無(wú)法第一時(shí)間毫無(wú)遺漏的全部涵蓋和一網(wǎng)打盡，下一代防火墻必須提供一種機(jī)制，去第一時(shí)間識(shí)別和控制應(yīng)用，保障用戶(hù)網(wǎng)絡(luò)每一秒都不會(huì)暴露在網(wǎng)絡(luò)威脅之下。這就要求其必須要具備應(yīng)用自定義的能力。

所謂應(yīng)用自定義，就是以動(dòng)態(tài)的方式允許用戶(hù)對(duì)某種/某些非通用化、用戶(hù)私有的無(wú)法識(shí)別的應(yīng)用進(jìn)行特征化的描述，系統(tǒng)學(xué)習(xí)并記憶這種描述，并在之后的網(wǎng)絡(luò)通信中去智能的分析和匹配此種特征，從而將其識(shí)別出來(lái)，實(shí)現(xiàn)將應(yīng)用由未知轉(zhuǎn)化為已知。這種機(jī)制免去了傳統(tǒng)以往為增加應(yīng)用而重做的軟件引擎、識(shí)別庫(kù)版本開(kāi)發(fā)、定制、上線(xiàn)、升級(jí)等大量工作，節(jié)省了大量寶貴時(shí)間，第一時(shí)間保障用戶(hù)網(wǎng)絡(luò)安全。

下一代防火墻的應(yīng)用自定義應(yīng)該包括維度歸類(lèi)和特征碼指定兩部分。維度歸類(lèi)將自定義出的應(yīng)用如同其它已有應(yīng)用一樣從多維度進(jìn)行分類(lèi)劃分，如該應(yīng)用屬于哪種商業(yè)類(lèi)型、何種資源屬性、怎樣的風(fēng)險(xiǎn)級(jí)別等等，與應(yīng)用過(guò)濾器形成完美配合。同時(shí)通過(guò)特征碼，指定出應(yīng)用在包長(zhǎng)度、服務(wù)端口、連接方式、甚至于特征字符串/數(shù)字串等等方面的數(shù)據(jù)特征，多種方式靈活組合，并可依需要無(wú)限度擴(kuò)展，涵蓋了學(xué)習(xí)、辨識(shí)一個(gè)新應(yīng)用的所有特征因素，從而第一時(shí)間讓所有已有的或未來(lái)將有的未知應(yīng)用無(wú)處遁形，完全掌握于控制之中。

全國(guó)人大代表、中國(guó)電子科技集團(tuán)公司總經(jīng)理熊群力向記者透露，我國(guó)自主開(kāi)發(fā)的全新一代國(guó)產(chǎn)工業(yè)防火墻即將推出，將為國(guó)內(nèi)工業(yè)用戶(hù)提供工業(yè)控制信息安全"固、隔、監(jiān)"的防護(hù)體系。

據(jù)熊群力介紹，作為功能全面、安全性高的網(wǎng)絡(luò)安全系統(tǒng)，這套名為三零衛(wèi)士工業(yè)防火墻的新一代國(guó)產(chǎn)工業(yè)防火墻，采用國(guó)際上最先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，是針對(duì)工控網(wǎng)絡(luò)安全的具體應(yīng)用環(huán)境完全自主開(kāi)發(fā)的安全產(chǎn)品。工控網(wǎng)絡(luò)安全涉及國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)如電力、軌道交通、石油、水務(wù)等的基礎(chǔ)網(wǎng)絡(luò)所面臨的安全問(wèn)題，此前在2013年，中國(guó)電科已率先研制了兩款國(guó)內(nèi)首創(chuàng)、擁有完全自主知識(shí)產(chǎn)權(quán)、基于專(zhuān)用硬件的工業(yè)控制系統(tǒng)信息安全產(chǎn)品。

下一代防火墻需具有下列最低屬性:

