【51CTO.com綜合報(bào)道】隨著Web 2.0的廣泛應(yīng)用和Web化應(yīng)用的爆發(fā)式增長(zhǎng)，如今近三分之二的流量都是HTTP和HTTPS流量。Web 2.0應(yīng)用的主要好處包括可增強(qiáng)協(xié)作能力，提高生產(chǎn)效率，以及更深入地了解客戶(hù)和潛在客戶(hù)的需求。盡管新應(yīng)用帶來(lái)了諸多好處，但也帶來(lái)了新的安全威脅，并導(dǎo)致網(wǎng)絡(luò)帶寬消耗大幅增長(zhǎng)。

過(guò)去，IT管理員只能過(guò)濾少量端口的內(nèi)容，然后阻止其它端口的所有流量，從而避免所有可能的攻擊載體入侵網(wǎng)絡(luò)，這種時(shí)代已經(jīng)過(guò)去。如今，IT和威脅格局日益復(fù)雜，因而企業(yè)需要更精準(zhǔn)的IT控制能力。

對(duì)傳統(tǒng)防火墻而言，Web應(yīng)用看起來(lái)都差不多，都像是正常的HTTP和HTTPS流量，但I(xiàn)T管理員不會(huì)上當(dāng)。對(duì)某個(gè)用戶(hù)至關(guān)重要的生產(chǎn)力工具也許對(duì)另一名用戶(hù)來(lái)說(shuō)卻存在威脅，且浪費(fèi)時(shí)間。然而，傳統(tǒng)的網(wǎng)絡(luò)安全解決方案并不具備這種精準(zhǔn)控制能力，也無(wú)法對(duì)所有流量進(jìn)行仔細(xì)審查，對(duì)流量好壞進(jìn)行分辨。最后導(dǎo)致企業(yè)應(yīng)用極度混亂。

有效控制應(yīng)用混亂對(duì)于保護(hù)網(wǎng)絡(luò)遠(yuǎn)離Web 2.0威脅以及保留帶寬至關(guān)重要。但如何分辨流量的好壞呢？如何能正確識(shí)別、分類(lèi)和控制應(yīng)用及網(wǎng)絡(luò)帶寬呢？

下一代防火墻簡(jiǎn)介

市場(chǎng)研究公司Gartner認(rèn)為，下一代防火墻（NGFW）是一種集成式線速網(wǎng)絡(luò)平臺(tái)，可執(zhí)行深度流量檢測(cè)，阻止攻擊。NGFW包含第一代防火墻的所有標(biāo)準(zhǔn)功能，即常見(jiàn)的網(wǎng)絡(luò)功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、包過(guò)濾和全狀態(tài)包檢測(cè)功能。

NGFW的主要特點(diǎn)是應(yīng)用感知以及網(wǎng)絡(luò)堆棧的完全可視化。NGFW不會(huì)像傳統(tǒng)防火墻一樣只依靠端口或協(xié)議來(lái)阻止流量，而是會(huì)根據(jù)深度包檢測(cè)引擎識(shí)別到的流量在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。流量控制不再是單純地阻止或允許特定應(yīng)用，而是可用來(lái)管理帶寬或優(yōu)先排序應(yīng)用層流量。深度流量檢測(cè)讓IT部門(mén)可針對(duì)單個(gè)應(yīng)用組件執(zhí)行細(xì)粒度策略。例如，可允許用戶(hù)使用即時(shí)通訊客戶(hù)端，但禁止文件共享。

NGFW還集成了網(wǎng)絡(luò)入侵防御功能，這可不是在傳統(tǒng)防火墻架構(gòu)上簡(jiǎn)單添加入侵防御子系統(tǒng)這么簡(jiǎn)單。NGFW集成的入侵防御功能是安全引擎的核心組件，無(wú)需經(jīng)多個(gè)獨(dú)立的安全層傳輸同樣的流量，從而提高了性能，增強(qiáng)了安全性。

動(dòng)態(tài)應(yīng)對(duì)變化多端的威脅是NGFW的另一大重要特點(diǎn)。設(shè)備的簽名庫(kù)將不斷更新，用于識(shí)別新的威脅，更從容地應(yīng)對(duì)不斷升級(jí)的惡意軟件。

