隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用不斷豐富。大量應(yīng)用建立在HTTP等基礎(chǔ)協(xié)議之上，或者隨機產(chǎn)生端口號，或者采用SSL加密等方式來隱藏內(nèi)容。此時IP地址不等于用戶，協(xié)議端口號不等于應(yīng)用，數(shù)據(jù)包不等于行為。

最近幾年，傳統(tǒng)防火墻解決方案在應(yīng)對當(dāng)前大量的威脅以及不斷變化的應(yīng)用環(huán)境時已經(jīng)顯得力不從心。

首先，隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用不斷豐富。大量應(yīng)用建立在HTTP等基礎(chǔ)協(xié)議之上，或者隨機產(chǎn)生端口號，或者采用SSL加密等方式來隱藏內(nèi)容。此時IP地址不等于用戶，協(xié)議端口號不等于應(yīng)用，數(shù)據(jù)包不等于行為。如何“看清”應(yīng)用中的內(nèi)容并進行防御，這是對防火墻提出了新要求。其次，網(wǎng)絡(luò)正在從千兆走向萬兆甚至10萬兆，網(wǎng)絡(luò)帶寬增長迅速，防火墻應(yīng)有足夠的性能和擴展性來應(yīng)對這種變化。再次，隨著遠(yuǎn)程辦公的快速增長，要求防火墻既能抵抗外部攻擊，又能允許合法的遠(yuǎn)程訪問，尤其重要的是能夠識別加密過的數(shù)據(jù)。

顯然，和其他網(wǎng)絡(luò)設(shè)備一樣，防火墻必須隨需而變，升級到下一代防火墻，才能在變革的大潮中煥發(fā)新的生命力。

越“跑”越快

隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)流量大幅提升，要求下一代防火墻必須具備更高性能、更低時延。Hillstone山石網(wǎng)科(以下簡稱山石網(wǎng)科)產(chǎn)品經(jīng)理張龍勇向記者介紹，該公司的防火墻采用多核PlusG2架構(gòu)和新一代的全并行流檢測引擎技術(shù)，在同檔的硬件配置下有多達(dá)5倍的性能提升。防火墻最高可達(dá)20萬每秒新建連接、20Gbps吞吐量和1000萬并發(fā)會話。

SonicWALL的下一代防火墻技術(shù)ProjectSuperMassive也采用大規(guī)模多核架構(gòu)，運行于SonicWALL的多刀片機架之上。96核和384核的產(chǎn)品實施原型已經(jīng)在Interop大會上展出。

SonicWALL首席技術(shù)官兼工程副總裁JohnGmuender說：“面對不斷增加的帶寬速度以及互聯(lián)網(wǎng)威脅的數(shù)量、頻率及復(fù)雜性的不斷上升，我們知道ProjectSuperMassive技術(shù)平臺需要具備大規(guī)模的可擴展性。通過采用Cavium的卓越芯片技術(shù)，該平臺可擴展到1024個核。同時，經(jīng)安全與漏洞檢測領(lǐng)先公司IXIA驗證，其性能超過了40Gbps。”

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用不斷豐富。大量應(yīng)用建立在HTTP等基礎(chǔ)協(xié)議之上，或者隨機產(chǎn)生端口號，或者采用SSL加密等方式來隱藏內(nèi)容。此時IP地址不等于用戶，協(xié)議端口號不等于應(yīng)用，數(shù)據(jù)包不等于行為。

華為賽門鐵克的高端安全網(wǎng)關(guān)設(shè)備則采用“NP+多核+分布式”架構(gòu)，具備優(yōu)異的防火墻性能，最多可支持8個業(yè)務(wù)處理模塊，整機吞吐量可達(dá)到80Gbps，每秒新建連接數(shù)為160萬，最大并發(fā)連接數(shù)為3200萬。此外該系列產(chǎn)品還具備完善的VPN性能，目前業(yè)務(wù)處理模塊并發(fā)隧道數(shù)量為4萬，整機最高支持32萬。

“性能與業(yè)務(wù)復(fù)雜度天生就是一對矛盾體，在一些要求較高的應(yīng)用場合，就算是多核系統(tǒng)平臺也很難做到功能、性能兩全。”網(wǎng)御神州防火墻負(fù)責(zé)人王剛說。為了解決這個問題，網(wǎng)御神州的新一代防火墻基于“為多核加速”的設(shè)計理念，在多核架構(gòu)上引入了可編程ASIC加速引擎技術(shù)和多核負(fù)載均衡技術(shù)。一方面，可編程ASIC加速引擎的引入，徹底解決了傳統(tǒng)多核架構(gòu)在網(wǎng)絡(luò)層處理性能上的不足，尤其是“小包”處理性能的不足，可以達(dá)到64字節(jié)小包8G線速的處理性能;另一方面，多核處理器計算性能優(yōu)越、在應(yīng)用層處理能力上的優(yōu)勢得到了很好的繼承;而多核負(fù)載均衡技術(shù)，解決了傳統(tǒng)多核架構(gòu)下由于沒有高效的調(diào)度技術(shù)導(dǎo)致多核的并行處理效能無法得到充分釋放的難題。多核負(fù)載均衡技術(shù)能夠?qū)⑿枰獞?yīng)用層處理的流量按照比例分配到不同的CPU核上，最大程度地做到了多核間的并行處理，大幅提升了設(shè)備的應(yīng)用層處理性能，IPS吞吐可以輕松超過雙向1Gbps線速。

