談到人類生活的空間和無限的宇宙，大家都會(huì)有很大的興趣和很強(qiáng)的神秘感，認(rèn)為多維空間的環(huán)境中，存在我們未知的事物，但從人的肉眼中只能看到是個(gè)長、寬、高三個(gè)維度所構(gòu)成的空間，最多我們還可以加入時(shí)間，讓時(shí)空互相聯(lián)系，所以對于我們來說生活在一個(gè)四維時(shí)空。說到這里，讓我們也想起，近年的一部大片諾蘭的“盜夢空間”他突破了時(shí)空的限制，讓電影中的時(shí)間與空間隨意的跳躍交錯(cuò)，讓人不得不佩服“諾蘭改變電影結(jié)構(gòu)”的這句話。但網(wǎng)絡(luò)是否也能空間多維化，讓一個(gè)個(gè)數(shù)據(jù)包不再是二級制數(shù)字，而是一個(gè)真實(shí)的網(wǎng)絡(luò)空間表現(xiàn)！

我們先來縱觀一下防火墻的發(fā)展，我們看到最早人們?yōu)榱朔雷o(hù)火災(zāi)或者大風(fēng)，都要建立高于屋面的墻面，這樣高高的墻面，可以防止在相鄰民居發(fā)生火災(zāi)的情況下，起到隔斷火源的作用。同樣我們把網(wǎng)絡(luò)中進(jìn)行安全隔離，防止由于一些區(qū)域電腦感染病毒，而蔓延到整個(gè)業(yè)務(wù)網(wǎng)絡(luò)，而且如果部署在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)的邊緣，也可以起到防止外部非法流量訪問業(yè)務(wù)網(wǎng)絡(luò)。

早期的防火墻，主要通過查看數(shù)據(jù)流的源IP地址、目的IP地址和交互端口，綜合這些因素進(jìn)行安全的行為判定。由于這些固定方式的安全查看也帶來很多的問題，不能支持動(dòng)態(tài)端口協(xié)商的應(yīng)用處理，像某些應(yīng)用程序在協(xié)商信道和數(shù)據(jù)信道并不是固定的端口，數(shù)據(jù)端口的使用往往需要協(xié)商后獲得，比較隨機(jī)，這對早期的防火墻是很大的挑戰(zhàn)。還有些情況，用戶IP地址經(jīng)常會(huì)被篡改，所以通過IP地址限制特定用戶是無法實(shí)現(xiàn)的。

為了解決這些問題，防火墻做了一次技術(shù)的變革，增加了深度包檢測的功能，對動(dòng)態(tài)端口的應(yīng)用協(xié)議進(jìn)行深度結(jié)構(gòu)化檢測，動(dòng)態(tài)協(xié)商的數(shù)據(jù)端口采用動(dòng)態(tài)放行方式。同時(shí)也對數(shù)據(jù)認(rèn)證源進(jìn)行改進(jìn)，結(jié)合微軟活動(dòng)目錄，加強(qiáng)與身份認(rèn)證系統(tǒng)的互動(dòng)，讓用戶認(rèn)證不再僅通過IP地址進(jìn)行識別。

看似這樣的改變解決了我們面臨的問題，但技術(shù)的發(fā)展是永遠(yuǎn)不會(huì)止步的，當(dāng)今互聯(lián)網(wǎng)的主要趨勢正在向應(yīng)用發(fā)展，帶來虛擬化、智能終端、BYOD等新的概念和技術(shù)。如今，一般員工越來越習(xí)慣在移動(dòng)設(shè)備上使用消費(fèi)者應(yīng)用訪問基于Web的服務(wù)，來滿足個(gè)人和工作兩方面的需求。這些員工希望能夠在企業(yè)網(wǎng)絡(luò)上使用其常用的應(yīng)用。IT消費(fèi)化也已成為趨勢-員工希望能夠在工作場所輕松使用其個(gè)人手機(jī)、平板電腦和筆記本電腦，而且不用擔(dān)心會(huì)遭到黑客攻擊。這次技術(shù)的變革也帶來我們對安全更高的需求，我們更需要一個(gè)把用戶真實(shí)環(huán)境中的信息作為安全的因數(shù)，體現(xiàn)在網(wǎng)絡(luò)世界中。

