對于網(wǎng)絡(luò)安全而言，犯罪和危機總是在最薄弱的地方發(fā)生。在當前的企業(yè)環(huán)境中，應(yīng)用層顯然已經(jīng)成為這個最薄弱的環(huán)節(jié)。相比于其他有章可循的防御——比如DDOS，應(yīng)用的數(shù)量和復(fù)雜程度都讓安全防御成為一件很困難的事情。3月17日，ZDNet安全頻道采訪了一家新興的網(wǎng)絡(luò)安全公司——Palo Alto Networks公司的CEO Lane Bess，Lane Bess為我們展望了未來企業(yè)應(yīng)用層威脅防御和應(yīng)用防火墻的發(fā)展趨勢。

    提到Palo Alto Networks這家公司，諸如“如雷貫耳”、“鼎鼎有名”之類的成語并不適合來形容他們，這是一個非常非常年輕的公司，2008年才成立。盡管資歷尚淺，它的發(fā)展軌跡卻給我們留下了非常深刻的印象，原因很簡單，在Gartner的2009年魔力象限中，我們看到了這家此前對我們而言非常陌生的廠商。這也是我們對其進行采訪最初的一個動機。當然，此后，我們了解到，Palo Alto從成立開始就一直稱其的產(chǎn)品為“下一代防火墻”，我們也很好奇，在Palo Alto眼中，未來的應(yīng)用防火墻究竟會是什么樣的呢？

    變革中的應(yīng)用現(xiàn)狀

　　如果企業(yè)的應(yīng)用狀況沒有發(fā)生任何改變，我們當然也不會在這里討論應(yīng)用防火墻的發(fā)展趨勢。事實上，目前企業(yè)中的應(yīng)用環(huán)境和威脅正在劇烈的變化。

　　通過SANS的分析報告，我們可以發(fā)現(xiàn)，2009年，最高級別威脅中，竟然有16個是應(yīng)用層面的威脅。一方面，應(yīng)用數(shù)量的急劇增加，諸如P2P這樣的應(yīng)用被廣泛使用，IM軟件成為企業(yè)業(yè)務(wù)運營不可或缺的一部分；另一方面，對于黑客和網(wǎng)絡(luò)罪犯而言，最薄弱的應(yīng)用層威脅成為他們最喜歡的突破口，而對企業(yè)員工而言，在復(fù)雜的應(yīng)用中，出現(xiàn)安全上的疏忽在所難免。企業(yè)中原有的傳統(tǒng)安全設(shè)備似乎對這些并不敏感，比如傳統(tǒng)防火墻的針對端口的過濾規(guī)則，顯然無法滿足現(xiàn)有的安全需求。

　　我們期望的安全架構(gòu)

　　在這種威脅背景下，Palo Alto為我們展示了，我們期望中的應(yīng)用防火墻應(yīng)該是什么樣的。Lane Bess表示，首先，我們的防火墻需要能夠阻斷威脅，這些威脅包括惡意的應(yīng)用以及各種類型的威脅，比如，漏洞的嗅探與利用、病毒與木馬等惡意軟件的下載、木馬下載器自動從互聯(lián)網(wǎng)搜集惡意軟件等等。實現(xiàn)了這一點，企業(yè)才有可能保障業(yè)務(wù)可以進行，然而，僅僅是可以進行是遠遠不夠的，我們不能為了保障安全而大量犧牲了企業(yè)業(yè)務(wù)的流暢性，在保障安全的前提下，不影響到企業(yè)網(wǎng)絡(luò)現(xiàn)有的性能同樣也是應(yīng)用防火墻的目標。最后，需要企業(yè)制定完整的法規(guī)制度，來規(guī)范內(nèi)部網(wǎng)絡(luò)安全。

　　這些趨勢也許將是未來應(yīng)用防火墻發(fā)展的一個方向，同時也是企業(yè)對安全需求的一個方向，Palo Alto已經(jīng)在他們的產(chǎn)品中把握了這個趨勢，我們可以通過了解Palo Alto是怎么去工作的來更好的理解應(yīng)用防火墻的發(fā)展趨勢。

　　防火墻上的身份認證技術(shù)

　　Lane Bess向我們介紹，Palo Alto將其應(yīng)用防火墻的安全過濾分為了三個不同的層，分別為App-ID（應(yīng)用識別）、User-ID（用戶識別）和Content-ID（內(nèi)容識別）。這三層不是各自為戰(zhàn)的，而是統(tǒng)一在一起運行，共同來保障企業(yè)網(wǎng)絡(luò)的安全。舉例而言，我們可以對某個用戶群組實施單獨的應(yīng)用程序策略和內(nèi)容過濾策略。

