【51CTO.com綜合報道】隨著Web 2.0的廣泛應(yīng)用和Web化應(yīng)用的爆發(fā)式增長，如今近三分之二的流量都是HTTP和HTTPS流量。Web 2.0應(yīng)用的主要好處包括可增強協(xié)作能力，提高生產(chǎn)效率，以及更深入地了解客戶和潛在客戶的需求。盡管新應(yīng)用帶來了諸多好處，但也帶來了新的安全威脅，并導(dǎo)致網(wǎng)絡(luò)帶寬消耗大幅增長。

過去，IT管理員只能過濾少量端口的內(nèi)容，然后阻止其它端口的所有流量，從而避免所有可能的攻擊載體入侵網(wǎng)絡(luò)，這種時代已經(jīng)過去。如今，IT和威脅格局日益復(fù)雜，因而企業(yè)需要更精準(zhǔn)的IT控制能力。

對傳統(tǒng)防火墻而言，Web應(yīng)用看起來都差不多，都像是正常的HTTP和HTTPS流量，但IT管理員不會上當(dāng)。對某個用戶至關(guān)重要的生產(chǎn)力工具也許對另一名用戶來說卻存在威脅，且浪費時間。然而，傳統(tǒng)的網(wǎng)絡(luò)安全解決方案并不具備這種精準(zhǔn)控制能力，也無法對所有流量進行仔細審查，對流量好壞進行分辨。最后導(dǎo)致企業(yè)應(yīng)用極度混亂。

有效控制應(yīng)用混亂對于保護網(wǎng)絡(luò)遠離Web 2.0威脅以及保留帶寬至關(guān)重要。但如何分辨流量的好壞呢？如何能正確識別、分類和控制應(yīng)用及網(wǎng)絡(luò)帶寬呢？

下一代防火墻簡介

市場研究公司Gartner認為，下一代防火墻（NGFW）是一種集成式線速網(wǎng)絡(luò)平臺，可執(zhí)行深度流量檢測，阻止攻擊。NGFW包含第一代防火墻的所有標(biāo)準(zhǔn)功能，即常見的網(wǎng)絡(luò)功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、包過濾和全狀態(tài)包檢測功能。

NGFW的主要特點是應(yīng)用感知以及網(wǎng)絡(luò)堆棧的完全可視化。NGFW不會像傳統(tǒng)防火墻一樣只依靠端口或協(xié)議來阻止流量，而是會根據(jù)深度包檢測引擎識別到的流量在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。流量控制不再是單純地阻止或允許特定應(yīng)用，而是可用來管理帶寬或優(yōu)先排序應(yīng)用層流量。深度流量檢測讓IT部門可針對單個應(yīng)用組件執(zhí)行細粒度策略。例如，可允許用戶使用即時通訊客戶端，但禁止文件共享。

NGFW還集成了網(wǎng)絡(luò)入侵防御功能，這可不是在傳統(tǒng)防火墻架構(gòu)上簡單添加入侵防御子系統(tǒng)這么簡單。NGFW集成的入侵防御功能是安全引擎的核心組件，無需經(jīng)多個獨立的安全層傳輸同樣的流量，從而提高了性能，增強了安全性。

動態(tài)應(yīng)對變化多端的威脅是NGFW的另一大重要特點。設(shè)備的簽名庫將不斷更新，用于識別新的威脅，更從容地應(yīng)對不斷升級的惡意軟件。

選擇NGFW的五大注意事項

Gartner研究公司建議企業(yè)在更換防火墻和/或入侵防御技術(shù)時，要求供應(yīng)商提供NGFW解決方案。但是，當(dāng)企業(yè)評估NGFW時，一些網(wǎng)絡(luò)安全技術(shù)提供商會宣稱其產(chǎn)品同樣具備NGFW的功能。那么，真正的企業(yè)級NGFW應(yīng)具備哪些功能呢？

第一，性能

Gartner表示，NGFW可在不影響網(wǎng)絡(luò)運行的情況下在網(wǎng)絡(luò)中進行嵌入式配置。換句話說，NGFW只會帶來極低的網(wǎng)絡(luò)延遲。而IPS與其它功能的緊密集成是實現(xiàn)這一點的關(guān)鍵。單通道引擎實現(xiàn)了無縫的策略部署和策略執(zhí)行，而且不會給網(wǎng)絡(luò)帶來任何延遲或大幅降低性能。這一點非常重要，因為啟用NGFW服務(wù)不應(yīng)該導(dǎo)致網(wǎng)絡(luò)運行中斷。

第二，強大的掃描功能

與第一代防火墻相同，NGFW也集成了全狀態(tài)檢測功能。但NGFW與上一代產(chǎn)品的主要不同之處在于它支持深度包檢測（DPI）功能。許多NGFW提供商都在大肆宣傳DPI功能，但對這些產(chǎn)品的測試發(fā)現(xiàn)，DPI功能會大幅降低網(wǎng)絡(luò)的安全防御能力。許多NGFW必須代理文件，才能在網(wǎng)關(guān)掃描文件并阻止惡意軟件，這會給網(wǎng)絡(luò)性能造成嚴(yán)重負面影響。為了避免出現(xiàn)網(wǎng)絡(luò)中斷，一些提供商選擇直接允許數(shù)據(jù)包進入網(wǎng)絡(luò)，而不對其進行掃描。