看透應(yīng)用

傳統(tǒng)防火墻能夠很好地防范網(wǎng)絡(luò)層攻擊。但是，隨著富媒體應(yīng)用的爆炸性增長，以及Web2.0應(yīng)用快速向業(yè)務(wù)環(huán)境滲透，隱藏在應(yīng)用層中的惡意威脅越來越多，用戶要求下一代防火墻必須能夠檢測出隱藏在應(yīng)用層數(shù)據(jù)流中的攻擊。

CheckPoint的工程師向記者介紹，CheckPoint防火墻軟件刀片采用智能檢查技術(shù)—INSPECT，將網(wǎng)絡(luò)層和應(yīng)用層保護集成在一起。INSPECT支持多種應(yīng)用程序和應(yīng)用協(xié)議，可以方便地擴展支持新的應(yīng)用程序和應(yīng)用協(xié)議。

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用不斷豐富。大量應(yīng)用建立在HTTP等基礎(chǔ)協(xié)議之上，或者隨機產(chǎn)生端口號，或者采用SSL加密等方式來隱藏內(nèi)容。此時IP地址不等于用戶，協(xié)議端口號不等于應(yīng)用，數(shù)據(jù)包不等于行為。

在深度應(yīng)用安全方面，山石網(wǎng)科的防火墻可對P2P、IM、游戲、辦公軟件以及基于SIP、H.323、HTTP等協(xié)議的應(yīng)用進行控制。識別的應(yīng)用多達(dá)幾百種，而且隨著應(yīng)用的發(fā)展每天都在增加。應(yīng)用特征庫可獨立升級，不影響系統(tǒng)的穩(wěn)定性。而且，其采用交叉檢測技術(shù)，不僅對協(xié)議進行深度的分析，還通過綜合分析用戶狀態(tài)、應(yīng)用狀態(tài)和行為狀態(tài)，來確認(rèn)協(xié)議的真正含義，實現(xiàn)更精準(zhǔn)和更快速的定位。

當(dāng)前Web2.0應(yīng)用使企業(yè)面臨著新的威脅以及與應(yīng)用檢測和控制相關(guān)的策略與法規(guī)遵從問題。在邁克菲的新一代防火墻解決方案—McAfeeFirewallEnterprise第八版中，邁克菲擴展了防火墻現(xiàn)有的應(yīng)用保護功能，能夠幫助安全管理員發(fā)現(xiàn)和識別數(shù)千種應(yīng)用并執(zhí)行相應(yīng)的安全策略，傳統(tǒng)的防火墻技術(shù)無法做到這一點。通過集成邁克菲基于云的實時全球威脅智能感知系統(tǒng)，邁克菲防火墻還可提供更詳細(xì)的內(nèi)、外部威脅和漏洞信息，降低法規(guī)遵從和運營成本。

SonicWALL的“應(yīng)用智能和控制”技術(shù)提供了對應(yīng)用層流量的全面保護、管理和控制。通過持續(xù)地運用和更新2700多個獨特的應(yīng)用簽名，應(yīng)用智能可以根據(jù)應(yīng)用標(biāo)識、用戶/群組標(biāo)識及內(nèi)容標(biāo)識來識別和控制流量，并通過建立針對進入和外出帶寬管理的政策(不是簡單的‘阻止/允許’方案)來管理流量。另外，與其他只提供應(yīng)用控制的方案不同，ProjectSuperMassive將應(yīng)用智能與入侵防御及惡意軟件攔截組件集成到了下一代防火墻中，形成了一個功能強大的網(wǎng)絡(luò)安全平臺。

現(xiàn)在，企業(yè)的數(shù)據(jù)中心普遍采用了虛擬化技術(shù)，但是，伴隨虛擬化技術(shù)而來的，還有其本身的安全隱患。安全廠商已經(jīng)著手解決虛擬化的安全問題，例如邁克菲的防火墻現(xiàn)在既可用于傳統(tǒng)設(shè)備，也可用于新的虛擬化硬件設(shè)備，甚至可以作為一款基于軟件的防火墻虛擬設(shè)備來使用。這些新的交付方式使客戶能夠在整合數(shù)據(jù)中心和應(yīng)用環(huán)境以及引入新的虛擬環(huán)境時，充分利用虛擬化技術(shù)來降低成本，提高靈活性，而不必?fù)?dān)心安全性。