·支持在線(xiàn)BITW(線(xiàn)纜中的塊)配置，同時(shí)不會(huì)干擾網(wǎng)絡(luò)運(yùn)行。

·可作為網(wǎng)絡(luò)流量檢測(cè)與網(wǎng)絡(luò)安全策略執(zhí)行的平臺(tái)，并具有下列最低特性:

1)標(biāo)準(zhǔn)的第一代防火墻功能:具有數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及VPN功能等。

2)集成式而非托管式網(wǎng)絡(luò)入侵防御:支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠(yuǎn)高于部件的疊加，如:提供推薦防火墻規(guī)則，以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明，在下一代防火墻中，互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺(tái)制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起，如:根據(jù)針對(duì)注入惡意軟件網(wǎng)站的IPS檢測(cè)向防火墻提供推薦阻止的地址。

3)業(yè)務(wù)識(shí)別與全?？梢曅?采用非端口與協(xié)議vs僅端口、協(xié)議與服務(wù)的方式，識(shí)別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。

4)超級(jí)智能的防火墻: 可收集防火墻外的各類(lèi)信息，用于改進(jìn)阻止決策，或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來(lái)強(qiáng)化根據(jù)用戶(hù)身份實(shí)施的阻止或根據(jù)地址編制黑名單與白名單。

·支持新信息流與新技術(shù)的集成路徑升級(jí)，以應(yīng)對(duì)未來(lái)出現(xiàn)的各種威脅。

2009年，著名咨詢(xún)機(jī)構(gòu)Gartner介紹為應(yīng)對(duì)當(dāng)前與未來(lái)新一代的網(wǎng)絡(luò)安全威脅認(rèn)為防火墻必需要再一次升級(jí)為"下一代防火墻"。第一代防火墻已基本無(wú)法探測(cè)到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅。由于采用的是基于服務(wù)的架構(gòu)與Web2.0使用的普及，更多的通訊量都只是通過(guò)少數(shù)幾個(gè)端口及采用有限的幾個(gè)協(xié)議進(jìn)行，這也就意味著基于端口/協(xié)議類(lèi)安全策略的關(guān)聯(lián)性與效率都越來(lái)越低。深層數(shù)據(jù)包檢查入侵防御系統(tǒng)(IPS)可根據(jù)已知攻擊對(duì)操作系統(tǒng)與漏失部署補(bǔ)丁的軟件進(jìn)行檢查，但卻不能有效的識(shí)別與阻止應(yīng)用程序的濫用，更不用說(shuō)對(duì)于應(yīng)用程序中的具體特性的保護(hù)了。

Gartner將網(wǎng)絡(luò)防火墻定義為在線(xiàn)安全控制措施，即:可實(shí)時(shí)在各受信級(jí)網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用"下一代防火墻"這一術(shù)語(yǔ)來(lái)說(shuō)明升級(jí)防火墻的必要性，以應(yīng)對(duì)業(yè)務(wù)程序使用IT的方法以及針對(duì)業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所發(fā)生的改變。

如果大部分?jǐn)?shù)據(jù)都存儲(chǔ)在私有數(shù)據(jù)中心，那么使用下一代防火墻(NGFW)和網(wǎng)絡(luò)訪(fǎng)問(wèn)控制(NAC)的邊界安全性就是一種重要的數(shù)據(jù)保護(hù)措施。防火墻將防止企業(yè)網(wǎng)絡(luò)之外的用戶(hù)接觸到數(shù)據(jù)，而NAC則負(fù)責(zé)保證用戶(hù)與設(shè)備有正確的數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限。

