網(wǎng)絡(luò )安全呼喚下一代防火墻技術(shù)

　　目前，防火墻仍是很多單位最重要的安全設備之一。但隨著(zhù)新型威脅造成的危害日益嚴重，有些類(lèi)型的防火墻，特別是全狀態(tài)數據包檢測(SPI)已經(jīng)開(kāi)始過(guò)時(shí)，雖然有人認為這種說(shuō)法有點(diǎn)兒夸張。

　　狀態(tài)檢測的問(wèn)題在于它僅重視端口和IP地址。端口就像電路斷路器一樣：在重要的流量流過(guò)時(shí)，用它作為過(guò)濾標準顯得過(guò)于笨拙。而且，IP地址沒(méi)有與用戶(hù)綁定，使得用戶(hù)可以用一種完全不同的設備來(lái)逃避策略。

　　解決這個(gè)問(wèn)題的關(guān)鍵在于：要重視用戶(hù)，要重視用戶(hù)所使用的應用程序以及用戶(hù)用每一個(gè)應用程序正在做什么，尤其是那些容易被人利用其漏洞的應用程序。當前，80號端口的“阻止/準許”已經(jīng)不夠精細。甚至像“阻止/準許”社交軟件(如Facebook)這樣的操作也已經(jīng)遠遠不夠了。相反，防火墻必須支持準許用戶(hù)從事與業(yè)務(wù)相關(guān)活動(dòng)的策略，而不管他使用什么樣的計算機。

　　當然，新技術(shù)絕不應當僅關(guān)注社交軟件，公司使用的任何其它的web2.0軟件，都應當包括其中。

　　下一代防火墻技術(shù)

　　下一代防火墻應當專(zhuān)注于應用程序、用戶(hù)和活動(dòng)，而不是端口和IP。它可以控制用戶(hù)的操作，從而保障Web和電子郵件等的安全，并將其應用于所有應用程序。其次，下一代防火墻還應擁有反惡意軟件技術(shù)，并在底層完全集成到防火墻中，從而避免單獨的組件在掃描同樣的內容時(shí)所造成的延遲。集成的必要性還由于當今威脅的復雜性。

　　避免延遲至關(guān)重要，因為防火墻必須足夠快，其目的是在不損失性能的情況下準許所有的網(wǎng)絡(luò )通信通過(guò)防火墻。理想情況下，這種集中化的控制還包括云和移動(dòng)通信。相比之下，典型的UTM(統一威脅管理)解決方案太慢，因為它并沒(méi)有完全地集成，只夠中小型企業(yè)勉強使用。

　　每一個(gè)安全組件都應當是最優(yōu)的?；蛘哒f(shuō)，一群“平庸之輩”難成大事。下一代防火墻必須能夠檢測運行在SSL加密通信中的內容，或使用模糊技術(shù)，它必須建立在專(zhuān)用的特定硬件基礎上。

　　下一代防火墻必須提供出色的透明性。在管理員設置策略之前，必須知道網(wǎng)絡(luò )上正在發(fā)生什么，這對于當今的多數防火墻來(lái)說(shuō)是很難實(shí)現的。它還必須提供杰出的精細度，同時(shí)還要提供諸如“不允許在網(wǎng)絡(luò )上進(jìn)行基于瀏覽器的即時(shí)通信”之類(lèi)的高級策略。下一代防火墻還必須擁有極低的總擁有成本，要富有成效。

　　最后，下一代防火墻還必須能夠隨著(zhù)當今網(wǎng)絡(luò )所面臨的威脅的變化不斷演化，即公司需要投資于能夠解決網(wǎng)絡(luò )黑手正在和將要觸及的諸多方面。

　　如何識別下一代防火墻

　　那么，怎樣區分一種防火墻是否是下一代防火墻呢?

　　首先，它應當擁有獨立的基于應用程序的策略，而不是擁有“雙重”策略(基于應用程序和基于端口/IP)。下一步，你不妨訪(fǎng)問(wèn)一個(gè)Web2.0應用程序，如SharePoint，檢查這個(gè)防火墻是否能夠識別它的名字，而不是僅將其識別為Web通信。要在應用程序水平上測試防火墻，而不是在傳統的“位”的基礎上測試。

　　其次，如果廠(chǎng)商向你列示了每個(gè)安全組件的不同吞吐量或速率，如IPS、DLP、反病毒、防火墻等，而且每個(gè)組件的速度是在關(guān)閉其它組件的情況下測試的，就可斷定，它集成得不太好。真正的下一代防火墻應當擁有一個(gè)統一的吞吐量數字。

　　當然，上述標準也許過(guò)于苛求，選用與否主要取決于防火墻所適用的信息安全需要和網(wǎng)絡(luò )環(huán)境。