下一代防火墙：不仅仅是ACL过滤器

几十年来，基于网络的防火墙提供了必不可少的第一道防线。这些设备位于受信任和不受信任的网络之间，并管理(通常是复杂的)规则集，这些规则集指示它们根据流量的来源、目的地和类型是允许还是阻止流量。要创建有效的规则集，防火墙管理员必须准确了解其环境的设备和应用程序以及它们所依赖的协议和端口。这些规则集中的错误可能会导致网络连接丢失;因此，在对两个设备之间的网络连接进行故障排除时要“首先检查防火墙”。错误可能会使敏感系统暴露在互联网上或阻止对关键公司职能的访问。除了复杂的规则集，网络流量配置文件在过去十年中也发生了变化。大多数新应用程序使用超文本传输协议 (HTTP) 和安全超文本传输协议 (HTTPS)，并且端口 80(分配给 HTTP 的端口)和端口 443(网站使用安全套接字层 (SSL) 的端口)分别过载。恶意软件也试图隐藏在这些端口上。即使您掌握传统防火墙的规则集管理，它也可能无法检查和阻止其中一些现代威胁。幸运的是，现代商业和开源防火墙包括更好的管理和智能，可帮助您从一些平凡的规则管理任务中解脱出来，同时为这些高流量端口提供急需的监管。

防火墙最初只是简单的过滤器，可以根据来源、目的地和协议来阻止和允许网络流量。这些防火墙通常是具有两个或更多网络接口的物理设备，这些接口在逻辑上将网络划分为区域——例如，互联网和内部企业网络。随着时间的推移，防火墙添加了网络地址转换 (NAT)、动态主机配置协议 (DHCP) 和域名服务器 (DNS) 服务等支持服务，试图将它们定位为“一体化”设备。即使是这些防火墙上最简单的规则，也需要管理员了解基础设施服务和网络概念(例如网络寻址、端口和协议)的基础知识。当防火墙供应商开始添加虚拟专用网络、端口转发和服务器发布时，防火墙和规则的复杂性增加了。所有这些服务和概念仍然是现代防火墙中的重要功能，但许多现在包括更高级的功能，如加密通信检查以及应用程序智能，以支持应用程序层的安全策略决策。

出于多种原因，仅通过协议严格管理网络流量已不再足够。

首先，大多数基于云的软件即服务应用程序和物联网 (IoT) 设备通过 HTTP 进行通信，如果它们精通安全性，则通过加密的 HTTPS 进行通信。过去，防火墙管理员可能仅基于入站或出站 HTTP 和 HTTPS 来构建规则，以试图管理 Internet 网络冲浪。同样，他们可能会为文件传输寻址 FTP(端口 20/21)和通过 Secure Shell (SSH)(端口 22)或终端服务(端口 3389)进行远程访问创建防火墙规则。防火墙管理员会为大多数使用特定协议的应用程序分配相应的端口，这使他们能够通过规范该协议的使用来管理这些应用程序。发生了转变，如今许多应用程序——无论是网上冲浪、文件传输还是远程访问——都使用 HTTP 或 HTTPS，

其次，应用程序现在经常加密其有效负载，如果没有更先进的技术，几乎不可能进行数据包检查。

第三，像 DNS 和 NTP(网络时间协议)这样的关键支持协议通常被列入白名单，并允许在网络安全区域之间不受限制地通过。攻击者也知道这一点，并开始劫持这些端口——无论是将他们的通信隐藏在加密之后，还是发出伪造的 DNS“请求”来隐藏被盗的公司机密。

防火墙供应商不断发展他们的产品，以通过现有技术和新技术的进步来帮助解决这些问题。

加密

现代防火墙技术利用更快的处理器和分布式架构，允许它们动态解密-检查-加密通过它的加密流量。这允许在防火墙上解密 HTTPS 和 SSH 流量，根据定义的标准检查有效负载，并决定是阻止流量还是重新加密并交付它。为了减轻隐私问题并遵守地缘政治要求，请寻找可让您定义特定策略元素的防火墙功能，以便您可以确定可以解密哪些类型的通信以及哪些必须保密。

