更快更智能 下一代防火墙新技术初探

当前Web 2.0 应用使企业面临着新的威胁以及与应用检测和控制相关的策略与法规遵从问题。在迈克菲的新一代防火墙解决方案—McAfee Firewall Enterprise第八版中，迈克菲扩展了防火墙现有的应用保护功能，能够帮助安全管理员发现和识别数千种应用并执行相应的安全策略，传统的防火墙技术无法做到这一点。通过集成迈克菲基于云的实时全球威胁智能感知系统，迈克菲防火墙还可提供更详细的内、外部威胁和漏洞信息，降低法规遵从和运营成本。

SonicWALL的“应用智能和控制”技术提供了对应用层流量的全面保护、管理和控制。通过持续地运用和更新2700多个独特的应用签名，应用智能可以根据应用标识、用户/群组标识及内容标识来识别和控制流量，并通过建立针对进入和外出带宽管理的政策(不是简单的‘阻止/允许’方案)来管理流量。另外，与其他只提供应用控制的方案不同，Project SuperMassive将应用智能与入侵防御及恶意软件拦截组件集成到了下一代防火墙中，形成了一个功能强大的网络安全平台。

现在，企业的数据中心普遍采用了虚拟化技术，但是，伴随虚拟化技术而来的，还有其本身的安全隐患。安全厂商已经着手解决虚拟化的安全问题，例如迈克菲的防火墙现在既可用于传统设备，也可用于新的虚拟化硬件设备，甚至可以作为一款基于软件的防火墙虚拟设备来使用。这些新的交付方式使客户能够在整合数据中心和应用环境以及引入新的虚拟环境时，充分利用虚拟化技术来降低成本，提高灵活性，而不必担心安全性。

随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。

从“云”中获取能量

绿盟产品市场部崔云鹏曾向记者表示，云安全是利用云计算的技术，在分布式计算的基础上，部署中心服务器或者安全系统，并利用互联网，将各个安全节点纳入到云安全中心系统中。在这个体系中，各个节点将会有效地利用云安全供应商提供的强有力服务和安全能力，实现原先单一节点不可能实现的安全防护机制。

目前，应用威胁的数量众多，快速多变。传统安全设备的处理机制已经无能为力。因此，新一代防火墙需要引入云安全，利用云计算加强和加速防御，这是解决当前安全需要快速反应的重要手段。

思科的防火墙已经率先进入“云”时代，思科将其称为云火墙。思科安全产品事业部技术专家郭庆向记者介绍，云火墙具备4大特征，包括：防僵尸网络/木马，防止网络内部主机感染;云检测—全球IPS联动;云接入—SSL VPN;云监控—唯一支持Netflow的防火墙，实现了NOC和SOC二合一。云火墙的“大脑”是SensorBase。SensorBase提供全球安全威胁实时视图和电子邮件的“信用报告服务”，还能敏感监控僵尸网络的动态。SensorBase所更新的信息同步到所有云火墙。各种安全信息不但可以从SensorBase传到云火墙，还可以从云火墙传到SensorBase，云火墙中的IPS可以在第一时间把攻击同步给SensorBase，SensorBase再同步给其他云火墙。

迈克菲的防火墙解决方案中同样使用了云安全—全球信誉技术，包括基于信誉的拦截和地理位置功能，可以在不需要的流量到达网络之前将其过滤，也就是在攻击发生之前将其阻止。

下一代防火墙的几个特征

防火墙一方面可以阻止来自互联网的对受保护网络的未授权访问，另一方面允许内部网络用户对互联网进行访问。

回顾发展历程，防火墙经历了包过滤防火墙和状态检测防火墙两个发展阶段。状态检测防火墙实现了对数据包连接状态的监控，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。状态检测防火墙通过检查报文的协议类型和端口号等信息，来监控基于连接的应用层协议。然而，它只能粗粒度地识别来自应用层的攻击行为，也无法针对数据内容做检查。

用户对防火墙提出了更高的要求。下一代防火墙不但要能够检测并拦截复杂攻击，还要在应用层(包括端口和协议)执行细化安全策略，具备出色的可视化性能和控制能力，可以及时查看网络中应用程序和用户的相关信息以及整个企业网络的流量内容，并进行相应的控制。

要做到应用的可视化，下一代防火墙就必须采用能够提供更高性能的架构。现在多核架构已经成为主流，在多核的基础上，各家厂商还设计了“NP +多核+分布式”、“多核+ASIC”等架构。

当云计算成为无法阻挡的趋势时，防火墙也将借助云的力量变得更强大、更智能，部分国外厂商已经推出了采用此类技术的防火墙。

虚拟化技术是对防火墙的更大挑战，在如何保护虚拟环境的安全性方面，少数防火墙厂商已经提出了解决方案，我们希望能有更多的解决方案出现。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友