對于網絡安全而言，犯罪和危機總是在最薄弱的地方發(fā)生。在當前的企業(yè)環(huán)境中，應用層顯然已經成為這個最薄弱的環(huán)節(jié)。相比于其他有章可循的防御——比如DDOS，應用的數量和復雜程度都讓安全防御成為一件很困難的事情。3月17日，ZDNet安全頻道采訪了一家新興的網絡安全公司——Palo Alto Networks公司的CEO Lane Bess，Lane Bess為我們展望了未來企業(yè)應用層威脅防御和應用防火墻的發(fā)展趨勢。

    提到Palo Alto Networks這家公司，諸如“如雷貫耳”、“鼎鼎有名”之類的成語并不適合來形容他們，這是一個非常非常年輕的公司，2008年才成立。盡管資歷尚淺，它的發(fā)展軌跡卻給我們留下了非常深刻的印象，原因很簡單，在Gartner的2009年魔力象限中，我們看到了這家此前對我們而言非常陌生的廠商。這也是我們對其進行采訪最初的一個動機。當然，此后，我們了解到，Palo Alto從成立開始就一直稱其的產品為“下一代防火墻”，我們也很好奇，在Palo Alto眼中，未來的應用防火墻究竟會是什么樣的呢？

    變革中的應用現狀

　　如果企業(yè)的應用狀況沒有發(fā)生任何改變，我們當然也不會在這里討論應用防火墻的發(fā)展趨勢。事實上，目前企業(yè)中的應用環(huán)境和威脅正在劇烈的變化。

　　通過SANS的分析報告，我們可以發(fā)現，2009年，最高級別威脅中，竟然有16個是應用層面的威脅。一方面，應用數量的急劇增加，諸如P2P這樣的應用被廣泛使用，IM軟件成為企業(yè)業(yè)務運營不可或缺的一部分；另一方面，對于黑客和網絡罪犯而言，最薄弱的應用層威脅成為他們最喜歡的突破口，而對企業(yè)員工而言，在復雜的應用中，出現安全上的疏忽在所難免。企業(yè)中原有的傳統(tǒng)安全設備似乎對這些并不敏感，比如傳統(tǒng)防火墻的針對端口的過濾規(guī)則，顯然無法滿足現有的安全需求。

　　我們期望的安全架構

　　在這種威脅背景下，Palo Alto為我們展示了，我們期望中的應用防火墻應該是什么樣的。Lane Bess表示，首先，我們的防火墻需要能夠阻斷威脅，這些威脅包括惡意的應用以及各種類型的威脅，比如，漏洞的嗅探與利用、病毒與木馬等惡意軟件的下載、木馬下載器自動從互聯網搜集惡意軟件等等。實現了這一點，企業(yè)才有可能保障業(yè)務可以進行，然而，僅僅是可以進行是遠遠不夠的，我們不能為了保障安全而大量犧牲了企業(yè)業(yè)務的流暢性，在保障安全的前提下，不影響到企業(yè)網絡現有的性能同樣也是應用防火墻的目標。最后，需要企業(yè)制定完整的法規(guī)制度，來規(guī)范內部網絡安全。

　　這些趨勢也許將是未來應用防火墻發(fā)展的一個方向，同時也是企業(yè)對安全需求的一個方向，Palo Alto已經在他們的產品中把握了這個趨勢，我們可以通過了解Palo Alto是怎么去工作的來更好的理解應用防火墻的發(fā)展趨勢。

　　防火墻上的身份認證技術

　　Lane Bess向我們介紹，Palo Alto將其應用防火墻的安全過濾分為了三個不同的層，分別為App-ID（應用識別）、User-ID（用戶識別）和Content-ID（內容識別）。這三層不是各自為戰(zhàn)的，而是統(tǒng)一在一起運行，共同來保障企業(yè)網絡的安全。舉例而言，我們可以對某個用戶群組實施單獨的應用程序策略和內容過濾策略。

　　在App-ID上，Palo Alto的應用防火墻可以智能識別網絡上正在運行的應用，并且可以很方便的對其進行控制，在應用策略上，對5大類25個子類的950多種應用程序實施基于策略的控制，我們很驚奇的發(fā)現，從來沒有正式進入中國的Palo Alto，竟然支持國內一些非常流行的應用，比如迅雷、QQ等，有些策略甚至非常細致，比如對QQ聊天、QQ游戲、QQ旋風下載等都可以被單獨識別和控制。

