防火墙的安全策略 下一代防火墙专注应用层安全策略

　　知名IT研究与咨询公司Gartner认为，下一代防火墙（NGFW）是一种集成式线速网络平台，可执行深度流量检测，阻止攻击。Gartner以“下一代防火墙”这一名词来阐明防火墙的必要演进，这一演进主要是为应对业务流程使用IT的方式及威胁入侵业务系统方式的变化。

　　过去，在传统的防火墙模式下，IT管理员只能通过过滤少量端口的内容，来阻止其它端口的所有流量，从而避免所有可能的攻击载体入侵网络，尤其是那些基于三层网络设备的老旧防火墙，只能根据与数据包源地址和目标地址有关的信息，即协议和端口号来检测流量。

　　但如今近三分之二的流量都是HTTP和HTTPS流量，就设置和执行安全策略而言，协议和端口细节实际上已毫无用处。随着Web2.0、社交媒体、移动互联及云计算等新技术和新模式的飞速发展，通过协议和端口号分类来检测流量已不能有效阻止新型的威胁，传统防火墙在应对这类威胁时已显得力不从心。IT以及威胁格局的日益复杂性，要求企业具备更精准的IT控制能力。

　　为重新取得控制权，一些企业的首席信息官或IT总监大胆采用了具备应用层智能和控制功能的下一代防火墙，以有效抵御各种新生威胁。

　　下一代防火墙包括入侵防护、网关防病毒、内容过滤、反垃圾邮件等功能，同时还要确保网络的可视化，即管理员能够实时查看应用流量，并根据观察到的情况调整网络策略。然而，穿越防火墙的大多数流量是一些应用和数据，并不具备威胁性。那么，现实生活中应用智能和控制意味着什么？它又是如何实现日常安全防护的？

　　NGFW能够根据深度包检测（DPI）引擎识别到的流量在应用层执行网络安全策略。流量控制不再是单纯地阻止或允 ……此处隐藏2577个字…… 邮件内容，继而阻止邮件发送，并通知发件人：此邮件为“公司机密”。一旦外发网络流量穿越公司防火墙，NGFW即可以检测并拦截“移动中的数据”。

　　创建FTP上传策略

　　控制文件上载权限

　　许多公司会建立一个或多个FTP网站，以便与业务合作伙伴交换大型文件，同时，希望确保合作伙伴方只有项目经理可以上传文件，其他任何人均不被授权。NGFW使用深度包检测引擎搜索FTP命令=“放置”，然后搜索验证用户名=“pm_partner”（项目经理），若两者相符，便允许FTP上传放置。当然，NGFW还可以驳回任何企业认为指定FTP服务器不需要的FTP命令。

　　除创建不同策略以管理和控制网络应用外，NGFW还可利用带宽和时间限制来阻止或限制对等网（P2P）应用，从而防止宽带盗用，拦截恶意文件。如今，许多企业关键业务用到的SAP、Salesforce.com和SharePoint都是基于“云”的，或者是其运行需要跨越不同地理位置网络的，NGFW能够确保这些应用可以优先获得运行所需的带宽，从而改善业务效率。

　　总而言之，下一代防火墙进一步增强了安全性，对传统的网络层威胁防御系统进行了扩展，纳入了应用层检测功能。其真正的价值在于智能流量管理，可根据应用、用户或用户组和内容来执行相应的策略。下一代防火墙无缝集成了应用智能及入侵防御和防恶意软件等核心功能，打造全方位的网络安全平台。这就是防火墙技术的未来。

　　（作者为SonicWALL中国区总经理）