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用不斷豐富。大量應(yīng)用建立在HTTP等基礎(chǔ)協(xié)議之上，或者隨機產(chǎn)生端口號，或者采用SSL加密等方式來隱藏內(nèi)容。此時IP地址不等于用戶，協(xié)議端口號不等于應(yīng)用，數(shù)據(jù)包不等于行為。

從“云”中獲取能量

綠盟產(chǎn)品市場部崔云鵬曾向記者表示，云安全是利用云計算的技術(shù)，在分布式計算的基礎(chǔ)上，部署中心服務(wù)器或者安全系統(tǒng)，并利用互聯(lián)網(wǎng)，將各個安全節(jié)點納入到云安全中心系統(tǒng)中。在這個體系中，各個節(jié)點將會有效地利用云安全供應(yīng)商提供的強有力服務(wù)和安全能力，實現(xiàn)原先單一節(jié)點不可能實現(xiàn)的安全防護機制。

目前，應(yīng)用威脅的數(shù)量眾多，快速多變。傳統(tǒng)安全設(shè)備的處理機制已經(jīng)無能為力。因此，新一代防火墻需要引入云安全，利用云計算加強和加速防御，這是解決當(dāng)前安全需要快速反應(yīng)的重要手段。

思科的防火墻已經(jīng)率先進入“云”時代，思科將其稱為云火墻。思科安全產(chǎn)品事業(yè)部技術(shù)專家郭慶向記者介紹，云火墻具備4大特征，包括：防僵尸網(wǎng)絡(luò)/木馬，防止網(wǎng)絡(luò)內(nèi)部主機感染;云檢測—全球IPS聯(lián)動;云接入—SSLVPN;云監(jiān)控—唯一支持Netflow的防火墻，實現(xiàn)了NOC和SOC二合一。云火墻的“大腦”是SensorBase。SensorBase提供全球安全威脅實時視圖和電子郵件的“信用報告服務(wù)”，還能敏感監(jiān)控僵尸網(wǎng)絡(luò)的動態(tài)。SensorBase所更新的信息同步到所有云火墻。各種安全信息不但可以從SensorBase傳到云火墻，還可以從云火墻傳到SensorBase，云火墻中的IPS可以在第一時間把攻擊同步給SensorBase，SensorBase再同步給其他云火墻。

邁克菲的防火墻解決方案中同樣使用了云安全—全球信譽技術(shù)，包括基于信譽的攔截和地理位置功能，可以在不需要的流量到達(dá)網(wǎng)絡(luò)之前將其過濾，也就是在攻擊發(fā)生之前將其阻止。

下一代防火墻的幾個特征

防火墻一方面可以阻止來自互聯(lián)網(wǎng)的對受保護網(wǎng)絡(luò)的未授權(quán)訪問，另一方面允許內(nèi)部網(wǎng)絡(luò)用戶對互聯(lián)網(wǎng)進行訪問。

回顧發(fā)展歷程，防火墻經(jīng)歷了包過濾防火墻和狀態(tài)檢測防火墻兩個發(fā)展階段。狀態(tài)檢測防火墻實現(xiàn)了對數(shù)據(jù)包連接狀態(tài)的監(jiān)控，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。狀態(tài)檢測防火墻通過檢查報文的協(xié)議類型和端口號等信息，來監(jiān)控基于連接的應(yīng)用層協(xié)議。然而，它只能粗粒度地識別來自應(yīng)用層的攻擊行為，也無法針對數(shù)據(jù)內(nèi)容做檢查。

用戶對防火墻提出了更高的要求。下一代防火墻不但要能夠檢測并攔截復(fù)雜攻擊，還要在應(yīng)用層(包括端口和協(xié)議)執(zhí)行細(xì)化安全策略，具備出色的可視化性能和控制能力，可以及時查看網(wǎng)絡(luò)中應(yīng)用程序和用戶的相關(guān)信息以及整個企業(yè)網(wǎng)絡(luò)的流量內(nèi)容，并進行相應(yīng)的控制。

要做到應(yīng)用的可視化，下一代防火墻就必須采用能夠提供更高性能的架構(gòu)。現(xiàn)在多核架構(gòu)已經(jīng)成為主流，在多核的基礎(chǔ)上，各家廠商還設(shè)計了“NP+多核+分布式”、“多核+ASIC”等架構(gòu)。

當(dāng)云計算成為無法阻擋的趨勢時，防火墻也將借助云的力量變得更強大、更智能，部分國外廠商已經(jīng)推出了采用此類技術(shù)的防火墻。

虛擬化技術(shù)是對防火墻的更大挑戰(zhàn)，在如何保護虛擬環(huán)境的安全性方面，少數(shù)防火墻廠商已經(jīng)提出了解決方案，我們希望能有更多的解決方案出現(xiàn)。