另一方面，如果數(shù)據(jù)目前或?qū)?lái)存儲(chǔ)在云中，那么整體架構(gòu)安全性則應(yīng)該重要關(guān)注于兼容云平臺(tái)的安全工具。例如，許多NGFW都支持用虛擬防火墻來(lái)兼容云平臺(tái)。類(lèi)似地，網(wǎng)絡(luò)安全措施還應(yīng)該注重使用安全的Web網(wǎng)關(guān)(SWG)和惡意軟件沙箱來(lái)防止網(wǎng)絡(luò)之間發(fā)生數(shù)據(jù)丟失。此外，這些工具能限制可能滋生惡意軟件的數(shù)據(jù)在企業(yè)網(wǎng)絡(luò)、各種云服務(wù)提供商及互聯(lián)網(wǎng)之間傳輸。許多SWG和惡意軟件沙箱都提供了云服務(wù)，因此它們更適合那些將數(shù)據(jù)存儲(chǔ)在云中的企業(yè)。

即插即用式安裝

即插即用式配置可以使企業(yè)將設(shè)備的初始配置自動(dòng)上傳到一臺(tái)管理服務(wù)器。遠(yuǎn)程位置可以通過(guò)傳輸層安全(TLS)協(xié)議連接到這臺(tái)管理服務(wù)器。即插即用可以快捷地為不同地理位置的大型網(wǎng)絡(luò)實(shí)現(xiàn)快速部署和安裝，同時(shí)又可以減少到設(shè)備進(jìn)行現(xiàn)場(chǎng)訪(fǎng)問(wèn)和人工配置的麻煩。自動(dòng)化還可以減少出錯(cuò)風(fēng)險(xiǎn)。

高效且集中化的故障診斷工具

如果企業(yè)的防火墻具有高效且集中化的故障診斷工具，故障診斷就未必占用安全團(tuán)隊(duì)的大量時(shí)間。這種工具應(yīng)當(dāng)集成到防火墻中，而不應(yīng)當(dāng)在以后進(jìn)行修補(bǔ)。這種工具還應(yīng)當(dāng)擁有企業(yè)從一個(gè)獨(dú)立的中央位置就可以控制的多種功能。理想的工具包括大量的遠(yuǎn)程診斷功能和其它的診斷功能，以及集成化的通信捕捉工具、網(wǎng)絡(luò)取證分析、會(huì)話(huà)監(jiān)視和配置快照等。

快捷可靠的遠(yuǎn)程更新

更新是高效的防火墻可以提供的更為輕松且高效的另一種功能?？旖菘煽康倪h(yuǎn)程更新特性可以使技術(shù)人員在整個(gè)網(wǎng)絡(luò)上實(shí)施安全可控的軟件更新，并且占用最少的通信量。在一個(gè)中央位置管理這種任務(wù)可以降低操作成本，使設(shè)置時(shí)間僅占用幾十分鐘而不是幾個(gè)小時(shí)或幾天?？旖菘煽扛逻€可以降低操作風(fēng)險(xiǎn)，在更新新版本失效后，企業(yè)可利用其中的 "反轉(zhuǎn)"功能恢復(fù)到以前的版本。此外，企業(yè)能夠通過(guò)快捷可靠更新確定在非正常業(yè)務(wù)期間(或?qū)W(wǎng)絡(luò)影響最小的其它任何時(shí)間)進(jìn)行操作的時(shí)間，從而實(shí)現(xiàn)接近100%的正常運(yùn)行時(shí)間和可用性。

任務(wù)自動(dòng)化

任務(wù)自動(dòng)化并不僅僅為網(wǎng)絡(luò)防火墻的升級(jí)帶來(lái)很大好處。網(wǎng)絡(luò)防火墻還應(yīng)當(dāng)允許管理員自動(dòng)化任何重復(fù)性的占用大量資源和時(shí)間的任務(wù)，并可確定其時(shí)間。這種特性不但對(duì)于那些有可能影響到服務(wù)的任務(wù)來(lái)說(shuō)很有益，而且對(duì)于日常報(bào)告等活動(dòng)來(lái)說(shuō)，也很有好處。在任務(wù)實(shí)現(xiàn)自動(dòng)化并確定好其時(shí)間后，就不再需要什么人工勞動(dòng)了，而管理員就可以在網(wǎng)絡(luò)負(fù)載與非關(guān)鍵操作之間實(shí)現(xiàn)平衡，從而確保高可用性。

