雖然網(wǎng)絡工程師和分析師十分鐘愛下一代防火墻，或稱應用感知防火墻，但是技術(shù)仍在發(fā)展中。所以許多企業(yè)都保留著原有的防火墻和協(xié)議，至少到現(xiàn)在為止是這樣的。

網(wǎng)絡系統(tǒng)工程師Mike Wade，是Palo Alto Networks最早的下一代防火墻使用者，他在Summa Health（俄亥俄州醫(yī)院與醫(yī)學中心）系統(tǒng)的網(wǎng)絡周邊就部署了應用感知防火墻。Palo Alto的防火墻位于網(wǎng)絡DMZ的外圍。然而，他的網(wǎng)站中仍然有傳統(tǒng)的狀態(tài)防火墻，如Cisco ASA 5500s，就位于DMZ的內(nèi)側(cè)。這兩個防火墻就這樣背靠背地部署在他的主數(shù)據(jù)中心和次級"hot site"數(shù)據(jù)中心當中。

DMZ兩側(cè)不同類型的防火墻服務于不同的需求，Wade說?！癉MZ兩側(cè)的具體需求總是不一樣的，”他說?！巴鈧?cè)的防火墻會受到不斷的攻擊，而內(nèi)側(cè)的防火墻只限于去處理路由至防火墻的一些流量而已。”

Palo Alto防火墻可以掃描攻擊數(shù)據(jù)中心的應用程序，而Cisco ASA可以檢查端口和協(xié)議。分層防火墻的使用是安全策略的一部分，可劃分職責，Wade說。他現(xiàn)在就負責DMZ外圍及周邊的設備，同時還有一個單獨的網(wǎng)絡小組負責DMZ內(nèi)側(cè)的ASA。

“如果有人能夠破解我的密碼或其他安全信息，那么攻擊者到達二級防火墻時，需要面對復雜的個人化（內(nèi)部網(wǎng)絡管理人員）信息以及完全不同的其他設備，”Wade說?！拔覀兊脑O想是在如此機關(guān)重重的情況下，攻擊者就不得不選擇放棄。”

盡管最近一段時間應用感知防火墻被炒作的很厲害，但是至少在接下來的幾年內(nèi)，狀態(tài)端口和協(xié)議防火墻仍會在大多數(shù)網(wǎng)絡中博得一席之地。

狀態(tài)防火墻在網(wǎng)絡演進的十字路口

過去的15年當中，在網(wǎng)絡安全領(lǐng)域，狀態(tài)防火墻一直是處于第一道防線上。就像是嗅探端口和協(xié)議的交警，在網(wǎng)絡工程師等制定的成千上萬條規(guī)則的基礎(chǔ)上為流量采取最恰當?shù)拇胧?/P>

但是網(wǎng)絡不斷變化的本質(zhì)已經(jīng)拋棄了這種陳舊的防火墻架構(gòu)。網(wǎng)站上可以運行無數(shù)單獨的應用程序——比如聊天、視頻、文件傳輸，甚至是類似于Salesforce.com這樣的企業(yè)應用程序。因為這些應用程序都需要在Web上運行，所以傳統(tǒng)防火墻將其視為HTTP或HTTPS 以及 Port 80 或Port 443。黑客之所以把這些端口當做攻擊目標是因為這些流量對于防火墻來說是不可見的，并且看起來類似于合法的Web流量。

傳統(tǒng)防火墻的劣勢帶來了紛繁的網(wǎng)絡世界，繼而出現(xiàn)了多種多樣的網(wǎng)絡安全應用程序和軟件。網(wǎng)絡工程人員部署了許多產(chǎn)品來填補這個技術(shù)與市場的空白，這些產(chǎn)品的覆蓋范圍可以從入侵檢測與防御系統(tǒng)(IDS/IPS)和殺毒軟件到Web過濾和內(nèi)容過濾產(chǎn)品等。

下一代防火墻的新品牌，或稱應用感知防火墻的新品牌，它們更多地注重OSI模型中的應用層而不是端口和協(xié)議，目的在于實現(xiàn)基于策略的應用訪問。幾乎市場上的每一個防火墻供應商（除了Cisco之外）都有了自己的下一代防火墻產(chǎn)品。根據(jù)不同供應商對下一代防火墻的不同理解，其應用程序也都不盡相同。有些廠商的產(chǎn)品只可以識別到是來自Facebook的流量，而其他的一些產(chǎn)品則可以更加深入，它們可以把流量從Facebook video，F(xiàn)acebook聊天或簡單的Facebook狀態(tài)更新中區(qū)分出來。

供應商的發(fā)展是存在差異的。從最初開始，Palo Alto公司就已經(jīng)做應用感知防火墻了。競爭對手，比如Sonicwall 和Fortinet，都選擇了把現(xiàn)有的IPS/IDS技術(shù)加入到防火墻平臺中，實現(xiàn)應用感知。Mike Rothman是Securosis的分析師兼安全研究總裁，說道：IPS/IDS方法只是演化至應用感知防火墻的第一個階段，到最后，采用這種方法的供應商往往都會再次修改防火墻配置，也會從根本上重新修改產(chǎn)品功能。在某種程度上這歸根于IDS/IPS產(chǎn)品是由惡意應用程序簽名所推動的，而下一代防火墻是通過挑選出這些特殊的網(wǎng)站和應用程序來實現(xiàn)應用感知的。

