20歲對人來說只是剛進(jìn)入青年期，但對信息技術(shù)來說已經(jīng)表示了幾代興衰更替，防火墻從上世紀(jì)90年代初面世，大約在10年前，有些安全行業(yè)分析家曾預(yù)言防火墻將逐漸衰落，誰料這種技術(shù)發(fā)展至今已近20載，一直歷久長青，其原因何在？

隨著IT基礎(chǔ)設(shè)施不斷演變及安全威脅日趨復(fù)雜，這的確對防火墻帶來沖擊，每一輪沖擊波都導(dǎo)致防火墻"變身"加強(qiáng)以求存。例如在上世紀(jì)90年代后期，便攜式電腦及遠(yuǎn)程訪問在企業(yè)IT環(huán)境變得普及，業(yè)界開始談?wù)摼W(wǎng)絡(luò)邊界消失的課題，數(shù)年后，SSL VPNs的出現(xiàn)以及智能手機(jī)變得雨后春筍，防火墻的角色再被檢討，而現(xiàn)今甚囂塵上的云運(yùn)算成為新一輪的沖擊波。

然而互聯(lián)網(wǎng)安全解決方案供應(yīng)商Check Point 軟件技術(shù)有限公司中國區(qū)技術(shù)經(jīng)理劉剛指出，防火墻是一種高韌性、改進(jìn)力強(qiáng)的技術(shù)，它往往可以提升自己的安全能力，適應(yīng)IT環(huán)境的變化。

邊界控制

Check Point 中國區(qū)技術(shù)經(jīng)理劉剛指出，網(wǎng)絡(luò)在過往10年變得非常復(fù)雜，盡管其邊界變得更為寬廣且零碎，但它仍然存在，在內(nèi)部網(wǎng)絡(luò)、可信任基礎(chǔ)設(shè)施以及外界不可信網(wǎng)絡(luò)間仍有區(qū)分。機(jī)構(gòu)使用多種不同的途徑來訪問企業(yè)數(shù)據(jù)，例如來自便攜式電腦與智能手機(jī)基于客戶端以及無客戶端的VPNs，或者云應(yīng)用程序，但無論如何，邊界仍舊存在。整個網(wǎng)絡(luò)的活動只是變得更為復(fù)雜，包括需要管理更多事件、更多的訪問通道，以及比前更大的信息流量

劉剛表示，不妨將企業(yè)網(wǎng)絡(luò)比作一個國家，我們可以通過多種途徑可到達(dá)該國，包括航空、火車、海路或者陸船，這就像不同的途徑接入網(wǎng)絡(luò)一樣，盡管途徑眾多，邊界的安全控制還是極度重要的，為了有效地監(jiān)控檢查不同種類的客流，便需要在機(jī)場、客輪碼頭以及國際火車站實施不同種類的安全控制措施。

重新武裝網(wǎng)關(guān)

網(wǎng)關(guān)需要與時俱進(jìn)，才能適應(yīng)21世紀(jì)的IT環(huán)境。網(wǎng)關(guān)不應(yīng)只執(zhí)行簡單的監(jiān)控特定端點、IP地址或者每個地址進(jìn)出的數(shù)據(jù)流，而是應(yīng)該能夠詳細(xì)地檢測更為具體的用戶與應(yīng)用程序活動。

實際上，通過對數(shù)據(jù)包的分析，防火墻在過往17年已經(jīng)可以監(jiān)控使用中的應(yīng)用程序，現(xiàn)今的挑戰(zhàn)是在于增強(qiáng)防火墻功能，使它能更深入探究通過網(wǎng)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)流量，確認(rèn)哪些才是真正地正在運(yùn)行的應(yīng)用程序，并追蹤出那些正在使用它們的用戶。在企業(yè)內(nèi)部細(xì)致掌握應(yīng)用程序的動態(tài)，以及更準(zhǔn)確的用戶可視性是必需的，以便識別及管理各種副應(yīng)用程序，根據(jù)真實的個人用戶與業(yè)務(wù)需求，量身定做網(wǎng)絡(luò)應(yīng)用程序使用。

一個基于模塊化、以軟件驅(qū)動的方針才可令防火墻支持多種不同的安全功能，它能根據(jù)用戶需求、新安全問題或者企業(yè)安全需求的變化，激活或增加特定功能。此外，如果網(wǎng)關(guān)是用于監(jiān)控用戶的活動，它可以變成一個運(yùn)行數(shù)據(jù)防泄漏方案(DLP)的理想平臺，DLP將會監(jiān)控并且識別公司內(nèi)部正在被發(fā)送出去的電子郵件或者網(wǎng)絡(luò)應(yīng)用程序中所潛在的敏感信息，標(biāo)記潛在問題，并向管理員與用戶發(fā)出示警。

現(xiàn)代安全網(wǎng)關(guān)仍然守衛(wèi)著網(wǎng)絡(luò)邊界，防火墻在與時俱進(jìn)不斷增加功能，簡單而言，防火墻在長大變強(qiáng)，而非日漸變老。