“微積分”創(chuàng)始人萊布尼茨曾有句哲學(xué)名言，“世界上沒有兩片完全相同的葉子”，就拿人類來說，盡管科學(xué)研究早已證明，全世界70多億人中，即便是孿生兄弟都不可能完全相同，但同時出生、姓名一致、長相酷似甚至聲音相同的兩個人則比比皆是。云計算、大數(shù)據(jù)時代，海量信息被封裝為一個個數(shù)據(jù)包在網(wǎng)絡(luò)上高速流轉(zhuǎn)，端口跳變及復(fù)用技術(shù)的大量運(yùn)用，猶如把不同信件裝在了一模一樣的信封里，僅查看信封上的投遞信息，已無法準(zhǔn)確了解信件由誰發(fā)出、寄往何處以及信件內(nèi)容，而對于當(dāng)今的數(shù)據(jù)網(wǎng)絡(luò)來說，大量威脅就蘊(yùn)藏其中。

圖1 “五元組”已無法理解網(wǎng)絡(luò)流量

　　基因技術(shù)的發(fā)展，讓我們可以利用DNA來鑒別個人身份，而對于報文內(nèi)容千變?nèi)f化的網(wǎng)絡(luò)數(shù)據(jù)包，則同樣需要找到流量中獨(dú)一無二、恒定不變的特征，以此進(jìn)行甄別，這便是業(yè)界提出的應(yīng)用識別技術(shù)。

　　作為網(wǎng)絡(luò)邊界的新一代“守門神”，下一代防火墻則是一款充分借助應(yīng)用識別技術(shù)，完全基于應(yīng)用層構(gòu)建安全體系的設(shè)備。在Gartner定義的下一代防火墻概念中，具備識別應(yīng)用并基于應(yīng)用層執(zhí)行獨(dú)立于端口和協(xié)議的訪問控制能力，是對一款下一代防火墻最基本的要求。然而，業(yè)界對于應(yīng)用識別能力的考量始終缺乏相對完善的標(biāo)準(zhǔn)，也使得用戶走入了不少誤區(qū)。

    誤區(qū)一：應(yīng)用識別只是識別應(yīng)用

　　談到當(dāng)今的網(wǎng)絡(luò)安全，我們無法回避三個核心的要素，那就是人、應(yīng)用和內(nèi)容，安全管理就是要做到針對個體用戶的管理，而管理的前提是了解流量類型，控制的核心目標(biāo)則是對流量內(nèi)容的過濾。因此，真正的應(yīng)用識別技術(shù)絕對不僅僅是傳統(tǒng)意義上的應(yīng)用類型的識別，還包括對流量發(fā)送者的定位以及數(shù)據(jù)內(nèi)容的過濾，有專家甚至將人（用戶）、應(yīng)用、內(nèi)容定義為當(dāng)今網(wǎng)絡(luò)安全的新“三元組”。

圖2 網(wǎng)絡(luò)安全的新“三元組”

　　定位流量的發(fā)送者要求將流量打上用戶的標(biāo)簽，以往主要的手段是基于ID對用戶進(jìn)行標(biāo)識，在訪問網(wǎng)絡(luò)前強(qiáng)制用戶登錄來實(shí)現(xiàn)認(rèn)證。盡管用戶的ID和口令信息已經(jīng)實(shí)現(xiàn)了與第三方認(rèn)證服務(wù)器同步和聯(lián)動，大幅降低了管理的成本，但在用戶端，登錄認(rèn)證的過程大幅降低用戶體驗的問題一直困擾著那些既渴望安全又追求高效的用戶。

　　根據(jù)來自一線的實(shí)施經(jīng)驗，60%部署了用戶認(rèn)證策略的網(wǎng)絡(luò)，在半年內(nèi)即由于體驗和效率的原因取消了原先的設(shè)置，重新改為傳統(tǒng)基于IP地址的訪問控制，由此可以看出，如果平衡不好安全與效率的問題，業(yè)界廣泛倡導(dǎo)的基于用戶、角色的細(xì)粒度訪問控制則很難在實(shí)際工作中落地。而用戶識別技術(shù)不同于傳統(tǒng)用戶認(rèn)證聯(lián)動之處在于，其具備自動識別流量中用戶信息的能力，可根據(jù)數(shù)據(jù)包中的ARP信息、應(yīng)用登錄信息等對用戶進(jìn)行透明認(rèn)證，在不用戶不進(jìn)行登錄認(rèn)證的情況下，就能夠?qū)⒘髁繙?zhǔn)確的對應(yīng)到人。

　　相比用戶識別，要想識別出流量的內(nèi)容，其技術(shù)實(shí)現(xiàn)的難度則更大，由于很多應(yīng)用軟件都有其特定的編碼規(guī)則，并且相當(dāng)一部分應(yīng)用使用了加密的手段來傳輸信息，因此流量內(nèi)容識別必須要建立在對應(yīng)用有著深入理解的基礎(chǔ)之上，并且對于一些特殊協(xié)議的編碼、加密方式有著充分的掌握。

