下一代防火墻已經(jīng)到來，你做好準備了嗎？面對眾多的下一代防火墻產(chǎn)品的供應商是不是覺得有些眩暈呢？您肯定會有這樣的疑問，到底哪一家的產(chǎn)品適合我的企業(yè)呢？他們一直都在為誰的技術(shù)最好爭論著。下一代防火墻是應用感知型的。不同于傳統(tǒng)的基于端口和協(xié)議的狀態(tài)防火墻，下一代防火墻能通過流量識別網(wǎng)絡(luò)上的應用程序。如今把應用放到公有云或者通過軟件運營即SaaS的這一趨勢,使我們需要一個更高的尺度來確保進入企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)是合適的。

每個廠商都有他自己的方法在防火墻里實現(xiàn)應用感知。TechTarget記者采訪了一些知名的防火墻供應商，本文將逐一介紹各供應商的防火墻產(chǎn)品的與眾不同之處。下面是我們了解到的信息。

Astaro使用來自合作伙伴Vineyard Networks的應用特征數(shù)據(jù)庫將應用感知發(fā)送到Astaro安全網(wǎng)關(guān)。通過這個合作伙伴，Astaro防火墻可以辨別出來自同一網(wǎng)站的不同應用并且可以啟用服務質(zhì)量選項為這些應用優(yōu)先分配帶寬。Astaro安全網(wǎng)關(guān)的最新版本加強了對于這個功能的描述。他提供了一個全網(wǎng)絡(luò)視圖使得管理員能夠基于實時情況定義安全策略。按照Astaro所說的，其關(guān)鍵目標就是當發(fā)生新的威脅時，IT能通過調(diào)整防火墻迅速而又輕松的做出反應。

Astaro同樣致力于辨別新的未知的應用類型，只要新的應用開始觸及客戶網(wǎng)絡(luò)。接下來他們可能會發(fā)布允許管理員選擇性加入及匿名提交未知數(shù)據(jù)包類型給Astaro工程師審核的系統(tǒng)。公司會用收集到的數(shù)據(jù)來識別這些應用并把他們加入到特征數(shù)據(jù)庫中。

Check Point開發(fā)了AppWiki應用庫，并聲稱其可以識別超過5000種應用和100000個社交網(wǎng)絡(luò)小插件。這些應用特征被導進了公司的check point應用控制和識別感知軟件刀片上。同時該軟件結(jié)合了活動目錄來識別用戶和終端,允許管理員自定義安全策略。Check Point還可以對用戶進行實時的指導。當用戶違反安全策略時，用戶電腦上的代理軟件UserCheck會彈出一個窗口，來解釋違反的內(nèi)容并幫助用戶糾正。這款軟件同時讓用戶可以提供反饋意見給管理員，有效地根據(jù)用戶的需求自定義安全策略。

Cisco Systems發(fā)布了在Adaptive Security Appliance (ASA)里增加新的應用可見性的計劃，這也是其最新SecureX安全構(gòu)架的一部分。Cisco聲稱這一新的構(gòu)架重心將不只是應用感知，同時也能進行用戶和設(shè)備識別，目前關(guān)于Cisco如何改善應用可見性的細節(jié)仍然很模糊。

Fortinet的FortiGate設(shè)備的應用控制功能用協(xié)議解碼器和網(wǎng)絡(luò)流量解密來識別應用的。該公司的FortiGuard實驗室團隊保留了一個應用特征數(shù)據(jù)庫，并且會為新應用添加特征同時為升級的應用更新特征。該應用庫能使Fortinet產(chǎn)品對單一網(wǎng)站上的不同應用進行分離，比如Facebook或Google,還允許單獨分配策略。Fortinet聲稱他們的產(chǎn)品與其他廠商相比有性能和集成上的優(yōu)勢，因為所有的技術(shù)都是自己開發(fā)的。

Juniper Networks使用一套叫AppSecure的軟件產(chǎn)品，為SRX服務網(wǎng)關(guān)提供下一代防火墻能力。被稱為AppTrack的應用感知組件，依據(jù)Juniper的特征庫和企業(yè)管理員建立的通用應用特征來為網(wǎng)絡(luò)提供可見性。利用AppTrack提供的可見性，AppFirewall和AppQos組件套就能夠?qū)眠M行策略實施和流量控制。同時，Juniper還聲稱其平臺具有很好的擴展性，并且交付應用的速度可達100Gpbs。

McAfee最近被Intel收購了，McAfee是利用它的McAfee AppPrism技術(shù)進行應用發(fā)現(xiàn)和感知的。借助Mcafee全球威脅智能團隊獨立研發(fā)應用特征，AppPrism可以識別成千上萬個應用，無需考慮端口或協(xié)議。AppPrism也提供更高級別的應用控制，允許管理員關(guān)閉應用中存在風險的部分。例如，管理員可以利用該技術(shù)關(guān)閉即時聊天軟件中的文件共享功能而不影響用戶的正常聊天。McAfee聲稱它的下一代防火墻具有一定的優(yōu)勢，因為它的應用感知技術(shù)是它防火墻架構(gòu)的核心部分，所有組件包括應用特征都是內(nèi)部研發(fā)的。

Palo Alto Networks表示它是第一個推出下一代防火墻的廠商，并且是第一個用應用感知代替端口式流量分類的廠商。公司的產(chǎn)品是基于一個叫App-ID的分類引擎。App-ID通過多種技術(shù)隊應用進行識別，包括解密，檢測，解碼，簽名以及試探等技術(shù)。對于已知應用的個別App-ID可以依靠這些技術(shù)中的任何一種組合，用引擎來識別該應用的所有版本以及該應用運行的所有平臺。App-ID，作為Palo Alto防火墻的核心部分，會一直運行著，所以當應用啟動了一個功能時，它就可以識別到，比如文件傳輸，它還可以為特殊功能申請策略。該廠商還表示App-ID是可擴展充的，只要新的技術(shù)可用，就可以加到分類引擎中。

【編輯推薦】

1. 下一代防火墻常見問答
2. Gartner報告 關(guān)于下一代防火墻 
3. 下一代防火墻將逐步普及
4. 關(guān)于下一代防火墻你應該知道的事情