要素共享和再利用

要素共享和再利用可以減少工作量和出錯(cuò)的風(fēng)險(xiǎn)。通過(guò)高質(zhì)量的下一代防火墻，管理員不必每次在需要變更時(shí)為個(gè)別組件或客戶(hù)設(shè)置配置信息，而是可以重用相同的要素來(lái)管理多個(gè)客戶(hù)分組的服務(wù)變化。

策略驗(yàn)證和分析工具

很多下一代防火墻配備了龐大的防火墻規(guī)則集，這會(huì)使故障診斷任務(wù)復(fù)雜化，并會(huì)帶來(lái)犧牲性能的不必要負(fù)擔(dān)。這些規(guī)則往往是重復(fù)的，有時(shí)甚至在轉(zhuǎn)換中丟失目標(biāo)地址。用策略驗(yàn)證和分析工具可以輕松地檢查和清除不用的或重復(fù)的規(guī)則，而不必犧牲安全性。清除冗余的規(guī)則可以提高系統(tǒng)性能，增加安全性，簡(jiǎn)化網(wǎng)絡(luò)故障診斷的過(guò)程，并可以從數(shù)據(jù)庫(kù)中清除不必要的數(shù)據(jù)。

基于角色的管理訪(fǎng)問(wèn)控制

并非所有管理員都應(yīng)當(dāng)享有訪(fǎng)問(wèn)安全組件的同樣訪(fǎng)問(wèn)權(quán)。基于角色的訪(fǎng)問(wèn)控制可以允許用戶(hù)根據(jù)每個(gè)管理員的職責(zé)定義多種管理訪(fǎng)問(wèn)的權(quán)利。企業(yè)應(yīng)當(dāng)能夠?yàn)槊總€(gè)管理員定義一個(gè)或多個(gè)角色，并限制每個(gè)角色適用的組件。防火墻的細(xì)節(jié)控制選項(xiàng)應(yīng)當(dāng)包括對(duì)每個(gè)要素和要素類(lèi)型所涉及的管理員特權(quán)進(jìn)行嚴(yán)格的、高度精細(xì)的控制，并可以控制讀寫(xiě)操作的等級(jí)。

發(fā)展趨勢(shì)及需求

目前，國(guó)內(nèi)外的下一代防火墻的發(fā)展非常迅速，大部分安全廠(chǎng)商都發(fā)布了下一代防火墻產(chǎn)品，甚至包括一些在傳統(tǒng)防火墻領(lǐng)域里的絕對(duì)領(lǐng)導(dǎo)者都在推下一代防火墻。而作為下一代防火墻的首創(chuàng)者PaloAlto更是快速的在Gartner魔力四象限里成為了企業(yè)防火墻市場(chǎng)的領(lǐng)導(dǎo)者。但從國(guó)內(nèi)實(shí)際接受程度上看，下一代防火墻想替代傳統(tǒng)防火墻還需要進(jìn)行較多的市場(chǎng)投入。黃海表示，"讓客戶(hù)認(rèn)識(shí)到下一代防火墻是能夠給現(xiàn)有的安全管理帶來(lái)改變是需要時(shí)間和金錢(qián)的。尤其是，中國(guó)市場(chǎng)相對(duì)海外可能會(huì)更加保守，市場(chǎng)化的完善程度也稍差，這些原因會(huì)導(dǎo)致下一代防火墻所蘊(yùn)含的新理念和新技術(shù)在推行方面遇到更多障礙和阻力。"

