雖然網(wǎng)絡(luò)工程師和分析師十分鐘愛(ài)下一代防火墻，或稱(chēng)應(yīng)用感知防火墻，但是技術(shù)仍在發(fā)展中。所以許多企業(yè)都保留著原有的防火墻和協(xié)議，至少到現(xiàn)在為止是這樣的。

網(wǎng)絡(luò)系統(tǒng)工程師Mike Wade，是Palo Alto Networks最早的下一代防火墻使用者，他在Summa Health（俄亥俄州醫(yī)院與醫(yī)學(xué)中心）系統(tǒng)的網(wǎng)絡(luò)周邊就部署了應(yīng)用感知防火墻。Palo Alto的防火墻位于網(wǎng)絡(luò)DMZ的外圍。然而，他的網(wǎng)站中仍然有傳統(tǒng)的狀態(tài)防火墻，如Cisco ASA 5500s，就位于DMZ的內(nèi)側(cè)。這兩個(gè)防火墻就這樣背靠背地部署在他的主數(shù)據(jù)中心和次級(jí)"hot site"數(shù)據(jù)中心當(dāng)中。

DMZ兩側(cè)不同類(lèi)型的防火墻服務(wù)于不同的需求，Wade說(shuō)?！癉MZ兩側(cè)的具體需求總是不一樣的，”他說(shuō)?！巴鈧?cè)的防火墻會(huì)受到不斷的攻擊，而內(nèi)側(cè)的防火墻只限于去處理路由至防火墻的一些流量而已?！?/P>

Palo Alto防火墻可以?huà)呙韫魯?shù)據(jù)中心的應(yīng)用程序，而Cisco ASA可以檢查端口和協(xié)議。分層防火墻的使用是安全策略的一部分，可劃分職責(zé)，Wade說(shuō)。他現(xiàn)在就負(fù)責(zé)DMZ外圍及周邊的設(shè)備，同時(shí)還有一個(gè)單獨(dú)的網(wǎng)絡(luò)小組負(fù)責(zé)DMZ內(nèi)側(cè)的ASA。

“如果有人能夠破解我的密碼或其他安全信息，那么攻擊者到達(dá)二級(jí)防火墻時(shí)，需要面對(duì)復(fù)雜的個(gè)人化（內(nèi)部網(wǎng)絡(luò)管理人員）信息以及完全不同的其他設(shè)備，”Wade說(shuō)?！拔覀兊脑O(shè)想是在如此機(jī)關(guān)重重的情況下，攻擊者就不得不選擇放棄?！?/P>

盡管最近一段時(shí)間應(yīng)用感知防火墻被炒作的很厲害，但是至少在接下來(lái)的幾年內(nèi)，狀態(tài)端口和協(xié)議防火墻仍會(huì)在大多數(shù)網(wǎng)絡(luò)中博得一席之地。

狀態(tài)防火墻在網(wǎng)絡(luò)演進(jìn)的十字路口

過(guò)去的15年當(dāng)中，在網(wǎng)絡(luò)安全領(lǐng)域，狀態(tài)防火墻一直是處于第一道防線(xiàn)上。就像是嗅探端口和協(xié)議的交警，在網(wǎng)絡(luò)工程師等制定的成千上萬(wàn)條規(guī)則的基礎(chǔ)上為流量采取最恰當(dāng)?shù)拇胧?/P>

但是網(wǎng)絡(luò)不斷變化的本質(zhì)已經(jīng)拋棄了這種陳舊的防火墻架構(gòu)。網(wǎng)站上可以運(yùn)行無(wú)數(shù)單獨(dú)的應(yīng)用程序——比如聊天、視頻、文件傳輸，甚至是類(lèi)似于Salesforce.com這樣的企業(yè)應(yīng)用程序。因?yàn)檫@些應(yīng)用程序都需要在Web上運(yùn)行，所以傳統(tǒng)防火墻將其視為HTTP或HTTPS 以及 Port 80 或Port 443。黑客之所以把這些端口當(dāng)做攻擊目標(biāo)是因?yàn)檫@些流量對(duì)于防火墻來(lái)說(shuō)是不可見(jiàn)的，并且看起來(lái)類(lèi)似于合法的Web流量。

傳統(tǒng)防火墻的劣勢(shì)帶來(lái)了紛繁的網(wǎng)絡(luò)世界，繼而出現(xiàn)了多種多樣的網(wǎng)絡(luò)安全應(yīng)用程序和軟件。網(wǎng)絡(luò)工程人員部署了許多產(chǎn)品來(lái)填補(bǔ)這個(gè)技術(shù)與市場(chǎng)的空白，這些產(chǎn)品的覆蓋范圍可以從入侵檢測(cè)與防御系統(tǒng)(IDS/IPS)和殺毒軟件到Web過(guò)濾和內(nèi)容過(guò)濾產(chǎn)品等。

