網(wǎng)絡(luò)安全呼喚下一代防火墻技術(shù)

　　目前，防火墻仍是很多單位最重要的安全設(shè)備之一。但隨著新型威脅造成的危害日益嚴(yán)重，有些類型的防火墻，特別是全狀態(tài)數(shù)據(jù)包檢測(SPI)已經(jīng)開始過時(shí)，雖然有人認(rèn)為這種說法有點(diǎn)兒夸張。

　　狀態(tài)檢測的問題在于它僅重視端口和IP地址。端口就像電路斷路器一樣：在重要的流量流過時(shí)，用它作為過濾標(biāo)準(zhǔn)顯得過于笨拙。而且，IP地址沒有與用戶綁定，使得用戶可以用一種完全不同的設(shè)備來逃避策略。

　　解決這個(gè)問題的關(guān)鍵在于：要重視用戶，要重視用戶所使用的應(yīng)用程序以及用戶用每一個(gè)應(yīng)用程序正在做什么，尤其是那些容易被人利用其漏洞的應(yīng)用程序。當(dāng)前，80號端口的“阻止/準(zhǔn)許”已經(jīng)不夠精細(xì)。甚至像“阻止/準(zhǔn)許”社交軟件(如Facebook)這樣的操作也已經(jīng)遠(yuǎn)遠(yuǎn)不夠了。相反，防火墻必須支持準(zhǔn)許用戶從事與業(yè)務(wù)相關(guān)活動(dòng)的策略，而不管他使用什么樣的計(jì)算機(jī)。

　　當(dāng)然，新技術(shù)絕不應(yīng)當(dāng)僅關(guān)注社交軟件，公司使用的任何其它的web2.0軟件，都應(yīng)當(dāng)包括其中。

　　下一代防火墻技術(shù)

　　下一代防火墻應(yīng)當(dāng)專注于應(yīng)用程序、用戶和活動(dòng)，而不是端口和IP。它可以控制用戶的操作，從而保障Web和電子郵件等的安全，并將其應(yīng)用于所有應(yīng)用程序。其次，下一代防火墻還應(yīng)擁有反惡意軟件技術(shù)，并在底層完全集成到防火墻中，從而避免單獨(dú)的組件在掃描同樣的內(nèi)容時(shí)所造成的延遲。集成的必要性還由于當(dāng)今威脅的復(fù)雜性。

　　避免延遲至關(guān)重要，因?yàn)榉阑饓Ρ仨氉銐蚩?，其目的是在不損失性能的情況下準(zhǔn)許所有的網(wǎng)絡(luò)通信通過防火墻。理想情況下，這種集中化的控制還包括云和移動(dòng)通信。相比之下，典型的UTM(統(tǒng)一威脅管理)解決方案太慢，因?yàn)樗]有完全地集成，只夠中小型企業(yè)勉強(qiáng)使用。

　　每一個(gè)安全組件都應(yīng)當(dāng)是最優(yōu)的。或者說，一群“平庸之輩”難成大事。下一代防火墻必須能夠檢測運(yùn)行在SSL加密通信中的內(nèi)容，或使用模糊技術(shù)，它必須建立在專用的特定硬件基礎(chǔ)上。

　　下一代防火墻必須提供出色的透明性。在管理員設(shè)置策略之前，必須知道網(wǎng)絡(luò)上正在發(fā)生什么，這對于當(dāng)今的多數(shù)防火墻來說是很難實(shí)現(xiàn)的。它還必須提供杰出的精細(xì)度，同時(shí)還要提供諸如“不允許在網(wǎng)絡(luò)上進(jìn)行基于瀏覽器的即時(shí)通信”之類的高級策略。下一代防火墻還必須擁有極低的總擁有成本，要富有成效。

　　最后，下一代防火墻還必須能夠隨著當(dāng)今網(wǎng)絡(luò)所面臨的威脅的變化不斷演化，即公司需要投資于能夠解決網(wǎng)絡(luò)黑手正在和將要觸及的諸多方面。

　　如何識別下一代防火墻

　　那么，怎樣區(qū)分一種防火墻是否是下一代防火墻呢?

　　首先，它應(yīng)當(dāng)擁有獨(dú)立的基于應(yīng)用程序的策略，而不是擁有“雙重”策略(基于應(yīng)用程序和基于端口/IP)。下一步，你不妨訪問一個(gè)Web2.0應(yīng)用程序，如SharePoint，檢查這個(gè)防火墻是否能夠識別它的名字，而不是僅將其識別為Web通信。要在應(yīng)用程序水平上測試防火墻，而不是在傳統(tǒng)的“位”的基礎(chǔ)上測試。

　　其次，如果廠商向你列示了每個(gè)安全組件的不同吞吐量或速率，如IPS、DLP、反病毒、防火墻等，而且每個(gè)組件的速度是在關(guān)閉其它組件的情況下測試的，就可斷定，它集成得不太好。真正的下一代防火墻應(yīng)當(dāng)擁有一個(gè)統(tǒng)一的吞吐量數(shù)字。

　　當(dāng)然，上述標(biāo)準(zhǔn)也許過于苛求，選用與否主要取決于防火墻所適用的信息安全需要和網(wǎng)絡(luò)環(huán)境。