對(duì)于網(wǎng)絡(luò)安全而言，犯罪和危機(jī)總是在最薄弱的地方發(fā)生。在當(dāng)前的企業(yè)環(huán)境中，應(yīng)用層顯然已經(jīng)成為這個(gè)最薄弱的環(huán)節(jié)。相比于其他有章可循的防御——比如DDOS，應(yīng)用的數(shù)量和復(fù)雜程度都讓安全防御成為一件很困難的事情。3月17日，ZDNet安全頻道采訪了一家新興的網(wǎng)絡(luò)安全公司——Palo Alto Networks公司的CEO Lane Bess，Lane Bess為我們展望了未來企業(yè)應(yīng)用層威脅防御和應(yīng)用防火墻的發(fā)展趨勢(shì)。

    提到Palo Alto Networks這家公司，諸如“如雷貫耳”、“鼎鼎有名”之類的成語并不適合來形容他們，這是一個(gè)非常非常年輕的公司，2008年才成立。盡管資歷尚淺，它的發(fā)展軌跡卻給我們留下了非常深刻的印象，原因很簡(jiǎn)單，在Gartner的2009年魔力象限中，我們看到了這家此前對(duì)我們而言非常陌生的廠商。這也是我們對(duì)其進(jìn)行采訪最初的一個(gè)動(dòng)機(jī)。當(dāng)然，此后，我們了解到，Palo Alto從成立開始就一直稱其的產(chǎn)品為“下一代防火墻”，我們也很好奇，在Palo Alto眼中，未來的應(yīng)用防火墻究竟會(huì)是什么樣的呢？

    變革中的應(yīng)用現(xiàn)狀

　　如果企業(yè)的應(yīng)用狀況沒有發(fā)生任何改變，我們當(dāng)然也不會(huì)在這里討論應(yīng)用防火墻的發(fā)展趨勢(shì)。事實(shí)上，目前企業(yè)中的應(yīng)用環(huán)境和威脅正在劇烈的變化。

　　通過SANS的分析報(bào)告，我們可以發(fā)現(xiàn)，2009年，最高級(jí)別威脅中，竟然有16個(gè)是應(yīng)用層面的威脅。一方面，應(yīng)用數(shù)量的急劇增加，諸如P2P這樣的應(yīng)用被廣泛使用，IM軟件成為企業(yè)業(yè)務(wù)運(yùn)營不可或缺的一部分；另一方面，對(duì)于黑客和網(wǎng)絡(luò)罪犯而言，最薄弱的應(yīng)用層威脅成為他們最喜歡的突破口，而對(duì)企業(yè)員工而言，在復(fù)雜的應(yīng)用中，出現(xiàn)安全上的疏忽在所難免。企業(yè)中原有的傳統(tǒng)安全設(shè)備似乎對(duì)這些并不敏感，比如傳統(tǒng)防火墻的針對(duì)端口的過濾規(guī)則，顯然無法滿足現(xiàn)有的安全需求。

　　我們期望的安全架構(gòu)

　　在這種威脅背景下，Palo Alto為我們展示了，我們期望中的應(yīng)用防火墻應(yīng)該是什么樣的。Lane Bess表示，首先，我們的防火墻需要能夠阻斷威脅，這些威脅包括惡意的應(yīng)用以及各種類型的威脅，比如，漏洞的嗅探與利用、病毒與木馬等惡意軟件的下載、木馬下載器自動(dòng)從互聯(lián)網(wǎng)搜集惡意軟件等等。實(shí)現(xiàn)了這一點(diǎn)，企業(yè)才有可能保障業(yè)務(wù)可以進(jìn)行，然而，僅僅是可以進(jìn)行是遠(yuǎn)遠(yuǎn)不夠的，我們不能為了保障安全而大量犧牲了企業(yè)業(yè)務(wù)的流暢性，在保障安全的前提下，不影響到企業(yè)網(wǎng)絡(luò)現(xiàn)有的性能同樣也是應(yīng)用防火墻的目標(biāo)。最后，需要企業(yè)制定完整的法規(guī)制度，來規(guī)范內(nèi)部網(wǎng)絡(luò)安全。

　　這些趨勢(shì)也許將是未來應(yīng)用防火墻發(fā)展的一個(gè)方向，同時(shí)也是企業(yè)對(duì)安全需求的一個(gè)方向，Palo Alto已經(jīng)在他們的產(chǎn)品中把握了這個(gè)趨勢(shì)，我們可以通過了解Palo Alto是怎么去工作的來更好的理解應(yīng)用防火墻的發(fā)展趨勢(shì)。

　　防火墻上的身份認(rèn)證技術(shù)

　　Lane Bess向我們介紹，Palo Alto將其應(yīng)用防火墻的安全過濾分為了三個(gè)不同的層，分別為App-ID（應(yīng)用識(shí)別）、User-ID（用戶識(shí)別）和Content-ID（內(nèi)容識(shí)別）。這三層不是各自為戰(zhàn)的，而是統(tǒng)一在一起運(yùn)行，共同來保障企業(yè)網(wǎng)絡(luò)的安全。舉例而言，我們可以對(duì)某個(gè)用戶群組實(shí)施單獨(dú)的應(yīng)用程序策略和內(nèi)容過濾策略。

