導讀

互聯網+時代，海量應用隱藏億萬風險。網絡失陷，也許只是源于一次網頁瀏覽，或打開一封郵件。傳統的包過濾型或狀態檢測型防火墻雖然可以有效防范各種網絡層的攻擊，但對于大多數利用Web應用漏洞進行的攻擊卻束手無策。面對新威脅、新挑戰，下一代防火墻的核心安全能力體現在哪里？

幾乎沒有人懷疑防火墻在企業所有的安全設備采購中所占據的重要位置，但傳統的防火墻并沒有解決網絡主要的安全問題。從實現技術來講，傳統的防火墻主要是包過濾防火墻，實現的是網絡層控制 — 截獲網絡中的數據包，根據協議進行解析，最后利用包頭的關鍵字段和預設的過濾規則做對比，決定是否轉發該數據包。隨著應用層各種應用的豐富，越來越多的應用層協議出現，隨之而來的是黑客可以越來越多的直接在應用層發起攻擊。

根據著名調查機構Gartner的統計，近年來75%的網絡攻擊都是發生在應用層上。甚至之前典型的以網絡層流量“制勝”的DDoS攻擊，近年來也有向應用層下移的趨勢 — 截止2013年，四分之一以上的DDoS攻擊都是基于應用程序的，而且這個比例還在逐年提高。與之形成鮮明對比，隨著互聯網技術的迅速發展，關鍵業務活動越來越多的依賴于互聯網應用，這也就意味著暴露越來越多的風險隱患點。

新一代安全 角力新戰場

傳統防火墻主要針對通用協議進行處理，無力對應用協議包進行分析，難以防范更具針對性的網絡攻擊。隨著技術的發展進步和互聯網+時代的業務需求，現在的防火墻用戶亟需對數據包進行更深層次的檢查和過濾。例如，用戶可以通過QQ傳輸文件，而傳輸的文件有可能就是引入風險的惡意文件。在這種業務場景下，即使傳統防火墻可以通過端口號確認了運行的QQ服務，也無法做到文件層面的深度檢測，更不用提還有很多運行在非標準端口上的應用。

盡管現在就斷言傳統的以策略為核心的防護體系已經完全失效還為時過早，但在黑客的攻擊手段從網絡層攻擊為主向Web攻擊為主轉換的大背景下，我們可以得出一個結論：缺少了應用層檢測和防護能力的防火墻，不可避免的面臨著“廉頗老矣，尚能飯否”的窘境；新一代安全的關注點，就在于應用安全，就在于針對Web應用層提供完整的解決方案。

下一代防火墻如何化解應用層危機

有不止一個理由可以讓下一代防火墻成為“下一代”，用戶身份感知能力、高可擴展性、應用感知能力（application awareness）都是下一代防火墻的典型標簽，但“應用感知能力”毫無疑問是最容易關聯到下一代防火墻的熱詞。應用感知這個概念，看起來已經很清晰，但在某種程度上又很有誤導性。說它已經清晰是因為下一代防火墻可以將流量具體關聯到特定的應用上，說它具有誤導性是因為下一代防火墻的安全能力不應僅局限于檢測識別應用的流量，更重要的是作用于識別的結果：有選擇性的阻斷或以其他方式限制對應用的使用，甚至是應用的子應用，而不是僅像傳統防火墻一樣只是阻斷特定的端口和協議。

新安全形勢下，防火墻用戶需要對全網所運行的應用有更深的理解和認知。近年來較新的安全設備很多都提供了深度報文檢查（DPI）、精細化管控和應用感知功能，幫助企業管控網絡邊界。根據Gartner研究總監Eric Maiwald的研究結果，“現代防火墻或多或少都有些下一代的基因在里面，包括集成的入侵檢測功能（IPS）和更好的應用控制能力。這些似乎已經成為了當今防火墻設備的標配，幾乎所有的主流安全廠商都能娓娓道來一段有關下一代的故事”。但故事終究是故事，比聽故事更重要的是理解如何評估“下一代”，以及是否應該遷移到“下一代”。

對異常行為的實時檢測和分析是促使很多用戶升級到下一代防火墻的主要動力。很多IT主管都反映，部署了下一代防火墻后最明顯的變化是對失陷主機的檢測 — 有些企業在部署當天便能發現內網中的僵尸網絡和已被入侵的主機。這得益于下一代防火墻可以檢測數據包的有效荷載并根據這些實際內容做出相應決定，還能提供更好的內容過濾能力 — 可以審查完整的網絡數據包，而不僅僅是網絡地址和端口，這就使得下一代防火墻有更強大的日志記錄功能，例如可以記錄某個特定程序發出的命令這樣的日志事件，這為識別應用的異常行為提供了很有價值的信息。

更精細的應用層安全控制是下一代防火墻的另一個“殺手锏”。在網絡威脅更多的來源自應用層這個大背景下，用戶對網絡訪問控制自然要提出更高的要求。如何精確的識別出用戶和應用、阻斷隱藏安全隱患的應用、保證合法應用的正常使用等問題，已經成為現階段用戶所關注的焦點。但在網絡應用高速發展的今天，超過90%的網絡應用運行在HTTP 80和443端口上，大量應用可以進行端口復用和IP地址修改，導致IP地址不等于用戶、端口號不等于應用，傳統的基于五元組的訪問控制策略已無用武之地。下一代防火墻的用戶、應用可視化技術，可以根據應用的行為和特征實現對應用的識別和控制；如果能夠實現與多種認證系統（AD、LDAP等）無縫對接的話，還可以進一步自動識別出網絡中當前IP所對應的用戶信息，勾畫出人-內容-應用的立體畫像，滿足新一代安全的網絡管控要求。

下一代防火墻不是萬金油

與傳統的基于特征的檢測引擎不同，下一代防火墻與生俱來的基因是感知用戶和應用的行為，歸根結底是要理解網絡報文的上下文背景。盡管這省去了特征庫，但并不意味著下一代防火墻從此擺脫了定期升級的繁瑣工作；相反，下一代防火墻更需要不間斷的學習日益增長的應用指紋特征以保持對應用識別的時效性。由于這類指紋特征不依賴于端口、協議等易于識別的特征，有時甚至可能還會包含特定報文的內容，因此維護下一代防火墻的規則集是一項更為繁重的任務。此外，對于非通用型的應用，如很多大型企業定制開發的私有應用，下一代防火墻很可能會無法識別。在這種情況下，用戶仍需手動添加應用指紋特征，且在每次私有應用升級后可能還要重復這一過程。下一代防火墻如此的不智能，會讓很多用戶對“下一代”印象大打折扣。

小結

下一代應用層防火墻技術克服了傳統“邊界防火墻”的缺點，集成了IPS、防病毒等安全技術，實現從網絡到服務器以及客戶端全方位的安全解決方案，滿足企業實際應用和發展的安全要求。展望未來，隨著更加隱蔽的應用層攻擊不斷出現，未來防火墻將會面臨更多協議的解析、更多應用的識別，因此未來應用層防火墻必將向著更大的防護功能面和更細致的粒度管控這個方向發展。