傳統安全體系之殇 下一代防火牆新體系

      一成不變的5元組ACL

　　自狀態檢測防火牆發明至今，傳統防火牆一直使用5元組方式的ACL(訪問控制列表)——這一在路由交換時代發揮著重要作用的訪問控制列表技術，為網絡訪問進行保駕護航。 .

　　隨著網絡的普及，網絡應用呈現爆發式增長，並且表現出許多新的特征。在全新的網絡行為模式下，傳統安全防護手段的基礎存在條件被破壞殆盡。在移動互聯和雲計算普及的背景下，越來越多的應用通過80端口進行服務。然而僅通過五元組卻無法對不同的應用進行區分，從而導致了五元組在新的網絡環境下失去了對網絡安全的管理能力。 .

　　守株待兔的IPS/AV/網頁過濾 .

　　作為防火牆最好的安全補充，IPS/AV/網頁過濾技術能夠透過現象看本質，發現應用層內部的威脅，從而彌補了防火牆只能控制傳輸通道而不能控制內容的弱點。 .

　　越來越多的網絡應用具有了端口跳變的能力。應用在一個端口上被阻塞，會自動選擇其他端口進行嘗試。過去基於端口的檢測模式，在這種類型的應用面前完全失去了作用。 .

　　盲人摸象的UTM

.

　　為了減少TOC(總擁有成本)，花最少的錢買更多的功能，UTM產品的出現無疑給了IT管理者一個新的興奮點。在過去的一段時間中，UTM的占有量開始超越單獨功能的防火牆。 .

　　但僵屍網絡的產生徹底暴露了UTM簡單羅列功能的問題。這種當下全世界最大的威脅在進入用戶網絡時可謂是“潤物細無聲”。僵屍網絡將威脅元素化整為零——在傳播、感染、加入頻道、接受控制指令全流程中，將每個過程獨立出來，這些都不是一個明顯的威脅，但當所有的流程完成之後，一個巨大的威脅已經在用戶內部形成。 .

　　UTM雖然具備多個安全防護體系，但是各人自掃門前雪，都在以盲人摸象的方式在試圖防護全局的威脅，這使得其在分散隱藏威脅的僵屍網絡面前顯得蒼白無力。 .

　　滄海桑田的移動互聯網 .

　　2012年不是世界末日，而是移動互聯網劃時代的一年。移動終端的采購量開始超過PC，訪問互聯網的移動終端數量開始超過PC，BYOD這個曾經遙遠的名詞現在已來到我們的身邊。 .

.