下一代防火墻論劍，誰能笑傲江湖

安全江湖風云動蕩，下一代防火墻一出誰與爭鋒
   2009年，Gartner劃時代的定義了下一代防火墻這一新的產品形態。2012年，Palo Alto Networks憑借其下一代防火墻產品在市場上的完美表現成功登陸納斯達克。一時間，“下一代防火墻”成為了網絡安全這個江湖中最熱門的話題，正所謂“產品沒有‘下一代’，便稱英雄也枉然”。幾乎所有國內外網絡安全廠商都推出了自己的下一代防火墻，或者宣稱正在加緊這方面的研發；然而龍蛇并起，難免魚目混珠！各廠商推出的“下一代防火墻”形態各異，千差萬別。廣大用戶該如何分辨，哪些是假招子，哪些是真功夫呢？本文將討論下一代防火墻必會的幾種武功，希望能幫助用戶在選型過程中，更好的對產品進行鑒別。

一陽指——端口無關的應用識別技術  
  隨著網絡技術的不斷發展，大部分網絡應用已經不再堅持使用標準端口而常采用端口跳躍或隨機端口等手段，并且傳統應用也經常被使用在非標準的端口上(比如FTP和Windows遠程桌面等)；那么如果仍然標準且固定的端口來進行安全管理，就會造成想要完全阻斷網絡中的某些應用卻出現漏網之魚。若要真正做到應用完全識別和控制，就需要產品能夠進行與端口無關的應用特征掃描。
打狗棒——對各種逃逸技術的完美應對
  當今的網絡應用大量地使用了“代理”和“加密隧道”等技術。這些技術自身都是為了滿足正常的商業和私人業務需求而出現，但是，由于這些技術客觀上具有對各種檢測手段的逃逸能力，因此也被網絡黑客和惡意軟件所大量使用。所以，下一代防火墻必須能夠應對各種類似于“代理”、“端口跳變”，“隧道”的逃逸技術。同時能夠對SSL等加密流量進行解密并進行進一步應用識別。只有完全掌握網絡上發生的一切事件，才有可能對企業的網絡進行安全保護，否則一切都是空談。
乾坤大挪移——高度集成的一體化安全體系
  在傳統的實現中，安全防護是一個體系存在與用戶網絡之中的，這其中包括“防火墻”、“殺毒”、“入侵檢測”、“入侵防護”、“地址過濾”等產品。后來雖然也出現了類似于“UTM”這樣的產品，將各種功能串行疊加到同一臺設備上，但是其內在實現，仍然是若干個獨立的安全模塊。這種實現的問題在于安全模塊彼此之間相互獨立，彼此之間信息沒有共享。下一代防火墻也具備所有這些安全模塊，但不同指出在于，這些安全模塊通過統一的安全引擎來工作的，所有的數據信息是整合在一起的。用戶可以通過“地址”、“應用”、“威脅”、“用戶”等參數，來快速尋找所需要的信息，洞察網絡的全景圖，從而徹底擺脫過去那種“管中窺豹”的尷尬。
獨孤九劍——對于未知威脅的防護
  在網絡中，經常會出現不可識別的未知應用。傳統的應用流量控制或應用管理設備，都會忽略未知應用流量并對其放行。然而這些未知應用流量很可能就是網絡中威脅的承載體，（比如一些BotNet通過53端口加入控制頻道）。下一代防火墻必須能夠做到對未知的TCP和UDP應用流量進行識別，并能夠對其進行安全策略和威脅控制——比如對滿足某些特征的未知UDP流量進行IPS擊掃描或者做一些BotNet的行為分析等等。
  一招一式成不了大俠，要笑傲下一代防火墻市場，對于前文所闡述的武功必須做到樣樣精通！雖說江湖龍蛇混雜，但是還是有一些廠商是公認的高手。比如國外的PALALTO就堪稱江湖中的宗師級高手，正是他塑造了下一代防火墻今天的輝煌。而國內廠商中，網康科技也堪稱后來者中的佼佼者。網康不僅在技術上和PA不相伯仲，而且由于“網絡應用”具有很強的地域特征，使得擁有8年應用層積累的網康在中國本土擁有比PALALTO更高的識別能力，堪稱PALALTO在國內的勁敵?？梢灶A見，未來的下一代防火墻市場必將是群雄并起的格局，而誰能最終笑傲江湖，還是要靠真功夫說了算！