評估NGFW時，請選擇具備以下功能的NGFW：

●可掃描各種大小的文件，查找其中的病毒、惡意軟件、僵尸網(wǎng)絡(luò)和其它威脅

●可解密、掃描和重新加密SSL數(shù)據(jù)包

●可掃描穿越所有端口的原始TCP流量以及大量協(xié)議

第三，易管理性

隨著企業(yè)開始重視多個站點的安全性，可擴展的、經(jīng)驗證的分布式管理解決方案對于實現(xiàn)安全性和提高投資回報率至關(guān)重要。

第四，應(yīng)用智能、控制和可視化

NGFW有一大基本特點，即控制應(yīng)用并優(yōu)化網(wǎng)絡(luò)中運行的流量。但是，如果NGFW不具備以下功能，也無法實現(xiàn)這一特點：

●  將應(yīng)用智能和控制功能擴展至無線終端；

●  支持自定義應(yīng)用；

●  實時查看網(wǎng)絡(luò)情況；

●  根據(jù)不斷擴展的簽名庫對應(yīng)用進行掃描。

NGFW可不同程度地支持以上功能。為了確保網(wǎng)絡(luò)得到正確、有效的保護，企業(yè)必須了解具體型號的NGFW具備和不具備的功能。

-強大的簽名數(shù)據(jù)庫：NGFW的有效性與可檢測和控制的應(yīng)用數(shù)量息息相關(guān)。

-實時可視化：顯然，對于看不見的事情，企業(yè)無法實現(xiàn)控制和優(yōu)化。評估NGFW時，企業(yè)必須考慮到NGFW是否支持實時查看應(yīng)用和用戶流量。

-對自定義應(yīng)用的考量：盡管網(wǎng)絡(luò)中有許多web應(yīng)用企業(yè)希望及時納入掌控，但大多數(shù)NGFW卻無法控制貴公司的自定義應(yīng)用。但是，要提高有效性，NGFW必須能夠識別企業(yè)的自定義應(yīng)用，并優(yōu)先處理自定義應(yīng)用，再處理其它流量。

-無線端點控制：企業(yè)網(wǎng)絡(luò)邊緣的無線端點數(shù)量正在不斷增多。如果貴公司也面臨這樣的情況，請考慮使用NGFW，它可針對無線用戶提供強大的應(yīng)用智能、控制和可視化功能。只控制有線用戶的流量，而無視大量使用無線網(wǎng)絡(luò)的筆記本電腦的用戶對企業(yè)來說毫無益處。

第五，經(jīng)帶擴展的NetFlow和IPFix報告的能力

NetFlow和IPFix是向外部收集程序報告網(wǎng)絡(luò)流量的兩大行業(yè)標(biāo)準(zhǔn)。NetFlow部署于交換機和路由器，可導(dǎo)出各種數(shù)據(jù)，如IP地址源和目的地、源端口和目標(biāo)端口、3層協(xié)議類型和服務(wù)等級。IPFix和NetFlow版本9經(jīng)擴展后，還可導(dǎo)出網(wǎng)絡(luò)設(shè)備的其它數(shù)據(jù)，如應(yīng)用數(shù)據(jù)、用戶數(shù)據(jù)和URL數(shù)據(jù)。

通過集成入侵防御、全狀態(tài)檢測和深度包檢測功能，NGFW可幫助企業(yè)恢復(fù)對網(wǎng)絡(luò)的控制。

SonicWALL下一代防火墻提供了：

●  應(yīng)用智能 － SonicWALL可掃描所有網(wǎng)絡(luò)流量，包括每個數(shù)據(jù)包的每個字節(jié)，通過了解哪些應(yīng)用處于使用中以及哪些用戶在使用這些應(yīng)用，可實現(xiàn)完整的應(yīng)用智能和控制功能，不管企業(yè)采用什么端口或協(xié)議。

●  應(yīng)用控制 － 應(yīng)用智能、控制和可視化增強了管理性和易用性，讓IT管理員可實現(xiàn)對應(yīng)用和用戶的細粒度控制。管理員可根據(jù)預(yù)先定義的邏輯類別（如社交媒體或游戲）、個別應(yīng)用或用戶和用戶組輕松創(chuàng)建帶寬管理策略。

●  應(yīng)用可視化 － 要正確控制網(wǎng)絡(luò)使用，管理員必須能實時查看應(yīng)用流量，并根據(jù)觀察到的情況調(diào)整網(wǎng)絡(luò)策略。SonicWALL Application Flow Monitor提供了有關(guān)應(yīng)用、入口和出口帶寬、訪問的網(wǎng)站以及所有用戶行為的實時圖表。作為SonicWALL NGFW的緊密集成功能，SonicWALL應(yīng)用智能、控制和可視化將網(wǎng)絡(luò)控制權(quán)重新還給IT管理員，可輕松分辨好應(yīng)用和壞應(yīng)用，從而提升生產(chǎn)效率，而不會影響安全性。