典型的以網(wǎng)絡(luò)層流量“取勝”的DDoS進(jìn)犯，這些年也有向使用層下移的趨勢 — 截止2013年，四分之一以上的DDoS進(jìn)犯都是依據(jù)使用程序的，并且這個份額還在逐年提高。與之形成鮮明對比，跟著互聯(lián)網(wǎng)技能的迅速開展，要害事務(wù)活動不斷增加的依賴于互聯(lián)網(wǎng)使用，這也就意味著露出不斷增加的危險危險點。

10年積累的成都網(wǎng)站制作、網(wǎng)站設(shè)計經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站設(shè)計后付款的網(wǎng)站建設(shè)流程，更有石景山免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

新一代安全 角力新戰(zhàn)場

傳統(tǒng)防火墻首要關(guān)于通用協(xié)議進(jìn)行處理，無力對使用協(xié)議包進(jìn)行剖析，難以防備更具關(guān)于性的網(wǎng)絡(luò)進(jìn)犯。跟著技能的開展前進(jìn)和互聯(lián)網(wǎng)+年代的事務(wù)需求，如今的防火墻用戶亟需對數(shù)據(jù)包進(jìn)行更深層次的查看和過濾。例如，用戶能夠經(jīng)過QQ傳輸文件，而傳輸?shù)奈募幸苍S即是引入危險的歹意文件。在這種事務(wù)場景下，即便傳統(tǒng)防火墻能夠經(jīng)過端口號確認(rèn)了運轉(zhuǎn)的QQ效勞，也無法做到文件層面的深度查看，更不用提還有許多運轉(zhuǎn)在非標(biāo)準(zhǔn)端口上的使用。

雖然如今就斷言傳統(tǒng)的以戰(zhàn)略為中心的防護體系現(xiàn)已徹底失效還為時過早，但在***的進(jìn)犯手法從網(wǎng)絡(luò)層進(jìn)犯為主向Web進(jìn)犯為主轉(zhuǎn)換的大布景下，咱們能夠得出一個結(jié)論：缺少了使用層查看和防護才能的防火墻，不可避免的面對著“廉頗老矣，尚能飯否”的困境；新一代安全的重視點，就在于使用安全，就在于關(guān)于Web使用層供給完好的解決方案。

下一代防火墻怎么化解使用層危機

有不止一個理由能夠讓下一代防火墻變成“下一代”，用戶身份感知才能、高可擴展性、使用感知才能（application awareness）都是下一代防火墻的典型標(biāo)簽，但“使用感知才能”毫無疑問是最簡單相關(guān)到下一代防火墻的熱詞。使用感知這個概念，看起來現(xiàn)已很明晰，但在某種程度上又很有誤導(dǎo)性。說它現(xiàn)已明晰是因為下一代防火墻能夠?qū)⒘髁吭敿?xì)相關(guān)到特定的使用上，說它具有誤導(dǎo)性是因為下一代防火墻的安全才能不該僅局限于查看辨認(rèn)使用的流量，更主要的是作用于辨認(rèn)的結(jié)果：有選擇性的阻斷或以別的方法約束對使用的使用，乃至是使用的子使用，而不是僅像傳統(tǒng)防火墻相同僅僅阻斷特定的端口和協(xié)議。

新安全形勢下，防火墻用戶需要對全網(wǎng)所運轉(zhuǎn)的使用有更深的了解和認(rèn)知。這些年較新的安全設(shè)備許多都供給了深度報文查看（DPI）、精密化管控和使用感知功用，幫助公司管控網(wǎng)絡(luò)鴻溝。依據(jù)Gartner研討總監(jiān)Eric Maiwald的研討結(jié)果，“現(xiàn)代防火墻或多或少都有些下一代的基因在里面，包括集成的侵略查看功用（IPS）和非常好的使用操控才能。這些好像現(xiàn)已變成了當(dāng)今防火墻設(shè)備的標(biāo)配，幾乎一切的干流安全廠商都能娓娓道來一段有關(guān)下一代的故事”。但故事終究是故事，比聽故事更主要的是了解怎么評價“下一代”，以及是不是應(yīng)當(dāng)遷移到“下一代”。

