下一代防火墙 决胜于应用层

为什么说下一代防火墙，决胜于应用层

几乎没有人怀疑防火墙在企业所有的安全设备采购中所占据的重要位置，但传统的防火墙并没有解决网络主要的安全问题。从实现技术来讲，传统的防火墙主要是包过滤防火墙，实现的是网络层控制 — 截获网络中的数据包，根据协议进行解析，最后利用包头的关键字段和预设的过滤规则做对比，决定是否转发该数据包。随着应用层各种应用的丰富，越来越多的应用层协议出现，随之而来的是黑客可以越来越多的直接在应用层发起攻击。

根据著名调查机构Gartner的统计，近年来75%的网络攻击都是发生在应用层上。甚至之前典型的以网络层流量“制胜”的DDoS攻击，近年来也有向应用层下移的趋势 — 截止2013年，四分之一以上的DDoS攻击都是基于应用程序的，而且这个比例还在逐年提高。与之形成鲜明对比，随着互联网技术的迅速发展，关键业务活动越来越多的依赖于互联网应用，这也就意味着暴露越来越多的风险隐患点。

新一代安全 角力新战场

传统防火墙主要针对通用协议进行处理，无力对应用协议包进行分析，难以防范更具针对性的网络攻击。随着技术的发展进步和互联网+时代的业务需求，现在的防火墙用户亟需对数据包进行更深层次的检查和过滤。例如，用户可以通过QQ传输文件，而传输的文件有可能就是引入风险的恶意文件。在这种业务场景下，即使传统防火墙可以通过端口号确认了运行的QQ服务，也无法做到文件层面的深度检测，更不用提还有很多运行在非标准端口上的应用。

尽管现在就断言传统的以策略为核心的防护体系已经完全失效还为时过早，但在黑客的攻击手段从网络层攻击为主向Web攻击为主转换的大背景下，我们可以得出一个结论：缺少了应用层检测和防护能力的防火墙，不可避免的面临着“廉颇老矣，尚能饭否”的窘境；新一代安全的关注点，就在于应用安全，就在于针对Web应用层提供完整的解决方案。

下一代防火墙如何化解应用层危机

有不止一个理由可以让下一代防火墙成为“下一代”，用户身份感知能力、高可扩展性、应用感知能力（application awareness）都是下一代防火墙的典型标签，但“应用感知能力”毫无疑问是最容易关联到下一代防火墙的热词。应用感知这个概念，看起来已经很清晰，但在某种程度上又很有误导性。说它已经清晰是因为下一代防火墙可以将流量具体关联到特定的应用上，说它具有误导性是因为下一代防火墙的安全能力不应仅局限于检测识别应用的流量，更重要的是作用于识别的结果：有选择性的阻断或以其他方式限制对应用的使用，甚至是应用的子应用，而不是仅像传统防火墙一样只是阻断特定的端口和协议。

新安全形势下，防火墙用户需要对全网所运行的应用有更深的理解和认知。近年来较新的安全设备很多都提供了深度报文检查（DPI）、精细化管控和应用感知功能，帮助企业管控网络边界。根据Gartner研究总监Eric Maiwald的研究结果，“现代防火墙或多或少都有些下一代的基因在里面，包括集成的入侵检测功能（IPS）和更好的应用控制能力。这些似乎已经成为了当今防火墙设备的标配，几乎所有的主流安全厂商都能娓娓道来一段有关下一代的故事”。但故事终究是故事，比听故事更重要的是理解如何评估“下一代”，以及是否应该迁移到“下一代”。

对异常行为的实时检测和分析是促使很多用户升级到下一代防火墙的主要动力。很多IT主管都反映，部署了下一代防火墙后最明显的变化是对失陷主机的检测 — 有些企业在部署当天便能发现内网中的僵尸网络和已被入侵的主机。这得益于下一代防火墙可以检测数据包的有效荷载并根据这些实际内容做出相应决定，还能提供更好的内容过滤能力 — 可以审查完整的网络数据包，而不仅仅是网络地址和端口，这就使得下一代防火墙有更强大的日志记录功能，例如可以记录某个特定程序发出的命令这样的日志事件，这为识别应用的异常行为提供了很有价值的信息。

更精细的应用层安全控制是下一代防火墙的另一个“杀手锏”。在网络威胁更多的来源自应用层这个大背景下，用户对网络访问控制自然要提出更高的要求。如何精确的识别出用户和应用、阻断隐藏安全隐患的应用、保证合法应用的正常使用等问题，已经成为现阶段用户所关注的焦点。但在网络应用高速发展的今天，超过90%的网络应用运行在HTTP 80和443端口上，大量应用可以进行端口复用和IP地址修改，导致IP地址不等于用户、端口号不等于应用，传统的基于五元组的访问控制策略已无用武之地。下一代防火墙的用户、应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制；如果能够实现与多种认证系统（AD、LDAP等）无缝对接的话，还可以进一步自动识别出网络中当前IP所对应的用户信息，勾画出人-内容-应用的立体画像，满足新一代安全的网络管控要求。

下一代防火墙不是万金油

与传统的基于特征的检测引擎不同，下一代防火墙与生俱来的基因是感知用户和应用的行为，归根结底是要理解网络报文的上下文背景。尽管这省去了特征库，但并不意味着下一代防火墙从此摆脱了定期升级的繁琐工作；相反，下一代防火墙更需要不间断的学习日益增长的应用指纹特征以保持对应用识别的时效性。由于这类指纹特征不依赖于端口、协议等易于识别的特征，有时甚至可能还会包含特定报文的内容，因此维护下一代防火墙的规则集是一项更为繁重的任务。此外，对于非通用型的应用，如很多大型企业定制开发的私有应用，下一代防火墙很可能会无法识别。在这种情况下，用户仍需手动添加应用指纹特征，且在每次私有应用升级后可能还要重复这一过程。下一代防火墙如此的不智能，会让很多用户对“下一代”印象大打折扣。

下一代应用层防火墙技术克服了传统“边界防火墙”的缺点，集成了IPS、防病毒等安全技术，实现从网络到服务器以及客户端全方位的安全解决方案，满足企业实际应用和发展的安全要求。展望未来，随着更加隐蔽的应用层攻击不断出现，未来防火墙将会面临更多协议的解析、更多应用的识别，因此未来应用层防火墙必将向着更大的防护功能面和更细致的粒度管控这个方向发展。