　　在App-ID上，Palo Alto的應(yīng)用防火墻可以智能識別網(wǎng)絡(luò)上正在運行的應(yīng)用，并且可以很方便的對其進行控制，在應(yīng)用策略上，對5大類25個子類的950多種應(yīng)用程序?qū)嵤┗�于策略的控制，我們很驚奇的發(fā)現(xiàn)，從來沒有正式進入中國的Palo Alto，竟然支持國內(nèi)一些非常流行的應(yīng)用，比如迅雷、QQ等，有些策略甚至非常細致，比如對QQ聊天、QQ游戲、QQ旋風下載等都可以被單獨識別和控制。

　　User-ID上，Palo Alto采用了基于活動目錄（Active Directory）的架構(gòu)，超越了傳統(tǒng)僅通過IP來識別用戶，這樣的方式可以更精準的定位用戶，并且對用戶進行分組，對每個組采用不同的安全策略。

　　Content-ID中，Palo Alto的應(yīng)用防護墻將探測與阻止各種威脅，限制未授權(quán)文件傳輸以及控制與工作無關(guān)的網(wǎng)絡(luò)瀏覽。企業(yè)可以自定義多種方式的過濾，比如，通過傳統(tǒng)的文件類型的過濾，或者URL過濾，抑或是通過文件簽名來過濾，多種手段能夠讓企業(yè)更方便的配置好自己的網(wǎng)絡(luò)安全。

    “一站式”應(yīng)用防火墻

　　在提高安全性同時，應(yīng)用防火墻的效率和性能成為很多企業(yè)頭疼的問題。Palo Alto為我們展示了一套非常新穎的解決方案，我們將其稱為應(yīng)用防火墻內(nèi)的“一站式服務(wù)”，用Palo Alto的專業(yè)術(shù)語來說，叫“單數(shù)據(jù)流并行處理（SP3）的體系結(jié)構(gòu)”。

　　Palo Alto在其應(yīng)用防火墻中集成了諸多安全模塊，比如DLP、URL過濾、SSL VPN、IPSec VPN等等，安全上，毫無疑問，這將讓企業(yè)得到更多的保護，然而，對于單一設(shè)備的性能而言，我們很懷疑這將是一場災(zāi)難。當我們將這個問題交給Lane Bess時，他表示這對于Palo Alto的應(yīng)用防火墻而言，不是問題。對于傳統(tǒng)的安全設(shè)備，安全處理的流程我們可以把他簡化為：解包1——安全檢測1——封包1——解包2——安全檢測2——封包2——解包3……這個過程中，每一次的解包和封包，都是對CPU性能極大的挑戰(zhàn)。而Palo Alto的流水線則不是這樣，Palo Alto應(yīng)用防火墻的安全處理過程為：解包——安全檢測1——安全檢測2——……——封包。整個流程中，只需要一次解包與封包的過程，這樣大大降低了CPU的負擔。此外，Palo Alto應(yīng)用防火墻中多核+多CPU的硬件也保障了系統(tǒng)的性能。

    未來的趨勢——更安全更快速

　　從Palo Alto的產(chǎn)品中，我們不難看出，更安全和更快速將是未來應(yīng)用防火墻的一個發(fā)展趨勢。而一個好的安全架構(gòu)和處理架構(gòu)是保證這二者的重要前提。我們不難看到，在這個企業(yè)2.0時代中，應(yīng)用層威脅正在日益加劇，它不僅成為犯罪突破企業(yè)網(wǎng)絡(luò)的切入點，還成為員工出現(xiàn)泄密等安全事件的優(yōu)良載體，防御企業(yè)網(wǎng)絡(luò)應(yīng)用安全正在成為CIO與CSO們?nèi)找骊P(guān)注的話題，而應(yīng)用防火墻的地位也正在凸顯。

• · 互聯(lián)網(wǎng)實現(xiàn)繁榮的條件分析
• · 中國制造行業(yè)信息化的IT應(yīng)用現(xiàn)狀及未來趨勢
• · 我國智能手機行業(yè)發(fā)展現(xiàn)狀及市場趨勢分析（3）
• · 我國智能手機行業(yè)發(fā)展現(xiàn)狀及市場趨勢分析（2）
• · 我國智能手機行業(yè)發(fā)展現(xiàn)狀及市場趨勢分析（1）
• · 2009年我國電子信息產(chǎn)品出口出現(xiàn)負增長因素分析（3）

• · 2009年我國網(wǎng)購人數(shù)統(tǒng)計
• · 2010年1月份全國電信業(yè)務(wù)總量累計分析
• · 2010年1月份電信業(yè)主營收入增長情況點評
• · 2010年重慶工業(yè)和信息化投資情況分析
• · 計算機網(wǎng)絡(luò)安全問題及對策
• · 我國電子商務(wù)網(wǎng)站規(guī)模統(tǒng)計

• ·2009年1-12月四川電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標
• ·2009年1-12月廣東電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標
• ·2009年1-12月湖南電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標
• ·2009年1-12月湖北電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標
• ·2009年1-12月河南電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標
• ·2009年1-12月山東電子計算機網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟指標