　　在App-ID上，Palo Alto的應(yīng)用防火墻可以智能識(shí)別網(wǎng)絡(luò)上正在運(yùn)行的應(yīng)用，并且可以很方便的對(duì)其進(jìn)行控制，在應(yīng)用策略上，對(duì)5大類25個(gè)子類的950多種應(yīng)用程序?qū)嵤┗�于策略的控制，我們很驚奇的發(fā)現(xiàn)，從來沒有正式進(jìn)入中國的Palo Alto，竟然支持國內(nèi)一些非常流行的應(yīng)用，比如迅雷、QQ等，有些策略甚至非常細(xì)致，比如對(duì)QQ聊天、QQ游戲、QQ旋風(fēng)下載等都可以被單獨(dú)識(shí)別和控制。

　　User-ID上，Palo Alto采用了基于活動(dòng)目錄（Active Directory）的架構(gòu)，超越了傳統(tǒng)僅通過IP來識(shí)別用戶，這樣的方式可以更精準(zhǔn)的定位用戶，并且對(duì)用戶進(jìn)行分組，對(duì)每個(gè)組采用不同的安全策略。

　　Content-ID中，Palo Alto的應(yīng)用防護(hù)墻將探測(cè)與阻止各種威脅，限制未授權(quán)文件傳輸以及控制與工作無關(guān)的網(wǎng)絡(luò)瀏覽。企業(yè)可以自定義多種方式的過濾，比如，通過傳統(tǒng)的文件類型的過濾，或者URL過濾，抑或是通過文件簽名來過濾，多種手段能夠讓企業(yè)更方便的配置好自己的網(wǎng)絡(luò)安全。

    “一站式”應(yīng)用防火墻

　　在提高安全性同時(shí)，應(yīng)用防火墻的效率和性能成為很多企業(yè)頭疼的問題。Palo Alto為我們展示了一套非常新穎的解決方案，我們將其稱為應(yīng)用防火墻內(nèi)的“一站式服務(wù)”，用Palo Alto的專業(yè)術(shù)語來說，叫“單數(shù)據(jù)流并行處理（SP3）的體系結(jié)構(gòu)”。

　　Palo Alto在其應(yīng)用防火墻中集成了諸多安全模塊，比如DLP、URL過濾、SSL VPN、IPSec VPN等等，安全上，毫無疑問，這將讓企業(yè)得到更多的保護(hù)，然而，對(duì)于單一設(shè)備的性能而言，我們很懷疑這將是一場(chǎng)災(zāi)難。當(dāng)我們將這個(gè)問題交給Lane Bess時(shí)，他表示這對(duì)于Palo Alto的應(yīng)用防火墻而言，不是問題。對(duì)于傳統(tǒng)的安全設(shè)備，安全處理的流程我們可以把他簡(jiǎn)化為：解包1——安全檢測(cè)1——封包1——解包2——安全檢測(cè)2——封包2——解包3……這個(gè)過程中，每一次的解包和封包，都是對(duì)CPU性能極大的挑戰(zhàn)。而Palo Alto的流水線則不是這樣，Palo Alto應(yīng)用防火墻的安全處理過程為：解包——安全檢測(cè)1——安全檢測(cè)2——……——封包。整個(gè)流程中，只需要一次解包與封包的過程，這樣大大降低了CPU的負(fù)擔(dān)。此外，Palo Alto應(yīng)用防火墻中多核+多CPU的硬件也保障了系統(tǒng)的性能。

    未來的趨勢(shì)——更安全更快速

　　從Palo Alto的產(chǎn)品中，我們不難看出，更安全和更快速將是未來應(yīng)用防火墻的一個(gè)發(fā)展趨勢(shì)。而一個(gè)好的安全架構(gòu)和處理架構(gòu)是保證這二者的重要前提。我們不難看到，在這個(gè)企業(yè)2.0時(shí)代中，應(yīng)用層威脅正在日益加劇，它不僅成為犯罪突破企業(yè)網(wǎng)絡(luò)的切入點(diǎn)，還成為員工出現(xiàn)泄密等安全事件的優(yōu)良載體，防御企業(yè)網(wǎng)絡(luò)應(yīng)用安全正在成為CIO與CSO們?nèi)找骊P(guān)注的話題，而應(yīng)用防火墻的地位也正在凸顯。

• · 互聯(lián)網(wǎng)實(shí)現(xiàn)繁榮的條件分析
• · 中國制造行業(yè)信息化的IT應(yīng)用現(xiàn)狀及未來趨勢(shì)
• · 我國智能手機(jī)行業(yè)發(fā)展現(xiàn)狀及市場(chǎng)趨勢(shì)分析（3）
• · 我國智能手機(jī)行業(yè)發(fā)展現(xiàn)狀及市場(chǎng)趨勢(shì)分析（2）
• · 我國智能手機(jī)行業(yè)發(fā)展現(xiàn)狀及市場(chǎng)趨勢(shì)分析（1）
• · 2009年我國電子信息產(chǎn)品出口出現(xiàn)負(fù)增長因素分析（3）

• · 2009年我國網(wǎng)購人數(shù)統(tǒng)計(jì)
• · 2010年1月份全國電信業(yè)務(wù)總量累計(jì)分析
• · 2010年1月份電信業(yè)主營收入增長情況點(diǎn)評(píng)
• · 2010年重慶工業(yè)和信息化投資情況分析
• · 計(jì)算機(jī)網(wǎng)絡(luò)安全問題及對(duì)策
• · 我國電子商務(wù)網(wǎng)站規(guī)模統(tǒng)計(jì)

• ·2009年1-12月四川電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2009年1-12月廣東電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2009年1-12月湖南電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2009年1-12月湖北電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2009年1-12月河南電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2009年1-12月山東電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)