全球最具权威的IT研究与咨询公司Gartner认为,下一代防火墙(NGFW)是一种集成式线速网络平台,可执行深度流量检测,阻止攻击。Gartner以“下一代防火墙”这个术语阐明防火墙在应对业务流程使用IT的方式,以及威胁试图入侵业务系统的方式发生变化时应采取的必要演进。SonicWALL公司对下一代防火墙的定义与Gartner的理念完全一致。过去,IT管理员只能过滤少量端口的内容,然后阻止其它端口的所有流量,从而避免所有可能的攻击载体入侵网络。尤其是那些基于3层网络设备的老旧防火墙,只能根据与数据包源地址和目标地址有关的信息,即协议和端口号来检测流量。但如今近三分之二的流量都是HTTP和HTTPS流量,就设置和执行安全策略而言,协议和端口细节实际上已毫无用处。随着Web2.0、社交媒体、移动性及云计算等创新技术的飞速发展,通过协议和端口号分类来检测流量已不能有效阻止新型的威胁,传统防火墙在应对这类威胁方面已显得力不从心。IT以及威胁格局的日益复杂性,要求企业具备更精准的IT控制能力。为重新取得控制权,企业的首席信息官和IT总监大胆采用了具备应用层智能和控制功能的下一代防火墙,以有效抵御各种新生威胁。
对我们而言,下一代防火墙包括入侵防护、网关防病毒、内容过滤、反垃圾邮件等功能,同时还要确保网络的可视化,即管理员能够实时查看应用流量,并根据观察到的情况调整网络策略。然而,穿越防火墙的大多数流量是一些应用和数据,并不具备威胁性。那么,现实生活中应用智能和控制意味着什么?它又是如何实现日常安全防护的?
NGFW能够根据深度包检测(DPI)引擎识别到的流量在应用层执行网络安全策略。流量控制不再是单纯地阻止或允许特定应用,而是可用来管理带宽或优先排序应用层流量。深度流量检测让IT部门可针对单个应用组件执行细粒度策略。而应用智能防火墙提供了带宽管理和控制、应用层访问控制、数据泄密控制,以及对特定文件传输进行限制等功能,可有效地管理和控制穿越防火墙的数据和应用。
流视频及流音频管理为关键业务应用预留带宽
应用防火墙允许对穿越防火墙的应用和数据进行分类、控制和管理。例如,企业许可员工访问带宽高消耗型网站如Youku(优酷),但仅限工作中需要访问这类网站的员工。同时,企业可根据媒体或时间限制速率,为关键业务应用预留带宽。员工通过企业网开展各种社会交往,与工作无关的行为耗费了大量带宽,对关键商务活动造成了极大影响。假如某公司有100名员工使用PC经Youku观看视频,这无疑会造成网络拥塞,从而降低商务应用的性能。要解决此问题,绝不是简单地阻止这类流音/视频网站,而是需要对策略进行细粒度管理。
访问流视频或音频网站有时是工作必需的,但通常会被滥用。拦截网站本身可能有效,但最好是限制分配给流音/视频网站的带宽。管理员可根据预先定义的逻辑类别(如社交媒体或流视频网站)、个别应用或用户和用户组轻松创建带宽管理策略。例如,使用深度包检测引擎在HTTP报头中搜索HTTP网址=www.youku.com,继而将带宽限制应用于带此报头的流量,在特定时间段内(如早上9时到下午5时)限制应用的带宽。当然,企业也可以创建一份希望管理的音频文件扩展名列表,通过文件扩展名进行控制,一旦“检测”出符合搜索条件的网站或扩展名,即可阻止流音频或对流音频进行带宽管理。
分组带宽管理实现生产力最大程度提升
如上所述,我们对Youku等流视频网站运用了带宽限制。但如今,公司首席执行官和首席财务官总在抱怨每天访问的“商业新闻视频”速度太慢。鉴于此,我们可以通过放松对每个人的带宽限制来改善这种情况。但还有一个更好的方法,即进行分组带宽管理。将此策略应用于LDAP 服务器导入的“管理”组,使用深度包检测引擎在HTTP报头中搜索HTTP网址= www.youku.com, 确保包含“管理”报头的流量具有足够的带宽,从而创建不限制管理层浏览流视频的策略。