黃海繼續(xù)談到，目前，從企業(yè)用戶(hù)的需求來(lái)看，不斷增長(zhǎng)的下一代防火墻需求，反應(yīng)出的是當(dāng)前企業(yè)用戶(hù)對(duì)高性?xún)r(jià)比的基礎(chǔ)網(wǎng)絡(luò)安全功能的需求。隨著安全技術(shù)的進(jìn)步和黑客文化的流行在不斷的演變，十年前說(shuō)到基礎(chǔ)網(wǎng)絡(luò)安全功能，很多企業(yè)客戶(hù)想到的就是傳統(tǒng)防火墻，能夠劃分安全域，能進(jìn)行訪(fǎng)問(wèn)控制就行。但是近幾年應(yīng)用、僵尸網(wǎng)絡(luò)、蠕蟲(chóng)、木馬、APT攻擊的泛濫都在不斷的給很多企業(yè)客戶(hù)敲響警鐘，企業(yè)必須部署IPS和內(nèi)容級(jí)安全設(shè)備來(lái)增加整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和管控能力。但專(zhuān)業(yè)的IPS設(shè)備與傳統(tǒng)防火墻設(shè)備相比可謂要價(jià)不菲，如果真的升級(jí)網(wǎng)絡(luò)安全系統(tǒng)的話(huà)，對(duì)企業(yè)來(lái)說(shuō)，它的資金消耗是非常龐大的。所以這個(gè)時(shí)候就需要有性?xún)r(jià)比更為優(yōu)越的安全設(shè)備出現(xiàn)來(lái)解決企業(yè)客戶(hù)在資金和安全需求之間的矛盾關(guān)系。所以下一代防火墻這個(gè)時(shí)候出現(xiàn)。

URL過(guò)濾。一些防火墻可以執(zhí)行基于URL的內(nèi)容過(guò)濾以及站點(diǎn)信譽(yù)分析。盡管不如單獨(dú)的內(nèi)容過(guò)濾產(chǎn)品(比如來(lái)自Websense、BlueCoat或其他廠(chǎng)商的產(chǎn)品)那樣強(qiáng)大、特征明顯，但URL過(guò)濾能將應(yīng)用及流量分析方面的功能添加至已經(jīng)運(yùn)行的入侵檢測(cè)過(guò)程中。

SSL終止和檢驗(yàn)。攻擊者非常聰明，他們制作惡意軟件和攻擊套件，使用像SSL之類(lèi)的加密通道來(lái)運(yùn)送敏感數(shù)據(jù)和機(jī)器命令。一些組織可能會(huì)認(rèn)為這應(yīng)該是下一代防火墻的一項(xiàng)必備功能，不過(guò)很多企業(yè)還沒(méi)有準(zhǔn)備好對(duì)SSL進(jìn)行監(jiān)管或者因?yàn)槟承┡c隱私相關(guān)的原因無(wú)法做到。

惡意軟件虛擬沙盒。一些更新的下一代防火墻產(chǎn)品已經(jīng)開(kāi)始將惡意軟件沙盒和分析集成在產(chǎn)品中，這將有益于檢測(cè)出更為高級(jí)的惡意軟件感染。

此外，也可以將易于使用和部署、與現(xiàn)有環(huán)境中的工具和技術(shù)集成以及可以默認(rèn)設(shè)備的用戶(hù)登錄等特性考慮在內(nèi)。

通過(guò)軟、硬件一體的安全管理中心(Security Management Center，簡(jiǎn)稱(chēng)SMC)，可同時(shí)管理2000臺(tái)下一代防火墻。SMC集設(shè)備集中管理、全網(wǎng)狀態(tài)監(jiān)控以及全局威脅分析等功能于一體，可幫助已經(jīng)部署了多臺(tái)網(wǎng)康下一代防火墻的用戶(hù)更好的降低管理成本、掌控全網(wǎng)狀態(tài)，并且在全網(wǎng)大數(shù)據(jù)挖掘的基礎(chǔ)上實(shí)現(xiàn)強(qiáng)大的威脅預(yù)警和分析能力。

