幾十年來，基于網(wǎng)絡(luò)的防火墻提供了必不可少的第一道防線。這些設(shè)備位于受信任和不受信任的網(wǎng)絡(luò)之間，并管理(通常是復(fù)雜的)規(guī)則集，這些規(guī)則集指示它們根據(jù)流量的來源、目的地和類型是允許還是阻止流量。要?jiǎng)?chuàng)建有效的規(guī)則集，防火墻管理員必須準(zhǔn)確了解其環(huán)境的設(shè)備和應(yīng)用程序以及它們所依賴的協(xié)議和端口。這些規(guī)則集中的錯(cuò)誤可能會(huì)導(dǎo)致網(wǎng)絡(luò)連接丟失;因此，在對兩個(gè)設(shè)備之間的網(wǎng)絡(luò)連接進(jìn)行故障排除時(shí)要“首先檢查防火墻”。錯(cuò)誤可能會(huì)使敏感系統(tǒng)暴露在互聯(lián)網(wǎng)上或阻止對關(guān)鍵公司職能的訪問。除了復(fù)雜的規(guī)則集，網(wǎng)絡(luò)流量配置文件在過去十年中也發(fā)生了變化。大多數(shù)新應(yīng)用程序使用超文本傳輸協(xié)議 (HTTP) 和安全超文本傳輸協(xié)議 (HTTPS)，并且端口 80(分配給 HTTP 的端口)和端口 443(網(wǎng)站使用安全套接字層 (SSL) 的端口)分別過載。惡意軟件也試圖隱藏在這些端口上。即使您掌握傳統(tǒng)防火墻的規(guī)則集管理，它也可能無法檢查和阻止其中一些現(xiàn)代威脅。幸運(yùn)的是，現(xiàn)代商業(yè)和開源防火墻包括更好的管理和智能，可幫助您從一些平凡的規(guī)則管理任務(wù)中解脫出來，同時(shí)為這些高流量端口提供急需的監(jiān)管。

防火墻最初只是簡單的過濾器，可以根據(jù)來源、目的地和協(xié)議來阻止和允許網(wǎng)絡(luò)流量。這些防火墻通常是具有兩個(gè)或更多網(wǎng)絡(luò)接口的物理設(shè)備，這些接口在邏輯上將網(wǎng)絡(luò)劃分為區(qū)域——例如，互聯(lián)網(wǎng)和內(nèi)部企業(yè)網(wǎng)絡(luò)。隨著時(shí)間的推移，防火墻添加了網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)、動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 和域名服務(wù)器 (DNS) 服務(wù)等支持服務(wù)，試圖將它們定位為“一體化”設(shè)備。即使是這些防火墻上最簡單的規(guī)則，也需要管理員了解基礎(chǔ)設(shè)施服務(wù)和網(wǎng)絡(luò)概念(例如網(wǎng)絡(luò)尋址、端口和協(xié)議)的基礎(chǔ)知識。當(dāng)防火墻供應(yīng)商開始添加虛擬專用網(wǎng)絡(luò)、端口轉(zhuǎn)發(fā)和服務(wù)器發(fā)布時(shí)，防火墻和規(guī)則的復(fù)雜性增加了。所有這些服務(wù)和概念仍然是現(xiàn)代防火墻中的重要功能，但許多現(xiàn)在包括更高級的功能，如加密通信檢查以及應(yīng)用程序智能，以支持應(yīng)用程序?qū)拥陌踩呗詻Q策。

出于多種原因，僅通過協(xié)議嚴(yán)格管理網(wǎng)絡(luò)流量已不再足夠。

首先，大多數(shù)基于云的軟件即服務(wù)應(yīng)用程序和物聯(lián)網(wǎng) (IoT) 設(shè)備通過 HTTP 進(jìn)行通信，如果它們精通安全性，則通過加密的 HTTPS 進(jìn)行通信。過去，防火墻管理員可能僅基于入站或出站 HTTP 和 HTTPS 來構(gòu)建規(guī)則，以試圖管理 Internet 網(wǎng)絡(luò)沖浪。同樣，他們可能會(huì)為文件傳輸尋址 FTP(端口 20/21)和通過 Secure Shell (SSH)(端口 22)或終端服務(wù)(端口 3389)進(jìn)行遠(yuǎn)程訪問創(chuàng)建防火墻規(guī)則。防火墻管理員會(huì)為大多數(shù)使用特定協(xié)議的應(yīng)用程序分配相應(yīng)的端口，這使他們能夠通過規(guī)范該協(xié)議的使用來管理這些應(yīng)用程序。發(fā)生了轉(zhuǎn)變，如今許多應(yīng)用程序——無論是網(wǎng)上沖浪、文件傳輸還是遠(yuǎn)程訪問——都使用 HTTP 或 HTTPS，

