應用防火牆前景分析

　　對於網絡安全而言，犯罪和危機總是在最薄弱的地方發生。在當前的企業環境中，應用層顯然已經成為這個最薄弱的環節。相比於其他有章可循的防御——比如DDOS，應用的數量和復雜程度都讓安全防御成為一件很困難的事情。3月17日，ZDNet安全頻道采訪了一家新興的網絡安全公司——Palo Alto Networks公司的CEO Lane Bess，Lane Bess為我們展望了未來企業應用層威脅防御和應用防火牆的發展趨勢。

    提到Palo Alto Networks這家公司，諸如“如雷貫耳”、“鼎鼎有名”之類的成語並不適合來形容他們，這是一個非常非常年輕的公司，2008年才成立。盡管資歷尚淺，它的發展軌跡卻給我們留下了非常深刻的印象，原因很簡單，在Gartner的2009年魔力象限中，我們看到了這家此前對我們而言非常陌生的廠商。這也是我們對其進行采訪最初的一個動機。當然，此後，我們了解到，Palo Alto從成立開始就一直稱其的產品為“下一代防火牆”，我們也很好奇，在Palo Alto眼中，未來的應用防火牆究竟會是什麼樣的呢？

    變革中的應用現狀

　　如果企業的應用狀況沒有發生任何改變，我們當然也不會在這裡討論應用防火牆的發展趨勢。事實上，目前企業中的應用環境和威脅正在劇烈的變化。 .

　　通過SANS的分析報告，我們可以發現，2009年，最高級別威脅中，竟然有16個是應用層面的威脅。一方面，應用數量的急劇增加，諸如P2P這樣的應用被廣泛使用，IM軟件成為企業業務運營不可或缺的一部分；另一方面，對於黑客和網絡罪犯而言，最薄弱的應用層威脅成為他們最喜歡的突破口，而對企業員工而言，在復雜的應用中，出現安全上的疏忽在所難免。企業中原有的傳統安全設備似乎對這些並不敏感，比如傳統防火牆的針對端口的過濾規則，顯然無法滿足現有的安全需求。

　　我們期望的安全架構

　　在這種威脅背景下，Palo Alto為我們展示了，我們期望中的應用防火牆應該是什麼樣的。Lane Bess表示，首先，我們的防火牆需要能夠阻斷威脅，這些威脅包括惡意的應用以及各種類型的威脅，比如，漏洞的嗅探與利用、病毒與木馬等惡意軟件的下載、木馬下載器自動從互聯網搜集惡意軟件等等。實現了這一點，企業才有可能保障業務可以進行，然而，僅僅是可以進行是遠遠不夠的，我們不能為了保障安全而大量犧牲了企業業務的流暢性，，在保障安全的前提下，不影響到企業網絡現有的性能同樣也是應用防火牆的目標。最後，需要企業制定完整的法規制度，來規范內部網絡安全。

　　這些趨勢也許將是未來應用防火牆發展的一個方向，同時也是企業對安全需求的一個方向，Palo Alto已經在他們的產品中把握了這個趨勢，我們可以通過了解Palo Alto是怎麼去工作的來更好的理解應用防火牆的發展趨勢。 .

　　防火牆上的身份認證技術

　　Lane Bess向我們介紹，Palo Alto將其應用防火牆的安全過濾分為了三個不同的層，分別為App-ID（應用識別）、User-ID（用戶識別）和Content-ID（內容識別）。這三層不是各自為戰的，而是統一在一起運行，共同來保障企業網絡的安全。舉例而言，我們可以對某個用戶群組實施單獨的應用程序策略和內容過濾策略。

　　在App-ID上，Palo Alto的應用防火牆可以智能識別網絡上正在運行的應用，並且可以很方便的對其進行控制，在應用策略上，對5大類25個子類的950多種應用程序實施基於策略的控制，我們很驚奇的發現，從來沒有正式進入中國的Palo Alto，竟然支持國內一些非常流行的應用，比如迅雷、QQ等，有些策略甚至非常細致，比如對QQ聊天、QQ游戲、QQ旋風下載等都可以被單獨識別和控制。

　　User-ID上，Palo Alto采用了基於活動目錄（Active Directory）的架構，超越了傳統僅通過IP來識別用戶，這樣的方式可以更精准的定位用戶，並且對用戶進行分組，對每個組采用不同的安全策略。

　　Content-ID中，Palo Alto的應用防護牆將探測與阻止各種威脅，限制未授權文件傳輸以及控制與工作無關的網絡浏覽。企業可以自定義多種方式的過濾，比如，通過傳統的文件類型的過濾，或者URL過濾，抑或是通過文件簽名來過濾，多種手段能夠讓企業更方便的配置好自己的網絡安全。 .

    “一站式”應用防火牆

　　在提高安全性同時，應用防火牆的效率和性能成為很多企業頭疼的問題。Palo Alto為我們展示了一套非常新穎的解決方案，我們將其稱為應用防火牆內的“一站式服務”，用Palo Alto的專業術語來說，叫“單數據流並行處理（SP3）的體系結構”。

　　Palo Alto在其應用防火牆中集成了諸多安全模塊，比如DLP、URL過濾、SSL VPN、IPSec VPN等等，安全上，毫無疑問，這將讓企業得到更多的保護，然而，對於單一設備的性能而言，我們很懷疑這將是一場災難。當我們將這個問題交給Lane Bess時，他表示這對於Palo Alto的應用防火牆而言，不是問題。對於傳統的安全設備，安全處理的流程我們可以把他簡化為：解包1——安全檢測1——封包1——解包2——安全檢測2——封包2——解包3……這個過程中，每一次的解包和封包，都是對CPU性能極大的挑戰。而Palo Alto的流水線則不是這樣，Palo Alto應用防火牆的安全處理過程為：解包——安全檢測1——安全檢測2——……——封包。整個流程中，只需要一次解包與封包的過程，這樣大大降低了CPU的負擔。此外，Palo Alto應用防火牆中多核+多CPU的硬件也保障了系統的性能。

    未來的趨勢——更安全更快速 .

　　從Palo Alto的產品中，我們不難看出，更安全和更快速將是未來應用防火牆的一個發展趨勢。而一個好的安全架構和處理架構是保證這二者的重要前提。我們不難看到，在這個企業2.0時代中，應用層威脅正在日益加劇，它不僅成為犯罪突破企業網絡的切入點，還成為員工出現洩密等安全事件的優良載體，防御企業網絡應用安全正在成為CIO與CSO們日益關注的話題，而應用防火牆的地位也正在凸顯。

　　（信息來源：中研網） .