雖然網絡工程師和分析師十分鐘愛下一代防火墻，或稱應用感知防火墻，但是技術仍在發展中。所以許多企業都保留著原有的防火墻和協議，至少到現在為止是這樣的。

網絡系統工程師Mike Wade，是Palo Alto Networks最早的下一代防火墻使用者，他在Summa Health（俄亥俄州醫院與醫學中心）系統的網絡周邊就部署了應用感知防火墻。Palo Alto的防火墻位于網絡DMZ的外圍。然而，他的網站中仍然有傳統的狀態防火墻，如Cisco ASA 5500s，就位于DMZ的內側。這兩個防火墻就這樣背靠背地部署在他的主數據中心和次級"hot site"數據中心當中。

DMZ兩側不同類型的防火墻服務于不同的需求，Wade說?！癉MZ兩側的具體需求總是不一樣的，”他說?！巴鈧鹊姆阑饓艿讲粩嗟墓簦鴥葌鹊姆阑饓χ幌抻谌ヌ幚砺酚芍练阑饓Φ囊恍┝髁慷?。”

Palo Alto防火墻可以掃描攻擊數據中心的應用程序，而Cisco ASA可以檢查端口和協議。分層防火墻的使用是安全策略的一部分，可劃分職責，Wade說。他現在就負責DMZ外圍及周邊的設備，同時還有一個單獨的網絡小組負責DMZ內側的ASA。

“如果有人能夠破解我的密碼或其他安全信息，那么攻擊者到達二級防火墻時，需要面對復雜的個人化（內部網絡管理人員）信息以及完全不同的其他設備，”Wade說?！拔覀兊脑O想是在如此機關重重的情況下，攻擊者就不得不選擇放棄。”

盡管最近一段時間應用感知防火墻被炒作的很厲害，但是至少在接下來的幾年內，狀態端口和協議防火墻仍會在大多數網絡中博得一席之地。

狀態防火墻在網絡演進的十字路口

過去的15年當中，在網絡安全領域，狀態防火墻一直是處于第一道防線上。就像是嗅探端口和協議的交警，在網絡工程師等制定的成千上萬條規則的基礎上為流量采取最恰當的措施。

但是網絡不斷變化的本質已經拋棄了這種陳舊的防火墻架構。網站上可以運行無數單獨的應用程序——比如聊天、視頻、文件傳輸，甚至是類似于Salesforce.com這樣的企業應用程序。因為這些應用程序都需要在Web上運行，所以傳統防火墻將其視為HTTP或HTTPS 以及 Port 80 或Port 443。黑客之所以把這些端口當做攻擊目標是因為這些流量對于防火墻來說是不可見的，并且看起來類似于合法的Web流量。

傳統防火墻的劣勢帶來了紛繁的網絡世界，繼而出現了多種多樣的網絡安全應用程序和軟件。網絡工程人員部署了許多產品來填補這個技術與市場的空白，這些產品的覆蓋范圍可以從入侵檢測與防御系統(IDS/IPS)和殺毒軟件到Web過濾和內容過濾產品等。

下一代防火墻的新品牌，或稱應用感知防火墻的新品牌，它們更多地注重OSI模型中的應用層而不是端口和協議，目的在于實現基于策略的應用訪問。幾乎市場上的每一個防火墻供應商（除了Cisco之外）都有了自己的下一代防火墻產品。根據不同供應商對下一代防火墻的不同理解，其應用程序也都不盡相同。有些廠商的產品只可以識別到是來自Facebook的流量，而其他的一些產品則可以更加深入，它們可以把流量從Facebook video，Facebook聊天或簡單的Facebook狀態更新中區分出來。

供應商的發展是存在差異的。從最初開始，Palo Alto公司就已經做應用感知防火墻了。競爭對手，比如Sonicwall 和Fortinet，都選擇了把現有的IPS/IDS技術加入到防火墻平臺中，實現應用感知。Mike Rothman是Securosis的分析師兼安全研究總裁，說道：IPS/IDS方法只是演化至應用感知防火墻的第一個階段，到最后，采用這種方法的供應商往往都會再次修改防火墻配置，也會從根本上重新修改產品功能。在某種程度上這歸根于IDS/IPS產品是由惡意應用程序簽名所推動的，而下一代防火墻是通過挑選出這些特殊的網站和應用程序來實現應用感知的。

“把它想象成為一個主動與被動的安全模式，” Rothman說?！叭绻惆阉斪鯥PS/IDS附加模式，你就需要配置各種策略和規則來尋找不同的惡意程序。這樣就顯得過于復雜而且還要配置許多不必要的處理設備。如果在一個主動安全模式內，你就可以說‘這是我允許的應用程序和功能。’”