其次，應(yīng)用程序現(xiàn)在經(jīng)常加密其有效負(fù)載，如果沒有更先進(jìn)的技術(shù)，幾乎不可能進(jìn)行數(shù)據(jù)包檢查。

第三，像 DNS 和 NTP(網(wǎng)絡(luò)時(shí)間協(xié)議)這樣的關(guān)鍵支持協(xié)議通常被列入白名單，并允許在網(wǎng)絡(luò)安全區(qū)域之間不受限制地通過。攻擊者也知道這一點(diǎn)，并開始劫持這些端口——無論是將他們的通信隱藏在加密之后，還是發(fā)出偽造的 DNS“請求”來隱藏被盜的公司機(jī)密。

防火墻供應(yīng)商不斷發(fā)展他們的產(chǎn)品，以通過現(xiàn)有技術(shù)和新技術(shù)的進(jìn)步來幫助解決這些問題。

加密

現(xiàn)代防火墻技術(shù)利用更快的處理器和分布式架構(gòu)，允許它們動(dòng)態(tài)解密-檢查-加密通過它的加密流量。這允許在防火墻上解密 HTTPS 和 SSH 流量，根據(jù)定義的標(biāo)準(zhǔn)檢查有效負(fù)載，并決定是阻止流量還是重新加密并交付它。為了減輕隱私問題并遵守地緣政治要求，請尋找可讓您定義特定策略元素的防火墻功能，以便您可以確定可以解密哪些類型的通信以及哪些必須保密。

應(yīng)用感知規(guī)則

防火墻通過區(qū)分網(wǎng)絡(luò)通信流中包含的特征來區(qū)分和調(diào)節(jié)流量，從而得以生存和生存。應(yīng)用程序感知防火墻(包括 Web 應(yīng)用程序防火墻)允許防火墻更深入地研究特定協(xié)議(如 HTTP)，以確定使用該協(xié)議的應(yīng)用程序是否合法并獲得批準(zhǔn)。這些技術(shù)可以檢測并阻止劫持其他協(xié)議進(jìn)行自身通信的惡意應(yīng)用程序。以一個(gè)試圖通過端口 53 (DNS) 聯(lián)系另一個(gè)命令和控制服務(wù)器的惡意軟件為例。在第 4 層(傳輸層)配置為允許端口 53 流量的傳統(tǒng)防火墻規(guī)則可能會(huì)允許此惡意軟件通過。然而，應(yīng)用程序感知防火墻在第 7 層(應(yīng)用程序?qū)?檢查相同的數(shù)據(jù)包，可能能夠確定它在端口 53 上檢測到的流量并不代表真正的 DNS 通信，并將其標(biāo)記為非法流量并阻止它。具有應(yīng)用程序檢測功能的防火墻還可以區(qū)分不同的應(yīng)用程序，例如是否阻止社交媒體或點(diǎn)對點(diǎn)文件傳輸應(yīng)用程序，即使它們都使用 HTTP?；?IP 和 DNS 信息將網(wǎng)站列入黑名單和白名單并不新鮮，但現(xiàn)在防火墻可以根據(jù)有效負(fù)載本身識別和分類應(yīng)用程序，而不僅僅是依賴目的地?cái)?shù)據(jù)庫。具有應(yīng)用程序檢測功能的防火墻還可以區(qū)分不同的應(yīng)用程序，例如是否阻止社交媒體或點(diǎn)對點(diǎn)文件傳輸應(yīng)用程序，即使它們都使用 HTTP?；?IP 和 DNS 信息將網(wǎng)站列入黑名單和白名單并不新鮮，但現(xiàn)在防火墻可以根據(jù)有效負(fù)載本身識別和分類應(yīng)用程序，而不僅僅是依賴目的地?cái)?shù)據(jù)庫。具有應(yīng)用程序檢測功能的防火墻還可以區(qū)分不同的應(yīng)用程序，例如是否阻止社交媒體或點(diǎn)對點(diǎn)文件傳輸應(yīng)用程序，即使它們都使用 HTTP?；?IP 和 DNS 信息將網(wǎng)站列入黑名單和白名單并不新鮮，但現(xiàn)在防火墻可以根據(jù)有效負(fù)載本身識別和分類應(yīng)用程序，而不僅僅是依賴目的地?cái)?shù)據(jù)庫。