選擇NGFW的五大注意事項(xiàng)

Gartner研究公司建議企業(yè)在更換防火墻和/或入侵防御技術(shù)時(shí)，要求供應(yīng)商提供NGFW解決方案。但是，當(dāng)企業(yè)評(píng)估NGFW時(shí)，一些網(wǎng)絡(luò)安全技術(shù)提供商會(huì)宣稱(chēng)其產(chǎn)品同樣具備N(xiāo)GFW的功能。那么，真正的企業(yè)級(jí)NGFW應(yīng)具備哪些功能呢？

第一，性能

Gartner表示，NGFW可在不影響網(wǎng)絡(luò)運(yùn)行的情況下在網(wǎng)絡(luò)中進(jìn)行嵌入式配置。換句話(huà)說(shuō)，NGFW只會(huì)帶來(lái)極低的網(wǎng)絡(luò)延遲。而IPS與其它功能的緊密集成是實(shí)現(xiàn)這一點(diǎn)的關(guān)鍵。單通道引擎實(shí)現(xiàn)了無(wú)縫的策略部署和策略執(zhí)行，而且不會(huì)給網(wǎng)絡(luò)帶來(lái)任何延遲或大幅降低性能。這一點(diǎn)非常重要，因?yàn)閱⒂肗GFW服務(wù)不應(yīng)該導(dǎo)致網(wǎng)絡(luò)運(yùn)行中斷。

第二，強(qiáng)大的掃描功能

與第一代防火墻相同，NGFW也集成了全狀態(tài)檢測(cè)功能。但NGFW與上一代產(chǎn)品的主要不同之處在于它支持深度包檢測(cè)（DPI）功能。許多NGFW提供商都在大肆宣傳DPI功能，但對(duì)這些產(chǎn)品的測(cè)試發(fā)現(xiàn)，DPI功能會(huì)大幅降低網(wǎng)絡(luò)的安全防御能力。許多NGFW必須代理文件，才能在網(wǎng)關(guān)掃描文件并阻止惡意軟件，這會(huì)給網(wǎng)絡(luò)性能造成嚴(yán)重負(fù)面影響。為了避免出現(xiàn)網(wǎng)絡(luò)中斷，一些提供商選擇直接允許數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，而不對(duì)其進(jìn)行掃描。

評(píng)估NGFW時(shí)，請(qǐng)選擇具備以下功能的NGFW：

●可掃描各種大小的文件，查找其中的病毒、惡意軟件、僵尸網(wǎng)絡(luò)和其它威脅

●可解密、掃描和重新加密SSL數(shù)據(jù)包

●可掃描穿越所有端口的原始TCP流量以及大量協(xié)議

第三，易管理性

隨著企業(yè)開(kāi)始重視多個(gè)站點(diǎn)的安全性，可擴(kuò)展的、經(jīng)驗(yàn)證的分布式管理解決方案對(duì)于實(shí)現(xiàn)安全性和提高投資回報(bào)率至關(guān)重要。

第四，應(yīng)用智能、控制和可視化

NGFW有一大基本特點(diǎn)，即控制應(yīng)用并優(yōu)化網(wǎng)絡(luò)中運(yùn)行的流量。但是，如果NGFW不具備以下功能，也無(wú)法實(shí)現(xiàn)這一特點(diǎn)：

●  將應(yīng)用智能和控制功能擴(kuò)展至無(wú)線終端；

●  支持自定義應(yīng)用；

●  實(shí)時(shí)查看網(wǎng)絡(luò)情況；

●  根據(jù)不斷擴(kuò)展的簽名庫(kù)對(duì)應(yīng)用進(jìn)行掃描。

NGFW可不同程度地支持以上功能。為了確保網(wǎng)絡(luò)得到正確、有效的保護(hù)，企業(yè)必須了解具體型號(hào)的NGFW具備和不具備的功能。

