應(yīng)用下一代防火墻(NGFW)的一個優(yōu)點是在為特定的應(yīng)用程序元素設(shè)定和管理策略時，可以提高應(yīng)用意識和粒度。

相比之下，老一代防火墻依賴于特定規(guī)則集的端口和協(xié)議進行工作。例如，如果創(chuàng)建的防火墻規(guī)則是通過端口20和21來阻止傳入的數(shù)據(jù)包時，那么用戶就不能使用任何其它文件傳輸協(xié)議，但是這對于使用文件傳輸協(xié)議的IT部門來說太不適用了。這樣，就有必要為使用FTP協(xié)議的用戶建立另一個規(guī)則集，還有一些附加的特例。于是一個簡單的問題就變成了一系列復(fù)雜麻煩的規(guī)則。

圖1 大量的應(yīng)用程序數(shù)據(jù)庫可以幫助管理員來確定特定軟件的相對風(fēng)險

這時，粒度應(yīng)用程序控制就派上用場了。新一代防火墻產(chǎn)品有廣泛的應(yīng)用程序數(shù)據(jù)庫，網(wǎng)絡(luò)管理員可以利用這些數(shù)據(jù)庫來對特定行為建模，精心制定細粒度的訪問策略。這些應(yīng)用程序數(shù)據(jù)庫到底是有多么廣泛呢?可以看一下Palo Alto Network’s Applipedia(圖1)。在圖1中，你可以看到特定應(yīng)用程序的相對風(fēng)險，它們可以躲避的典型安全檢測產(chǎn)品還有它們使用的技術(shù)。

思科(Cisco)的SenderBase和邁克菲(McAfee)的TrustedSource有著相似的數(shù)據(jù)庫，都可以免費用于瀏覽和教育目的，而且都作為他們下一代應(yīng)用感知引擎的基礎(chǔ)。

我們可以回顧一下思科ASA防火墻線是如何將應(yīng)用感知付諸實踐。

第一步是真正設(shè)定好要去一個應(yīng)用感知策略。就像我們想要阻止某些特定的臉譜網(wǎng)(Facebook)應(yīng)用程序功能，如發(fā)布信息和玩游戲，但是仍然允許用戶瀏覽他們的涂鴉墻。

圖2 為Facebook創(chuàng)建一個應(yīng)用感知策略

我們從圖2屏幕所顯示的內(nèi)容開始創(chuàng)建一個應(yīng)用感知策略。在應(yīng)用程序/服務(wù)箱中，我們首先在Facebook上輸入文字，那么你可以看到可供選擇的不同的預(yù)置Facebook策略模版，包括特定內(nèi)容如運動或事件。

圖3 簡單的滑塊控制可以實現(xiàn)Facebook策略的多方面功能

這時，我們應(yīng)該要專注于已創(chuàng)建的策略。接下來請看圖3，圖3的內(nèi)容展示了你可以使用簡單的滑塊控制來實現(xiàn)多種策略，例如允許附件上傳或下載，阻止任何人的Facebook賬號上傳照片。

用新一代防火墻來設(shè)定這些應(yīng)用程序?qū)虿呗员扔美弦淮丝?協(xié)議方法要簡單得多。使用老一代防火墻，在你確定可以阻止或允許特定行為之前，你需要對規(guī)則集進行大量的實驗。當今大部分下一代防火墻操作都和已展示的思科ASA相似，都有便于使用的圖形界面。

圖4 下一代防火墻的控制面板展示整個網(wǎng)絡(luò)的安全漏洞

圖4是下一代防火墻的控制面板，清晰地呈現(xiàn)了一個示例網(wǎng)絡(luò)已經(jīng)被發(fā)現(xiàn)的各種安全漏洞。

隨著特定應(yīng)用程序策略的誕生，你有責任去明白你所允許或阻止的通過該網(wǎng)絡(luò)的內(nèi)容。你也應(yīng)該將任意策略和你的人力資源部或其它部門協(xié)調(diào)，來確保你可以始終如一地應(yīng)用這些策略，并滿足你公司的特定標準和實踐需求。