　　User-ID上，Palo Alto采用了基于活動目錄（Active Directory）的架構，超越了傳統(tǒng)僅通過IP來識別用戶，這樣的方式可以更精準的定位用戶，并且對用戶進行分組，對每個組采用不同的安全策略。

　　Content-ID中，Palo Alto的應用防護墻將探測與阻止各種威脅，限制未授權文件傳輸以及控制與工作無關的網絡瀏覽。企業(yè)可以自定義多種方式的過濾，比如，通過傳統(tǒng)的文件類型的過濾，或者URL過濾，抑或是通過文件簽名來過濾，多種手段能夠讓企業(yè)更方便的配置好自己的網絡安全。

    “一站式”應用防火墻

　　在提高安全性同時，應用防火墻的效率和性能成為很多企業(yè)頭疼的問題。Palo Alto為我們展示了一套非常新穎的解決方案，我們將其稱為應用防火墻內的“一站式服務”，用Palo Alto的專業(yè)術語來說，叫“單數據流并行處理（SP3）的體系結構”。

　　Palo Alto在其應用防火墻中集成了諸多安全模塊，比如DLP、URL過濾、SSL VPN、IPSec VPN等等，安全上，毫無疑問，這將讓企業(yè)得到更多的保護，然而，對于單一設備的性能而言，我們很懷疑這將是一場災難。當我們將這個問題交給Lane Bess時，他表示這對于Palo Alto的應用防火墻而言，不是問題。對于傳統(tǒng)的安全設備，安全處理的流程我們可以把他簡化為：解包1——安全檢測1——封包1——解包2——安全檢測2——封包2——解包3……這個過程中，每一次的解包和封包，都是對CPU性能極大的挑戰(zhàn)。而Palo Alto的流水線則不是這樣，Palo Alto應用防火墻的安全處理過程為：解包——安全檢測1——安全檢測2——……——封包。整個流程中，只需要一次解包與封包的過程，這樣大大降低了CPU的負擔。此外，Palo Alto應用防火墻中多核+多CPU的硬件也保障了系統(tǒng)的性能。

    未來的趨勢——更安全更快速

　　從Palo Alto的產品中，我們不難看出，更安全和更快速將是未來應用防火墻的一個發(fā)展趨勢。而一個好的安全架構和處理架構是保證這二者的重要前提。我們不難看到，在這個企業(yè)2.0時代中，應用層威脅正在日益加劇，它不僅成為犯罪突破企業(yè)網絡的切入點，還成為員工出現泄密等安全事件的優(yōu)良載體，防御企業(yè)網絡應用安全正在成為CIO與CSO們日益關注的話題，而應用防火墻的地位也正在凸顯。

• · 互聯網實現繁榮的條件分析
• · 中國制造行業(yè)信息化的IT應用現狀及未來趨勢
• · 我國智能手機行業(yè)發(fā)展現狀及市場趨勢分析（3）
• · 我國智能手機行業(yè)發(fā)展現狀及市場趨勢分析（2）
• · 我國智能手機行業(yè)發(fā)展現狀及市場趨勢分析（1）
• · 2009年我國電子信息產品出口出現負增長因素分析（3）

• · 2009年我國網購人數統(tǒng)計
• · 2010年1月份全國電信業(yè)務總量累計分析
• · 2010年1月份電信業(yè)主營收入增長情況點評
• · 2010年重慶工業(yè)和信息化投資情況分析
• · 計算機網絡安全問題及對策
• · 我國電子商務網站規(guī)模統(tǒng)計

• ·2009年1-12月四川電子計算機網絡設備制造主要經濟指標
• ·2009年1-12月廣東電子計算機網絡設備制造主要經濟指標
• ·2009年1-12月湖南電子計算機網絡設備制造主要經濟指標
• ·2009年1-12月湖北電子計算機網絡設備制造主要經濟指標
• ·2009年1-12月河南電子計算機網絡設備制造主要經濟指標
• ·2009年1-12月山東電子計算機網絡設備制造主要經濟指標