1、配置下發(fā)方便安全，大幅降低管理成本:網(wǎng)絡(luò)管理者可首先在SMC提供的WebUI中預(yù)設(shè)需實(shí)施的安全策略、防護(hù)規(guī)則、VPN隧道等配置，然后通過(guò) SMC將配置一次性下發(fā)至全網(wǎng)(或部分)下一代防火墻設(shè)備中，實(shí)現(xiàn)全網(wǎng)設(shè)備的集中配置。同時(shí)，對(duì)于系統(tǒng)軟件、應(yīng)用識(shí)別庫(kù)、威脅特征庫(kù)、URL分類(lèi)庫(kù)等的更新，同樣可通過(guò)SMC集中推送的方式，智能完成全網(wǎng)設(shè)備的批量升級(jí)。

2、設(shè)備狀態(tài)盡收眼底，輕松掌控全網(wǎng)狀態(tài):網(wǎng)康SMC提供的WebUI類(lèi)似于下一代防火墻產(chǎn)品的可視化界面，操作、管理易上手，綜合全網(wǎng)所有設(shè)備提供的數(shù)據(jù)，以全局角度對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和呈現(xiàn)，便于管理者直觀(guān)掌握全網(wǎng)狀態(tài)。同時(shí)可在SMC提供的"監(jiān)控中心"中選擇某一臺(tái)(或一組)下一代防火墻設(shè)備，深入了解該設(shè)備的運(yùn)行狀態(tài)。

3、應(yīng)用威脅全網(wǎng)可視，智能預(yù)警未知風(fēng)險(xiǎn):在全網(wǎng)數(shù)據(jù)收集的基礎(chǔ)上，SMC可在某時(shí)間軸上智能挖掘全網(wǎng)范圍內(nèi)的流量變化趨勢(shì)，進(jìn)而確認(rèn)異常行為，主動(dòng)預(yù)警威脅。當(dāng)安全事件發(fā)生后，SMC以某一連接為維度，按照時(shí)間先后智能關(guān)聯(lián)與該連接相關(guān)的所有安全事件，可快速呈現(xiàn)攻擊過(guò)程和威脅全貌 。

在應(yīng)用識(shí)別和內(nèi)容控制領(lǐng)域近十年的技術(shù)積累過(guò)程中，實(shí)現(xiàn)了對(duì)近3000種網(wǎng)絡(luò)應(yīng)用的識(shí)別，其中包含了300多種高風(fēng)險(xiǎn)應(yīng)用，從各種維度對(duì)不同應(yīng)用做出評(píng)價(jià)。

支持基于IP/MAC、計(jì)算機(jī)名、POP3、Proxy、LDAP、AD域、Radius、Portal進(jìn)行認(rèn)證，同時(shí)支持和多種認(rèn)證系統(tǒng)聯(lián)動(dòng)，實(shí)現(xiàn)單點(diǎn)認(rèn)證。

擁有國(guó)內(nèi)最大的、包含3000萬(wàn)中文網(wǎng)頁(yè)的URL庫(kù)，每日更新，即時(shí)發(fā)現(xiàn)惡意網(wǎng)站。

基于行為分析感知僵尸主機(jī)，通過(guò)多維度的數(shù)據(jù)分析和多種類(lèi)型日志的智能關(guān)聯(lián)集成，實(shí)現(xiàn)應(yīng)用威脅的可視化，便于用戶(hù)提早發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的威脅，并主動(dòng)調(diào)整安全策略。

采用獨(dú)有專(zhuān)利技術(shù)的多核加速轉(zhuǎn)發(fā)引擎，充分發(fā)揮硬件優(yōu)勢(shì)，實(shí)現(xiàn)高性能的應(yīng)用安全防護(hù)。

支持超過(guò)700種移動(dòng)互聯(lián)網(wǎng)應(yīng)用，覆蓋蘋(píng)果、安卓、塞班等多種移動(dòng)平臺(tái)，涵蓋聊天、微博、視頻、地圖等多種主流應(yīng)用類(lèi)型。