    誤區(qū)二：應(yīng)用識別只是比拼數(shù)字

　　應(yīng)用識別技術(shù)其實(shí)并非下一代防火墻提出的專利，早先幾年就被業(yè)界定義，不少廠商也正在加大在此方面的研發(fā)投入，并且其產(chǎn)品也已經(jīng)具備了一定的應(yīng)用識別能力。但若一定要在應(yīng)用識別能力上憑出個優(yōu)與劣，則需關(guān)注幾個重要標(biāo)準(zhǔn)。

　　首先，我們必須要關(guān)注應(yīng)用識別的廣度和深度。所謂廣度，是指支持識別的應(yīng)用數(shù)量，這也是在之前所有廠商PK的重要數(shù)字，另外，對于平臺化軟件的子功能，是否有精確的識別，則是深度的體現(xiàn)。由于目前業(yè)界并沒有針對應(yīng)用識別能力的評測標(biāo)準(zhǔn)，不同廠商的應(yīng)用特征庫的數(shù)字計量標(biāo)準(zhǔn)也不盡相同，例如有些廠商以應(yīng)用軟件的數(shù)量進(jìn)行統(tǒng)計，有些廠商則以軟件的每種功能進(jìn)行計量。盡管數(shù)字是最直觀的量化標(biāo)準(zhǔn)，但由于標(biāo)準(zhǔn)上的差異，單純比對數(shù)字則有可能誤導(dǎo)用戶。

　　第二，應(yīng)用識別的響應(yīng)速度。應(yīng)用爆炸式增長的環(huán)境下，對于新應(yīng)用以及應(yīng)用的新版本若無法做到及時的響應(yīng)和更新，則無異于應(yīng)用失控。有專家指出，應(yīng)用識別技術(shù)除了技術(shù)門檻高以外，在現(xiàn)有技術(shù)條件下要維持一個具備快速持續(xù)更新能力的代碼生產(chǎn)系統(tǒng)則難度更大，這需要長期的投入和積累，絕非一朝一夕可以實(shí)現(xiàn)。

　　第三，應(yīng)用識別的“地緣”因素。由于語言、習(xí)慣的差異，應(yīng)用軟件與地域是緊密相關(guān)的，例如漢語國家的用戶訪問中文網(wǎng)頁要遠(yuǎn)遠(yuǎn)多于英文網(wǎng)頁，中國大陸最流行的即時通信軟件是QQ，而美國用戶則更習(xí)慣于使用MSN。因此，應(yīng)用識別技術(shù)一定要充分的掌握用戶的使用習(xí)慣，否則的話，即便功能再強(qiáng)大的設(shè)備也會顯得“水土不服”。

　　第四，應(yīng)用識別技術(shù)的領(lǐng)先性。應(yīng)用識別技術(shù)前后經(jīng)歷了幾代的演進(jìn)，最早的設(shè)備基于IP、端口識別應(yīng)用，隨著端口復(fù)用、跳變技術(shù)的產(chǎn)生早已失效，隨后出現(xiàn)了基于流特征的檢測技術(shù)（DFI），根據(jù)數(shù)據(jù)流的包長、連接時間等特征識別應(yīng)用流量，但識別率較低，第三代技術(shù)則使用深度包檢測（DPI）技術(shù)，對數(shù)據(jù)流量進(jìn)行拆包檢查，識別率大幅提升，但執(zhí)行效率較低。在應(yīng)用層出不窮的當(dāng)前，一個真正優(yōu)秀的應(yīng)用識別引擎，既要具備精確的識別能力又要保證高性能，這是一款應(yīng)用層設(shè)備發(fā)揮最大效能的基石。

　　對于下一代防火墻來講，一旦具備了對人、應(yīng)用、內(nèi)容的識別能力，則意味著訪問控制能力由原先的五元組擴(kuò)充至了八元組，控制一個數(shù)據(jù)包的訪問和轉(zhuǎn)發(fā)，可基于用戶、源IP、目的IP、源端口、目的端口、協(xié)議（端口）、應(yīng)用類型以及數(shù)據(jù)內(nèi)容進(jìn)行更加精細(xì)的過濾。同時，對于日益普遍的應(yīng)用層威脅的防御，同樣需要建立在應(yīng)用識別的基礎(chǔ)之上，不識別應(yīng)用則根本談不上應(yīng)用層威脅的防御。當(dāng)然，下一代防火墻要具備未知威脅的主動防御能力，其實(shí)是利用大數(shù)據(jù)的思想對網(wǎng)絡(luò)信息進(jìn)行分析和挖掘，而在數(shù)據(jù)收集、行為掌握的階段，同樣需要應(yīng)用識別技術(shù)作為支撐。

　　由此我們看出，應(yīng)用識別技術(shù)之所以是下一代防火墻產(chǎn)品的核心要素，完全是由當(dāng)前的安全需求所決定的，一款具備優(yōu)秀應(yīng)用識別能力的下一代防火墻，將會從新的高度為用戶構(gòu)造出更加安全的網(wǎng)絡(luò)邊界。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：抓住流量的“DNA”——下一代防火墻與應(yīng)用識別技術(shù)分析

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121511190.html