對反常做法的實時查看和剖析是促進(jìn)許多用戶晉級到下一代防火墻的首要動力。許多IT主管都反映，布置了下一代防火墻后最顯著的改變是對淪陷主機的查看 — 有些公司在布置當(dāng)天便能發(fā)現(xiàn)內(nèi)網(wǎng)中的僵尸網(wǎng)絡(luò)和已被侵略的主機。這得益于下一代防火墻能夠查看數(shù)據(jù)包的有用荷載并依據(jù)這些實踐內(nèi)容做出相應(yīng)決議，還能供給非常好的內(nèi)容過濾才能 — 能夠檢查完好的網(wǎng)絡(luò)數(shù)據(jù)包，而不僅僅是網(wǎng)絡(luò)地址和端口，這就使得下一代防火墻有更強壯的日志記載功用，例如能夠記載某個特定程序宣布的指令這么的日志事情，這為辨認(rèn)使用的反常做法供給了很有價值的信息。

更精密的使用層安全操控是下一代防火墻的另一個“殺手锏”。在網(wǎng)絡(luò)要挾更多的來歷自使用層這個大布景下，用戶對網(wǎng)絡(luò)拜訪操控天然要提出更高的請求。怎么準(zhǔn)確的辨認(rèn)出用戶和使用、阻斷躲藏安全危險的使用、確保合法使用的正常使用等疑問，現(xiàn)已變成現(xiàn)階段用戶所重視的焦點。但在網(wǎng)絡(luò)使用高速開展的今日，超越90%的網(wǎng)絡(luò)使用運轉(zhuǎn)在HTTP 80和443端口上，大量使用能夠進(jìn)行端口復(fù)用和IP地址修正，致使IP地址不等于用戶、端口號不等于使用，傳統(tǒng)的依據(jù)五元組的拜訪操控戰(zhàn)略已無用武之地。下一代防火墻的用戶、使用可視化技能，能夠依據(jù)使用的做法和特征完成對使用的辨認(rèn)和操控；假如能夠完成與多種認(rèn)證體系（AD、LDAP等）無縫對接的話，還能夠進(jìn)一步自動辨認(rèn)出網(wǎng)絡(luò)中當(dāng)前IP所對應(yīng)的用戶信息，勾畫出人-內(nèi)容-使用的立體畫像，滿意新一代安全的網(wǎng)絡(luò)管控請求。

下一代防火墻不是萬金油

與傳統(tǒng)的依據(jù)特征的查看引擎不同，下一代防火墻與生俱來的基因是感知用戶和使用的做法，歸根到底是要了解網(wǎng)絡(luò)報文的上下文布景。雖然這省去了特征庫，但并不意味著下一代防火墻從此擺脫了定時晉級的繁瑣作業(yè)；相反，下一代防火墻更需要不連續(xù)的學(xué)習(xí)日益增長的使用指紋特征以堅持對使用辨認(rèn)的時效性。因為這類指紋特征不依賴于端口、協(xié)議等易于辨認(rèn)的特征，有時乃至也許還會包括特定報文的內(nèi)容，因而保護下一代防火墻的規(guī)矩集是一項更為深重的使命。此外，關(guān)于非通用型的使用，如許多大型公司定制開發(fā)的私有使用，下一代防火墻很也許會無法辨認(rèn)。在這種情況下，用戶仍需手動增加使用指紋特征，且在每次私有使用晉級后也許還要重復(fù)這一進(jìn)程。下一代防火墻如此的不智能，會讓許多用戶對“下一代”形象大打折扣。

下一代使用層防火墻技能克服了傳統(tǒng)“鴻溝防火墻”的缺點，集成了IPS、防病毒等安全技能，完成從網(wǎng)絡(luò)到效勞器以及客戶端全方位的安全解決方案，滿意公司實踐使用和開展的安全請求。展望將來，跟著愈加蔭蔽的使用層進(jìn)犯不斷出現(xiàn)，將來防火墻將會面對更多協(xié)議的解析、更多使用的辨認(rèn)，因而將來使用層防火墻必將向著更大的防護功用面和更詳盡的粒度管控這個方向開展。節(jié)選自qanda.ren/21/1/