下一代防火墻的新品牌，或稱(chēng)應(yīng)用感知防火墻的新品牌，它們更多地注重OSI模型中的應(yīng)用層而不是端口和協(xié)議，目的在于實(shí)現(xiàn)基于策略的應(yīng)用訪(fǎng)問(wèn)。幾乎市場(chǎng)上的每一個(gè)防火墻供應(yīng)商（除了Cisco之外）都有了自己的下一代防火墻產(chǎn)品。根據(jù)不同供應(yīng)商對(duì)下一代防火墻的不同理解，其應(yīng)用程序也都不盡相同。有些廠(chǎng)商的產(chǎn)品只可以識(shí)別到是來(lái)自Facebook的流量，而其他的一些產(chǎn)品則可以更加深入，它們可以把流量從Facebook video，F(xiàn)acebook聊天或簡(jiǎn)單的Facebook狀態(tài)更新中區(qū)分出來(lái)。

供應(yīng)商的發(fā)展是存在差異的。從最初開(kāi)始，Palo Alto公司就已經(jīng)做應(yīng)用感知防火墻了。競(jìng)爭(zhēng)對(duì)手，比如Sonicwall 和Fortinet，都選擇了把現(xiàn)有的IPS/IDS技術(shù)加入到防火墻平臺(tái)中，實(shí)現(xiàn)應(yīng)用感知。Mike Rothman是Securosis的分析師兼安全研究總裁，說(shuō)道：IPS/IDS方法只是演化至應(yīng)用感知防火墻的第一個(gè)階段，到最后，采用這種方法的供應(yīng)商往往都會(huì)再次修改防火墻配置，也會(huì)從根本上重新修改產(chǎn)品功能。在某種程度上這歸根于IDS/IPS產(chǎn)品是由惡意應(yīng)用程序簽名所推動(dòng)的，而下一代防火墻是通過(guò)挑選出這些特殊的網(wǎng)站和應(yīng)用程序來(lái)實(shí)現(xiàn)應(yīng)用感知的。

“把它想象成為一個(gè)主動(dòng)與被動(dòng)的安全模式，” Rothman說(shuō)?！叭绻惆阉?dāng)做IPS/IDS附加模式，你就需要配置各種策略和規(guī)則來(lái)尋找不同的惡意程序。這樣就顯得過(guò)于復(fù)雜而且還要配置許多不必要的處理設(shè)備。如果在一個(gè)主動(dòng)安全模式內(nèi)，你就可以說(shuō)‘這是我允許的應(yīng)用程序和功能?！?/P>

但是根據(jù)Nemertes Research高級(jí)副總裁兼合伙人Andreas Antonopoulos的看法是：應(yīng)用感知防火墻的處理器本質(zhì)就是強(qiáng)制企業(yè)對(duì)防火墻做多層部署。

“如果想在細(xì)分的內(nèi)部VLAN，MPLS以及管理虛擬服務(wù)器時(shí)實(shí)現(xiàn)10 Gigabit-capable防火墻的功能，那下一代防火墻可能就無(wú)法讓你滿(mǎn)意了，” Antonopoulos說(shuō)。“我認(rèn)為在數(shù)據(jù)中心中連接數(shù)以百計(jì)的外聯(lián)網(wǎng)及合作伙伴的連接時(shí)使用這樣的平臺(tái)并不是一個(gè)明智的選擇。在管理內(nèi)部分段網(wǎng)絡(luò)、非常復(fù)雜的DMZ以及虛擬服務(wù)器網(wǎng)絡(luò)時(shí)也沒(méi)有什么好處。但是對(duì)于處理來(lái)自Web和用戶(hù)流量中的威脅時(shí)它確實(shí)是一個(gè)很好的平臺(tái)，有些是傳統(tǒng)防火墻無(wú)法實(shí)現(xiàn)的?！?/P>

下一代防火墻可消除邊緣蔓延

在Summa醫(yī)療機(jī)構(gòu)安裝Palo Alto應(yīng)用感知防火墻之前，Wade 是通過(guò)Microsoft Internet Security and Acceleration (ISA)服務(wù)器陣列來(lái)保護(hù)系統(tǒng)的。之后ISA就被面向外部的網(wǎng)絡(luò)連接替換，速度也從50 Mbps 提高至100 Mbps。此陣列上曾運(yùn)行著防火墻、殺毒軟件和內(nèi)容過(guò)濾等。

