下一代防火墻區(qū)別于傳統(tǒng)防火墻的核心特色之一是對應(yīng)用的識別、控制和安全性保障。這種顯著區(qū)別源自于Web2.0與Web1.0這兩個不同網(wǎng)絡(luò)時代下的模式變遷。傳統(tǒng)的Web1.0網(wǎng)絡(luò)以服務(wù)請求與服務(wù)提供為主要特征，服務(wù)提供方提供的服務(wù)形態(tài)、遵循的協(xié)議都比較固定和專一，隨著社會化網(wǎng)絡(luò)Web2.0時代的到來，各種服務(wù)協(xié)議、形態(tài)已不再一成不變，代之以復用、變種、行為差異為主要特征的各種應(yīng)用的使用和共享。

本文即針對下一代防火墻的這一主要特征，從基于應(yīng)用的識別、控制、掃描的三步走中，闡述新時代網(wǎng)絡(luò)環(huán)境下的防護重點和安全變遷，旨在幫助讀者對下一代防火墻新的核心防護理念做一個較為全面的梳理和歸納。

新的應(yīng)用帶來全新的應(yīng)用層威脅

Web2.0應(yīng)用雖然可以顯著增強協(xié)作能力，提高生產(chǎn)效率，但同時也不可避免地帶來了新的安全威脅。

惡意軟件入侵

WEB應(yīng)用中社交網(wǎng)絡(luò)的普及給惡意軟件的入侵帶來了巨大的便利，例如灰色軟件或鏈接到惡意站點的鏈接。用戶的一條評價、一篇帖子、或者一次照片上傳都可能包含殃及用戶或甚至整個網(wǎng)絡(luò)的惡意代碼。例如，如果用戶在下載驅(qū)動程序的過程中點擊了含有惡意站點的鏈接，就很有可能在不知情的情況下下載了惡意軟件。

網(wǎng)絡(luò)帶寬消耗

對于部分應(yīng)用來說，廣泛的使用會導致網(wǎng)絡(luò)帶寬的過渡消耗。例如優(yōu)酷視頻可以導致網(wǎng)絡(luò)擁塞并阻礙關(guān)鍵業(yè)務(wù)使用和交付。還有對于文件共享類應(yīng)用，由于存在大量的文件之間的頻繁交換，也可能會最終導致網(wǎng)絡(luò)陷入癱瘓。

機密資料外泄

某些應(yīng)用（如即時通信，P2P下載等）可提供向外傳輸文件附件的功能，如果對外傳輸?shù)倪@些文件存在敏感、機密的信息，那么將給企業(yè)帶來無形和有形資產(chǎn)的損失，并且也會帶來潛在的民事和刑事責任。

傳統(tǒng)防火墻的“阿喀琉斯之踵”

由于傳統(tǒng)的防火墻的基本原理是根據(jù)IP地址/端口號或協(xié)議標識符識別和分類網(wǎng)絡(luò)流量，并執(zhí)行相關(guān)的策略。對于WEB2.0應(yīng)用來說，傳統(tǒng)防火墻看到的所有基于瀏覽器的應(yīng)用程序的流量是完全一樣的，因而無法區(qū)分各種應(yīng)用程序，更無法實施策略來區(qū)分哪些是不當?shù)?、不需要的或不適當?shù)某绦?，或者允許這些應(yīng)用程序。如果通過這些端口屏蔽相關(guān)的流量或者協(xié)議，會導致阻止所有基于web的流量，其中包括合法商業(yè)用途的內(nèi)容和服務(wù)。另外傳統(tǒng)防火墻也檢測不到基于隧道的應(yīng)用，以及加密后的數(shù)據(jù)包，甚至不能屏蔽使用非標準端口號的非法應(yīng)用。

下一代防火墻之“三步走”

下一代防火墻的核心理念其實是在企業(yè)網(wǎng)絡(luò)邊界建立以應(yīng)用為核心的網(wǎng)絡(luò)安全策略，通過智能化識別、精細化控制、一體化掃描等逐層遞進方式實現(xiàn)用戶/應(yīng)用行為的可視，可控、合規(guī)和安全，從而保障網(wǎng)絡(luò)應(yīng)用被安全高效的使用。

下一代防火墻核心理念

第一步：智能化識別

通過智能化應(yīng)用、用戶識別技術(shù)可將網(wǎng)絡(luò)中簡單的IP地址/端口號信息轉(zhuǎn)換為更容易識別且更加智能化的用戶身份信息和應(yīng)用程序信息，為下一代防火墻后續(xù)的基于應(yīng)用的策略控制和安全掃描提供的識別基礎(chǔ)。例如：對于同樣一條數(shù)據(jù)信息，傳統(tǒng)防火墻看到的是：某源IP通過某端口訪問了某目的IP；下一代防火墻看到：某單位張三通過QQ給遠在美國的李四傳輸了一個PDF文件。

下一代防火墻應(yīng)用識別

第二步：精細化控制

下一代防火墻可以根據(jù)風險級別、應(yīng)用類型是否消耗帶寬等多種方式對應(yīng)用進行分類，并且通過應(yīng)用訪問控制，應(yīng)用帶寬管理或者應(yīng)用安全掃描等不同的策略對應(yīng)用分別進行細粒度的控制。相對于傳統(tǒng)防火墻，下一代防火墻可以區(qū)分同一個應(yīng)用的合法行為和非法行為，并且對非法行為進行阻斷。如：下一代防火墻可以允許使用QQ的前提下，禁止QQ的文件傳輸動作，從而一定程度上避免單位員工由于傳輸QQ文件造成的內(nèi)部信息泄漏。

下一代防火墻應(yīng)用控制

第三步：一體化掃描

在完成智能化識別和精細化控制以后，對允許使用且存在高安全風險的網(wǎng)絡(luò)應(yīng)用，下一代防火墻可以進行漏洞、病毒、URL和內(nèi)容等不同層次深度掃描，如果發(fā)現(xiàn)該應(yīng)用中存在安全風險或攻擊行為可以做進一步的阻斷等動作。下一代防火墻在引擎設(shè)計上采用了單次解析架構(gòu)，這種引擎架構(gòu)可以保證引擎系統(tǒng)在數(shù)據(jù)流流入時，一次性地完成策略查找，應(yīng)用程序識別/協(xié)議解碼以及內(nèi)容掃描（病毒，間諜程序，入侵防御）等工作，從而在保證掃描效果前提下大大提升了掃描效率。

下一代防火墻應(yīng)用掃描