-強(qiáng)大的簽名數(shù)據(jù)庫(kù)：NGFW的有效性與可檢測(cè)和控制的應(yīng)用數(shù)量息息相關(guān)。

-實(shí)時(shí)可視化：顯然，對(duì)于看不見(jiàn)的事情，企業(yè)無(wú)法實(shí)現(xiàn)控制和優(yōu)化。評(píng)估NGFW時(shí)，企業(yè)必須考慮到NGFW是否支持實(shí)時(shí)查看應(yīng)用和用戶(hù)流量。

-對(duì)自定義應(yīng)用的考量：盡管網(wǎng)絡(luò)中有許多web應(yīng)用企業(yè)希望及時(shí)納入掌控，但大多數(shù)NGFW卻無(wú)法控制貴公司的自定義應(yīng)用。但是，要提高有效性，NGFW必須能夠識(shí)別企業(yè)的自定義應(yīng)用，并優(yōu)先處理自定義應(yīng)用，再處理其它流量。

-無(wú)線端點(diǎn)控制：企業(yè)網(wǎng)絡(luò)邊緣的無(wú)線端點(diǎn)數(shù)量正在不斷增多。如果貴公司也面臨這樣的情況，請(qǐng)考慮使用NGFW，它可針對(duì)無(wú)線用戶(hù)提供強(qiáng)大的應(yīng)用智能、控制和可視化功能。只控制有線用戶(hù)的流量，而無(wú)視大量使用無(wú)線網(wǎng)絡(luò)的筆記本電腦的用戶(hù)對(duì)企業(yè)來(lái)說(shuō)毫無(wú)益處。

第五，經(jīng)帶擴(kuò)展的NetFlow和IPFix報(bào)告的能力

NetFlow和IPFix是向外部收集程序報(bào)告網(wǎng)絡(luò)流量的兩大行業(yè)標(biāo)準(zhǔn)。NetFlow部署于交換機(jī)和路由器，可導(dǎo)出各種數(shù)據(jù)，如IP地址源和目的地、源端口和目標(biāo)端口、3層協(xié)議類(lèi)型和服務(wù)等級(jí)。IPFix和NetFlow版本9經(jīng)擴(kuò)展后，還可導(dǎo)出網(wǎng)絡(luò)設(shè)備的其它數(shù)據(jù)，如應(yīng)用數(shù)據(jù)、用戶(hù)數(shù)據(jù)和URL數(shù)據(jù)。

通過(guò)集成入侵防御、全狀態(tài)檢測(cè)和深度包檢測(cè)功能，NGFW可幫助企業(yè)恢復(fù)對(duì)網(wǎng)絡(luò)的控制。

SonicWALL下一代防火墻提供了：

●  應(yīng)用智能 － SonicWALL可掃描所有網(wǎng)絡(luò)流量，包括每個(gè)數(shù)據(jù)包的每個(gè)字節(jié)，通過(guò)了解哪些應(yīng)用處于使用中以及哪些用戶(hù)在使用這些應(yīng)用，可實(shí)現(xiàn)完整的應(yīng)用智能和控制功能，不管企業(yè)采用什么端口或協(xié)議。

●  應(yīng)用控制 － 應(yīng)用智能、控制和可視化增強(qiáng)了管理性和易用性，讓IT管理員可實(shí)現(xiàn)對(duì)應(yīng)用和用戶(hù)的細(xì)粒度控制。管理員可根據(jù)預(yù)先定義的邏輯類(lèi)別（如社交媒體或游戲）、個(gè)別應(yīng)用或用戶(hù)和用戶(hù)組輕松創(chuàng)建帶寬管理策略。

●  應(yīng)用可視化 － 要正確控制網(wǎng)絡(luò)使用，管理員必須能實(shí)時(shí)查看應(yīng)用流量，并根據(jù)觀察到的情況調(diào)整網(wǎng)絡(luò)策略。SonicWALL Application Flow Monitor提供了有關(guān)應(yīng)用、入口和出口帶寬、訪問(wèn)的網(wǎng)站以及所有用戶(hù)行為的實(shí)時(shí)圖表。作為SonicWALL NGFW的緊密集成功能，SonicWALL應(yīng)用智能、控制和可視化將網(wǎng)絡(luò)控制權(quán)重新還給IT管理員，可輕松分辨好應(yīng)用和壞應(yīng)用，從而提升生產(chǎn)效率，而不會(huì)影響安全性。