下一代防火墙论剑，谁能笑傲江湖

安全江湖风云动荡，下一代防火墙一出谁与争锋
    2009年，Gartner划时代的定义了下一代防火墙这一新的产品形态。2012年，Palo Alto Networks凭借其下一代防火墙产品在市场上的完美表现成功登陆纳斯达克。一时间，“下一代防火墙”成为了网络安全这个江湖中最热门的话题，正所谓“产品没有‘下一代’，便称英雄也枉然”。几乎所有国内外网络安全厂商都推出了自己的下一代防火墙，或者宣称正在加紧这方面的研发；然而龙蛇并起，难免鱼目混珠！各厂商推出的“下一代防火墙”形态各异，千差万别。广大用户该如何分辨，哪些是假招子，哪些是真功夫呢？本文将讨论下一代防火墙必会的几种武功，希望能帮助用户在选型过程中，更好的对产品进行鉴别。
 
一阳指——端口无关的应用识别技术  
   随着网络技术的不断发展，大部分网络应用已经不再坚持使用标准端口而常采用端口跳跃或随机端口等手段，并且传统应用也经常被使用在非标准的端口上(比如FTP和Windows远程桌面等)；那么如果仍然标准且固定的端口来进行安全管理，就会造成想要完全阻断网络中的某些应用却出现漏网之鱼。若要真正做到应用完全识别和控制，就需要产品能够进行与端口无关的应用特征扫描。
打狗棒——对各种逃逸技术的完美应对
   当今的网络应用大量地使用了“代理”和“加密隧道”等技术。这些技术自身都是为了满足正常的商业和私人业务需求而出现，但是，由于这些技术客观上具有对各种检测手段的逃逸能力，因此也被网络黑客和恶意软件所大量使用。所以，下一代防火墙必须能够应对各种类似于“代理”、“端口跳变”，“隧道”的逃逸技术。同时能够对SSL等加密流量进行解密并进行进一步应用识别。只有完全掌握网络上发生的一切事件，才有可能对企业的网络进行安全保护，否则一切都是空谈。
乾坤大挪移——高度集成的一体化安全体系
   在传统的实现中，安全防护是一个体系存在与用户网络之中的，这其中包括“防火墙”、“杀毒”、“入侵检测”、“入侵防护”、“地址过滤”等产品。后来虽然也出现了类似于“UTM”这样的产品，将各种功能串行叠加到同一台设备上，但是其内在实现，仍然是若干个独立的安全模块。这种实现的问题在于安全模块彼此之间相互独立，彼此之间信息没有共享。下一代防火墙也具备所有这些安全模块，但不同指出在于，这些安全模块通过统一的安全引擎来工作的，所有的数据信息是整合在一起的。用户可以通过“地址”、“应用”、“威胁”、“用户”等参数，来快速寻找所需要的信息，洞察网络的全景图，从而彻底摆脱过去那种“管中窥豹”的尴尬。
独孤九剑——对于未知威胁的防护
   在网络中，经常会出现不可识别的未知应用。传统的应用流量控制或应用管理设备，都会忽略未知应用流量并对其放行。然而这些未知应用流量很可能就是网络中威胁的承载体，（比如一些BotNet通过53端口加入控制频道）。下一代防火墙必须能够做到对未知的TCP和UDP应用流量进行识别，并能够对其进行安全策略和威胁控制——比如对满足某些特征的未知UDP流量进行IPS击扫描或者做一些BotNet的行为分析等等。
   一招一式成不了大侠，要笑傲下一代防火墙市场，对于前文所阐述的武功必须做到样样精通！虽说江湖龙蛇混杂，但是还是有一些厂商是公认的高手。比如国外的PALALTO就堪称江湖中的宗师级高手，正是他塑造了下一代防火墙今天的辉煌。而国内厂商中，网康科技也堪称后来者中的佼佼者。网康不仅在技术上和PA不相伯仲，而且由于“网络应用”具有很强的地域特征，使得拥有8年应用层积累的网康在中国本土拥有比PALALTO更高的识别能力，堪称PALALTO在国内的劲敌。可以预见，未来的下一代防火墙市场必将是群雄并起的格局，而谁能最终笑傲江湖，还是要靠真功夫说了算！
 

标签： ssl 安全 标准 防火墙 企业 网络 网络安全 网络安全厂商 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。