但是根據Nemertes Research高級副總裁兼合伙人Andreas Antonopoulos的看法是：應用感知防火墻的處理器本質就是強制企業對防火墻做多層部署。

“如果想在細分的內部VLAN，MPLS以及管理虛擬服務器時實現10 Gigabit-capable防火墻的功能，那下一代防火墻可能就無法讓你滿意了，” Antonopoulos說?！拔艺J為在數據中心中連接數以百計的外聯網及合作伙伴的連接時使用這樣的平臺并不是一個明智的選擇。在管理內部分段網絡、非常復雜的DMZ以及虛擬服務器網絡時也沒有什么好處。但是對于處理來自Web和用戶流量中的威脅時它確實是一個很好的平臺，有些是傳統防火墻無法實現的。”

下一代防火墻可消除邊緣蔓延

在Summa醫療機構安裝Palo Alto應用感知防火墻之前，Wade 是通過Microsoft Internet Security and Acceleration (ISA)服務器陣列來保護系統的。之后ISA就被面向外部的網絡連接替換，速度也從50 Mbps 提高至100 Mbps。此陣列上曾運行著防火墻、殺毒軟件和內容過濾等。

“忽然間，ISA就變得很不穩定了，”Wade說?！爱敃r在這個陣列中我們有三個面向外部的服務器。后來我擴充為五個，雖然數量增加了，但是系統仍然不穩定。我曾與Microsoft合作，修改了我們防火墻服務器上的緩沖，雖然情況有了些許好轉，但是操作起來確實不如從前。Microsoft說未來做面向外部ISA陣列擴容，這樣的話整個企業服務器的數量就會達到11個。這種說法似乎有些不切實際?！?/P>

Wade開始準備重新購置一套系統時，但沒有想買下一代防火墻設備。過去，Wade曾用過Juniper Networks、Check Point Software以及Sonicwall公司的傳統防火墻，但是當他與網絡安全方案供應商FishNet Security交談時，Palo Alto被推薦給了Wade。

“我們把Palo Alto的產品部署到我們的環境中，并設置其與ISA并列，這樣在做端口掃描時我們就可以觀察到所有進入ISA的流量，”Wade說?！拔覀兊囊曇案訉掗?。很顯然，在ISA上有一個內容過濾器錯誤，我們運行了一個不能處理IP地址的內容過濾器，所以除非把主機名傳送給ISA，ISA完成主機名的解析，否則根本就就無法得知你瀏覽的到底是什么網頁。唯一能夠知道的只有IP流量是在80端口上以及它是允許通過的流量，”他繼續說?！叭藗儼l現只要他們在工作站上安裝了防火墻客戶端以及不抑制ISA上的自動偵測，他們就可以去訪問YouTube，Facebook，porn等。很多東西都會避開內容過濾器，成為漏網之魚。”

Palo Alto使Wade制定了一套新的基于應用的防火墻策略。該防火墻與Microsoft的Active Directory結合，可以使Wade更加細致地配置其策略。

“在我們組織中，有一部分人有參加在線研討會的需求。他們需要上在線課堂并在醫院的各種計算機上進行操作，”Wade說。“我可以設定策略允許特定的用戶使用HTTP視頻和HTTP音頻，但是我沒辦法禁止用戶使用YouTube。用ISA或Check Point我無法做到。雖然我可以阻止用戶訪問YouTube網站，但用戶仍可以允許嵌入式的YouTube視頻或者從別的站點進入。”

企業需要注意下一代防火墻的架構變化

由于大多數供應商都在銷售應用感知防火墻，其實從根本上講就是帶有IDS/IPS功能的狀態防火墻。為了確保所選擇的防火墻能夠很好地在自己的網絡環境中使用，網絡工程人員在開始時就需要留意，Rothman說。

“隨著時間的推移，所有的供應商勢必都會改進他們的架構，”他說。“現實情況是，大多數安全產品都需要從根本上改變。問題是：什么時候才會發生？企業認為現在的下一代防火墻只是初期產品，他們可以通過綁定其他功能來解決當前問題，當產品成熟時再做徹底改變。其實，這對技術來說只是一個發展線路，但是對企業來說卻是巨大的挑戰，尤其是那些還沒有樹立正確期望值的企業。”

【編輯推薦】

1. 擎天系列防火墻指明下一代防火墻發展方向
2. McAfee：新一代防火墻的三大變革