思科ASA5500X下一代防火墻對網(wǎng)絡(luò)安全進(jìn)行了全新的詮釋，不再是一個(gè)IP地址就代表了一個(gè)用戶，一條訪問控制列表就能保證網(wǎng)絡(luò)的安全，而是把扁平的線性網(wǎng)絡(luò)重新構(gòu)建成一個(gè)真實(shí)的生活空間。我們從人的肉眼中能看到是個(gè)長、寬、高三個(gè)維度所構(gòu)成的空間，而思科下一代防火墻對這個(gè)空間進(jìn)行了更詳細(xì)的描繪，添加了用戶接入的使用設(shè)備、接入網(wǎng)絡(luò)中所處的物理位置、接入時(shí)間、接入使用的網(wǎng)絡(luò)類型。同時(shí)結(jié)合用戶訪問的網(wǎng)站信譽(yù)度、使用的哪些應(yīng)用軟件等因子，讓一個(gè)真實(shí)的用戶所處的多維空間呈現(xiàn)在網(wǎng)絡(luò)中。

試想如果要在網(wǎng)絡(luò)中構(gòu)建一個(gè)真實(shí)的多維空間，哪些是我們需要的關(guān)鍵技術(shù)呢？首先大家都會(huì)想到用戶識別，訪問用戶是什么身份、他會(huì)有哪些權(quán)限、如何去鑒別用戶？這個(gè)需求是很好解決的，我們可以結(jié)合微軟活動(dòng)目錄等多種的后臺數(shù)據(jù)庫，有效的實(shí)現(xiàn)了用戶定位，幫助網(wǎng)絡(luò)管理人員真正達(dá)到活動(dòng)目錄認(rèn)證/防火墻策略和身份的對應(yīng)，使得策略身份化，訪控更加精細(xì)，管理更加方便。

其次智能終端的出現(xiàn)帶來很大的安全挑戰(zhàn)，也帶動(dòng)了安全的發(fā)展機(jī)遇，下一代的防火墻必須具備設(shè)備識別的功能才有可能滿足市場的需求，對智能終端的識別可以幫助企業(yè)和用戶加強(qiáng)安全防范，控制安全風(fēng)險(xiǎn)。

然后惡意網(wǎng)頁、流氓軟件、游戲網(wǎng)站……互聯(lián)網(wǎng)上滿天飛的年代，如何保證網(wǎng)絡(luò)訪問安全，同時(shí)滿足用戶的體驗(yàn)。我們不僅要通過內(nèi)部流量可視化，帶寬精準(zhǔn)控制，也需要一個(gè)全球的信用度評價(jià)系統(tǒng)幫助鑒別那些未知網(wǎng)站的安全。

思科提供了世界最大的威脅分析系統(tǒng)—思科安全智能運(yùn)營中心(SIO)。它包括超過700,000個(gè)全球傳感器，每天可查看超過50億次Web請求，以及35%的全球流量。SIO持續(xù)收集其接收到的所有信息，對網(wǎng)絡(luò)、域和應(yīng)用進(jìn)行分類并為其分配信譽(yù)分?jǐn)?shù)。這些分?jǐn)?shù)通過集中計(jì)算，3-5分鐘迅速分配至配置為接收這些分?jǐn)?shù)的思科設(shè)備。ASACX收到這些分?jǐn)?shù)后，更新其全球環(huán)境存儲(chǔ)庫，開始識別新興威脅，并著手實(shí)施防御這些威脅的操作。 

講了這么多，我們用一個(gè)場景幫助大家更好的理解思科下一代防火墻如何改變網(wǎng)絡(luò)空間，讓網(wǎng)絡(luò)不再扁平，把網(wǎng)絡(luò)真正映射成一個(gè)現(xiàn)實(shí)的空間。

試想我們工作的普通一天，大家到了公司第一件事情當(dāng)然是打開電腦處理郵件，找不同部門的同事協(xié)調(diào)事情，在上班時(shí)候沒法訪問公司業(yè)務(wù)以外的應(yīng)用，但休息時(shí)間和下班后是可以訪問的,這就是我們把時(shí)間加入了到網(wǎng)絡(luò)維度中，如果你在非工作區(qū)上網(wǎng)將僅能訪問internet，可以理解為我們把地點(diǎn)也加入了網(wǎng)絡(luò)安全維度。同時(shí)我們也對使用不同設(shè)備進(jìn)行控制，普通員工使用智能終端是不能訪問業(yè)務(wù)網(wǎng)絡(luò)的，但老板或者高級管理人員可以隨時(shí)隨地進(jìn)行。與此同時(shí)，訪問外部的應(yīng)用是否被允許，被訪問的外部網(wǎng)站是否安全，這些問題可以通過思科全球的SIO網(wǎng)站榮譽(yù)度評級，幫助大家過濾有潛在威脅的網(wǎng)站。這樣一個(gè)網(wǎng)絡(luò)安全多維因素結(jié)合起來，協(xié)助我們建立一個(gè)全新的網(wǎng)絡(luò)安全空間。