应用感知规则

防火墙通过区分网络通信流中包含的特征来区分和调节流量，从而得以生存和生存。应用程序感知防火墙(包括 Web 应用程序防火墙)允许防火墙更深入地研究特定协议(如 HTTP)，以确定使用该协议的应用程序是否合法并获得批准。这些技术可以检测并阻止劫持其他协议进行自身通信的恶意应用程序。以一个试图通过端口 53 (DNS) 联系另一个命令和控制服务器的恶意软件为例。在第 4 层(传输层)配置为允许端口 53 流量的传统防火墙规则可能会允许此恶意软件通过。然而，应用程序感知防火墙在第 7 层(应用程序层)检查相同的数据包，可能能够确定它在端口 53 上检测到的流量并不代表真正的 DNS 通信，并将其标记为非法流量并阻止它。具有应用程序检测功能的防火墙还可以区分不同的应用程序，例如是否阻止社交媒体或点对点文件传输应用程序，即使它们都使用 HTTP。基于 IP 和 DNS 信息将网站列入黑名单和白名单并不新鲜，但现在防火墙可以根据有效负载本身识别和分类应用程序，而不仅仅是依赖目的地数据库。具有应用程序检测功能的防火墙还可以区分不同的应用程序，例如是否阻止社交媒体或点对点文件传输应用程序，即使它们都使用 HTTP。基于 IP 和 DNS 信息将网站列入黑名单和白名单并不新鲜，但现在防火墙可以根据有效负载本身识别和分类应用程序，而不仅仅是依赖目的地数据库。具有应用程序检测功能的防火墙还可以区分不同的应用程序，例如是否阻止社交媒体或点对点文件传输应用程序，即使它们都使用 HTTP。基于 IP 和 DNS 信息将网站列入黑名单和白名单并不新鲜，但现在防火墙可以根据有效负载本身识别和分类应用程序，而不仅仅是依赖目的地数据库。

基于对象的规则

基于对象定义网络策略有助于简化您必须直接管理的规则集。例如，定义一个名为“web 服务器”的新对象可能更容易，它本身包含所有单独的 web 服务器对象。然后，您可以创建一个规则，允许通过“网络协议”对象从“互联网”区域访问“网络服务器”对象。对于人类来说，这意味着可能只需要管理一个防火墙规则。可以快速验证对象成员资格以及该对象中包含的适当“网络协议”列表。当 Web 服务器来来去去或 IP 地址发生变化时，您可以更新各个 Web 服务器对象的清单，并确保规则会自动更新以反映最新更改。审计员也喜欢这样，因为他们可以看到哪些对象是哪些组的成员以及该组拥有哪些权限。与滚动浏览由 IP 地址和协议端口号定义的单个防火墙规则行相比，这种基于对象的方法还可能更容易发现差距或错误。

身份

传统防火墙依靠 IP 地址来构建规则。虽然 IP 地址仍然是识别特定设备通信的常用属性，但它可能不足以将活动与人相关联。无线访问、移动用户、虚拟化容器、IPv4 与 IPv6 寻址以及云部署都使得将操作归因于 IP 地址变得更加困难。功能更强大的防火墙可以识别联合身份和目录服务并与之集成，以在允许访问之前对用户进行身份验证。

指标和测量

直接内置于防火墙中的商业智能软件有助于防火墙管理，并显着扩展报告功能，超越臭名昭著的“顶级谈话者”报告。这些工具允许防火墙管理员将网络通信数据动态地转换和分割成可操作的报告，并且在许多情况下，这些报告可以被深入挖掘以揭示隐藏的洞察力。

云和分布式部署

随着越来越多的组织将基础架构即服务 (IaaS) 集成到其传统的本地模型中，虚拟化防火墙解决方案变得必不可少。主要的云供应商提供防火墙和网络安全功能;但是，与某些独立防火墙相比，这些防火墙和网络安全功能可能会有所欠缺。大多数防火墙供应商现在都提供基于云的防火墙，这些防火墙与他们的本地网络防火墙和基于主机的防火墙相链接，以创建一个由单一安全策略管理的跨平台防火墙服务。

防火墙将继续在隔离网络方面发挥核心作用。随着网络和云应用的成熟，看到这些核心技术的发展是一个激动人心的时刻。您可能会通过高额订阅费为尖端防火墙服务支付额外费用;然而，这些领先技术将继续激发开源和更广泛访问的防火墙技术的创新。

关键点：

防火墙技术不断发展以跟上新的攻击者技术。

应用程序智能和用户身份验证服务进一步帮助防火墙区分实际用户流量。

下一代防火墙通过灵活、强大且通常直观的对象模型和用户界面将防火墙管理员从管理复杂规则中抽象出来。

审核编辑：汤梓红