“把它想象成為一個主動與被動的安全模式，” Rothman說。“如果你把他當做IPS/IDS附加模式，你就需要配置各種策略和規(guī)則來尋找不同的惡意程序。這樣就顯得過于復雜而且還要配置許多不必要的處理設備。如果在一個主動安全模式內(nèi)，你就可以說‘這是我允許的應用程序和功能?！?/P>

但是根據(jù)Nemertes Research高級副總裁兼合伙人Andreas Antonopoulos的看法是：應用感知防火墻的處理器本質(zhì)就是強制企業(yè)對防火墻做多層部署。

“如果想在細分的內(nèi)部VLAN，MPLS以及管理虛擬服務器時實現(xiàn)10 Gigabit-capable防火墻的功能，那下一代防火墻可能就無法讓你滿意了，” Antonopoulos說?！拔艺J為在數(shù)據(jù)中心中連接數(shù)以百計的外聯(lián)網(wǎng)及合作伙伴的連接時使用這樣的平臺并不是一個明智的選擇。在管理內(nèi)部分段網(wǎng)絡、非常復雜的DMZ以及虛擬服務器網(wǎng)絡時也沒有什么好處。但是對于處理來自Web和用戶流量中的威脅時它確實是一個很好的平臺，有些是傳統(tǒng)防火墻無法實現(xiàn)的?！?/P>

下一代防火墻可消除邊緣蔓延

在Summa醫(yī)療機構(gòu)安裝Palo Alto應用感知防火墻之前，Wade 是通過Microsoft Internet Security and Acceleration (ISA)服務器陣列來保護系統(tǒng)的。之后ISA就被面向外部的網(wǎng)絡連接替換，速度也從50 Mbps 提高至100 Mbps。此陣列上曾運行著防火墻、殺毒軟件和內(nèi)容過濾等。

“忽然間，ISA就變得很不穩(wěn)定了，”Wade說。“當時在這個陣列中我們有三個面向外部的服務器。后來我擴充為五個，雖然數(shù)量增加了，但是系統(tǒng)仍然不穩(wěn)定。我曾與Microsoft合作，修改了我們防火墻服務器上的緩沖，雖然情況有了些許好轉(zhuǎn)，但是操作起來確實不如從前。Microsoft說未來做面向外部ISA陣列擴容，這樣的話整個企業(yè)服務器的數(shù)量就會達到11個。這種說法似乎有些不切實際?！?/P>

Wade開始準備重新購置一套系統(tǒng)時，但沒有想買下一代防火墻設備。過去，Wade曾用過Juniper Networks、Check Point Software以及Sonicwall公司的傳統(tǒng)防火墻，但是當他與網(wǎng)絡安全方案供應商FishNet Security交談時，Palo Alto被推薦給了Wade。

“我們把Palo Alto的產(chǎn)品部署到我們的環(huán)境中，并設置其與ISA并列，這樣在做端口掃描時我們就可以觀察到所有進入ISA的流量，”Wade說。“我們的視野更加寬闊。很顯然，在ISA上有一個內(nèi)容過濾器錯誤，我們運行了一個不能處理IP地址的內(nèi)容過濾器，所以除非把主機名傳送給ISA，ISA完成主機名的解析，否則根本就就無法得知你瀏覽的到底是什么網(wǎng)頁。唯一能夠知道的只有IP流量是在80端口上以及它是允許通過的流量，”他繼續(xù)說?！叭藗儼l(fā)現(xiàn)只要他們在工作站上安裝了防火墻客戶端以及不抑制ISA上的自動偵測，他們就可以去訪問YouTube，F(xiàn)acebook，porn等。很多東西都會避開內(nèi)容過濾器，成為漏網(wǎng)之魚?！?/P>

Palo Alto使Wade制定了一套新的基于應用的防火墻策略。該防火墻與Microsoft的Active Directory結(jié)合，可以使Wade更加細致地配置其策略。

“在我們組織中，有一部分人有參加在線研討會的需求。他們需要上在線課堂并在醫(yī)院的各種計算機上進行操作，”Wade說。“我可以設定策略允許特定的用戶使用HTTP視頻和HTTP音頻，但是我沒辦法禁止用戶使用YouTube。用ISA或Check Point我無法做到。雖然我可以阻止用戶訪問YouTube網(wǎng)站，但用戶仍可以允許嵌入式的YouTube視頻或者從別的站點進入。”

企業(yè)需要注意下一代防火墻的架構(gòu)變化

由于大多數(shù)供應商都在銷售應用感知防火墻，其實從根本上講就是帶有IDS/IPS功能的狀態(tài)防火墻。為了確保所選擇的防火墻能夠很好地在自己的網(wǎng)絡環(huán)境中使用，網(wǎng)絡工程人員在開始時就需要留意，Rothman說。

“隨著時間的推移，所有的供應商勢必都會改進他們的架構(gòu)，”他說?！艾F(xiàn)實情況是，大多數(shù)安全產(chǎn)品都需要從根本上改變。問題是：什么時候才會發(fā)生？企業(yè)認為現(xiàn)在的下一代防火墻只是初期產(chǎn)品，他們可以通過綁定其他功能來解決當前問題，當產(chǎn)品成熟時再做徹底改變。其實，這對技術(shù)來說只是一個發(fā)展線路，但是對企業(yè)來說卻是巨大的挑戰(zhàn)，尤其是那些還沒有樹立正確期望值的企業(yè)?！?/P>

【編輯推薦】

1. 擎天系列防火墻指明下一代防火墻發(fā)展方向
2. McAfee：新一代防火墻的三大變革