基于對象的規(guī)則

基于對象定義網(wǎng)絡(luò)策略有助于簡化您必須直接管理的規(guī)則集。例如，定義一個(gè)名為“web 服務(wù)器”的新對象可能更容易，它本身包含所有單獨(dú)的 web 服務(wù)器對象。然后，您可以創(chuàng)建一個(gè)規(guī)則，允許通過“網(wǎng)絡(luò)協(xié)議”對象從“互聯(lián)網(wǎng)”區(qū)域訪問“網(wǎng)絡(luò)服務(wù)器”對象。對于人類來說，這意味著可能只需要管理一個(gè)防火墻規(guī)則?？梢钥焖衮?yàn)證對象成員資格以及該對象中包含的適當(dāng)“網(wǎng)絡(luò)協(xié)議”列表。當(dāng) Web 服務(wù)器來來去去或 IP 地址發(fā)生變化時(shí)，您可以更新各個(gè) Web 服務(wù)器對象的清單，并確保規(guī)則會(huì)自動(dòng)更新以反映最新更改。審計(jì)員也喜歡這樣，因?yàn)樗麄兛梢钥吹侥男ο笫悄男┙M的成員以及該組擁有哪些權(quán)限。與滾動(dòng)瀏覽由 IP 地址和協(xié)議端口號定義的單個(gè)防火墻規(guī)則行相比，這種基于對象的方法還可能更容易發(fā)現(xiàn)差距或錯(cuò)誤。

身份

傳統(tǒng)防火墻依靠 IP 地址來構(gòu)建規(guī)則。雖然 IP 地址仍然是識別特定設(shè)備通信的常用屬性，但它可能不足以將活動(dòng)與人相關(guān)聯(lián)。無線訪問、移動(dòng)用戶、虛擬化容器、IPv4 與 IPv6 尋址以及云部署都使得將操作歸因于 IP 地址變得更加困難。功能更強(qiáng)大的防火墻可以識別聯(lián)合身份和目錄服務(wù)并與之集成，以在允許訪問之前對用戶進(jìn)行身份驗(yàn)證。

指標(biāo)和測量

直接內(nèi)置于防火墻中的商業(yè)智能軟件有助于防火墻管理，并顯著擴(kuò)展報(bào)告功能，超越臭名昭著的“頂級談話者”報(bào)告。這些工具允許防火墻管理員將網(wǎng)絡(luò)通信數(shù)據(jù)動(dòng)態(tài)地轉(zhuǎn)換和分割成可操作的報(bào)告，并且在許多情況下，這些報(bào)告可以被深入挖掘以揭示隱藏的洞察力。

云和分布式部署

隨著越來越多的組織將基礎(chǔ)架構(gòu)即服務(wù) (IaaS) 集成到其傳統(tǒng)的本地模型中，虛擬化防火墻解決方案變得必不可少。主要的云供應(yīng)商提供防火墻和網(wǎng)絡(luò)安全功能;但是，與某些獨(dú)立防火墻相比，這些防火墻和網(wǎng)絡(luò)安全功能可能會(huì)有所欠缺。大多數(shù)防火墻供應(yīng)商現(xiàn)在都提供基于云的防火墻，這些防火墻與他們的本地網(wǎng)絡(luò)防火墻和基于主機(jī)的防火墻相鏈接，以創(chuàng)建一個(gè)由單一安全策略管理的跨平臺防火墻服務(wù)。

防火墻將繼續(xù)在隔離網(wǎng)絡(luò)方面發(fā)揮核心作用。隨著網(wǎng)絡(luò)和云應(yīng)用的成熟，看到這些核心技術(shù)的發(fā)展是一個(gè)激動(dòng)人心的時(shí)刻。您可能會(huì)通過高額訂閱費(fèi)為尖端防火墻服務(wù)支付額外費(fèi)用;然而，這些領(lǐng)先技術(shù)將繼續(xù)激發(fā)開源和更廣泛訪問的防火墻技術(shù)的創(chuàng)新。

關(guān)鍵點(diǎn)：

防火墻技術(shù)不斷發(fā)展以跟上新的攻擊者技術(shù)。

應(yīng)用程序智能和用戶身份驗(yàn)證服務(wù)進(jìn)一步幫助防火墻區(qū)分實(shí)際用戶流量。

下一代防火墻通過靈活、強(qiáng)大且通常直觀的對象模型和用戶界面將防火墻管理員從管理復(fù)雜規(guī)則中抽象出來。

審核編輯：湯梓紅