为下一代防火墙正名

　　新年伊始，各大媒体都在对过去一年的网络安全市场做各种盘点，而“下一代防火墙”无一例外成为各种盘点中的热门主题词。然而作为一个产品品类名称，对于用户来说，“下一代防火墙”这个名字太过模糊了。

　　“名不正则言不顺，言不顺则事不成”，下一代防火墙当前恰恰处于“名不正言不顺”的尴尬时期。我们所熟知的 “路由器”、“交换机”、“防火墙”等产品，仅仅通过名字，我们就可以了解其产品的功能特点。不过，从“下一代防火墙”这个命名中，我们最多就能了解到这是一款与传统防火墙不一样的安全产品，但究竟哪里不一样，名字中并没有显露出任何端倪。事实上也正是因为这种概念上的模糊，才导致了当前的下一代防火墙市场标准混杂，实现各异，甚至连许多业内人士也无法准确的说出下一代防火墙究竟是什么。

　　孔子曰：必也正名乎！本文将对下一代防火墙的来龙去脉做一个简单的梳理，并分别从“主要防御风险”和“主要防御技术”两个维度来对下一代防火墙进行描述，希望通过这样一篇文章，读者可以更加清晰地理解，什么是下一代防火墙。

　　道高一尺魔高一丈

　　我们可以从对威胁的防护中看出传统防火墙与下一代防火墙之间的区别。传统网络安全产品防护的主要是病毒、DDOS攻击、系统漏洞扫描与攻击等一直以来的常见威胁，与之相应的产品是传统防火墙、UTM、IPS等产品。不过如今网络安全的情况已经有了很大变化，除了常见威胁外新兴的网络安全攻击手段更加多样。当前网络安全的主要威胁已经变成了木马、钓鱼网站、数据泄露、僵尸网络等问题。

　　常见的传统网络威胁与正常应用有很大区别，特征容易被识别和防御，攻击一般以时间点为单位。而当前的安全威胁则更加隐蔽，其主要通过各种网络应用为载体，混杂在正常的网络应用中，用传统手段很难识别和防御。而且，新的信息安全威胁从渗透到驻留再到发生实际的攻击行为，往往会持续很长时间。

　　威胁与防护是一个“道高一尺魔高一丈”的过程，威胁已经发生了变化，防护技术也必须相应的进行改变。“下一代防火墙”就是针对这种变化，以木马、钓鱼网站、数据泄露、僵尸网络等新的信息威胁为主要防范对象的网络安全产品。

　　所采用的安全技术不同决定了防火墙的性质。过去的网络安全设备所采用了两个主要技术：基于网络层地址和传输层端口的访问控制技术；基于特征匹配的杀毒和攻击防护技术。这些技术在新的网络威胁面前已经逐渐失去了作用。由于木马、僵尸网络、钓鱼网站等威胁基本都是以正常应用为载体注入的，仅仅通过网络层和传输层特征识别无法将网络威胁和正常应用区分开，同时，将安全策略仅配置在特定端口上还会放过对采用了跳端口（port hopping）技术的应用程序的检查。因此必须引入更为先进而且与端口无关的应用识别技术。这一技术可以分辨出网络流量的用户特征、应用特征和内容特征，能够在保证正常网络应用的同时，对网络威胁进行防护。

　　传统防火墙往往无法对采用了加密技术的安全威胁进行检查。因此，能否应对加密、隧道、代理等逃逸技术，成为考验下一代防火墙的关键能力。此外，在加壳、花指令等操作的“粉饰”下，木马病毒都有着很强的反查杀能力，使得基于特征匹配的杀毒手段很难跟上木马病毒的变形速度，因此云查杀成为下一代防火墙的一项重要功能。基于网络行为分析的主动防御技术，则成为了防御僵尸网络和间谍软件的最后一道防线。

　　综上所述，下一代防火墙在技术上与传统的网络安全产品有着本质的区别，其主要是通过应用识别、防逃逸、云安全、网络行为分析等技术来保护网络安全。在市面上现有的产品中，PALO ALTO、网康等厂商的下一代防火墙身上都对此进行了体现。

　　通过对主要防护威胁和主要安全技术这两个维度的分析，我们可以清晰的看到，下一代防火墙是通过应用识别、云查杀、行为分析等技术，针对木马、僵尸网络、数据泄露等当代网络主要威胁进行防护的下一代网络安全产品。下一代防火墙是企业IT架构和IT应用日益复杂化差异化的客观需要，是应对下一代威胁的必然需求，也是下一代安全技术的集大成者。

　　特约撰稿 吕薇