“忽然間，ISA就變得很不穩(wěn)定了，”Wade說(shuō)?！爱?dāng)時(shí)在這個(gè)陣列中我們有三個(gè)面向外部的服務(wù)器。后來(lái)我擴(kuò)充為五個(gè)，雖然數(shù)量增加了，但是系統(tǒng)仍然不穩(wěn)定。我曾與Microsoft合作，修改了我們防火墻服務(wù)器上的緩沖，雖然情況有了些許好轉(zhuǎn)，但是操作起來(lái)確實(shí)不如從前。Microsoft說(shuō)未來(lái)做面向外部ISA陣列擴(kuò)容，這樣的話(huà)整個(gè)企業(yè)服務(wù)器的數(shù)量就會(huì)達(dá)到11個(gè)。這種說(shuō)法似乎有些不切實(shí)際?！?/P>

Wade開(kāi)始準(zhǔn)備重新購(gòu)置一套系統(tǒng)時(shí)，但沒(méi)有想買(mǎi)下一代防火墻設(shè)備。過(guò)去，Wade曾用過(guò)Juniper Networks、Check Point Software以及Sonicwall公司的傳統(tǒng)防火墻，但是當(dāng)他與網(wǎng)絡(luò)安全方案供應(yīng)商FishNet Security交談時(shí)，Palo Alto被推薦給了Wade。

“我們把Palo Alto的產(chǎn)品部署到我們的環(huán)境中，并設(shè)置其與ISA并列，這樣在做端口掃描時(shí)我們就可以觀察到所有進(jìn)入ISA的流量，”Wade說(shuō)?！拔覀兊囊曇案訉掗?。很顯然，在ISA上有一個(gè)內(nèi)容過(guò)濾器錯(cuò)誤，我們運(yùn)行了一個(gè)不能處理IP地址的內(nèi)容過(guò)濾器，所以除非把主機(jī)名傳送給ISA，ISA完成主機(jī)名的解析，否則根本就就無(wú)法得知你瀏覽的到底是什么網(wǎng)頁(yè)。唯一能夠知道的只有IP流量是在80端口上以及它是允許通過(guò)的流量，”他繼續(xù)說(shuō)?！叭藗儼l(fā)現(xiàn)只要他們?cè)诠ぷ髡旧习惭b了防火墻客戶(hù)端以及不抑制ISA上的自動(dòng)偵測(cè)，他們就可以去訪(fǎng)問(wèn)YouTube，F(xiàn)acebook，porn等。很多東西都會(huì)避開(kāi)內(nèi)容過(guò)濾器，成為漏網(wǎng)之魚(yú)?！?/P>

Palo Alto使Wade制定了一套新的基于應(yīng)用的防火墻策略。該防火墻與Microsoft的Active Directory結(jié)合，可以使Wade更加細(xì)致地配置其策略。

“在我們組織中，有一部分人有參加在線(xiàn)研討會(huì)的需求。他們需要上在線(xiàn)課堂并在醫(yī)院的各種計(jì)算機(jī)上進(jìn)行操作，”Wade說(shuō)?！拔铱梢栽O(shè)定策略允許特定的用戶(hù)使用HTTP視頻和HTTP音頻，但是我沒(méi)辦法禁止用戶(hù)使用YouTube。用ISA或Check Point我無(wú)法做到。雖然我可以阻止用戶(hù)訪(fǎng)問(wèn)YouTube網(wǎng)站，但用戶(hù)仍可以允許嵌入式的YouTube視頻或者從別的站點(diǎn)進(jìn)入?！?/P>

企業(yè)需要注意下一代防火墻的架構(gòu)變化

由于大多數(shù)供應(yīng)商都在銷(xiāo)售應(yīng)用感知防火墻，其實(shí)從根本上講就是帶有IDS/IPS功能的狀態(tài)防火墻。為了確保所選擇的防火墻能夠很好地在自己的網(wǎng)絡(luò)環(huán)境中使用，網(wǎng)絡(luò)工程人員在開(kāi)始時(shí)就需要留意，Rothman說(shuō)。

“隨著時(shí)間的推移，所有的供應(yīng)商勢(shì)必都會(huì)改進(jìn)他們的架構(gòu)，”他說(shuō)?！艾F(xiàn)實(shí)情況是，大多數(shù)安全產(chǎn)品都需要從根本上改變。問(wèn)題是：什么時(shí)候才會(huì)發(fā)生？企業(yè)認(rèn)為現(xiàn)在的下一代防火墻只是初期產(chǎn)品，他們可以通過(guò)綁定其他功能來(lái)解決當(dāng)前問(wèn)題，當(dāng)產(chǎn)品成熟時(shí)再做徹底改變。其實(shí)，這對(duì)技術(shù)來(lái)說(shuō)只是一個(gè)發(fā)展線(xiàn)路，但是對(duì)企業(yè)來(lái)說(shuō)卻是巨大的挑戰(zhàn)，尤其是那些還沒(méi)有樹(shù)立正確期望值的企業(yè)。”

【編輯推薦】

1. 擎天系列防火墻指明下一代防火墻發(fā)展方向
2. McAfee：新一代防火墻的三大變革