應(yīng)用下一代防火墻(NGFW)的一個(gè)優(yōu)點(diǎn)是在為特定的應(yīng)用程序元素設(shè)定和管理策略時(shí)，可以提高應(yīng)用意識(shí)和粒度。

相比之下，老一代防火墻依賴于特定規(guī)則集的端口和協(xié)議進(jìn)行工作。例如，如果創(chuàng)建的防火墻規(guī)則是通過(guò)端口20和21來(lái)阻止傳入的數(shù)據(jù)包時(shí)，那么用戶就不能使用任何其它文件傳輸協(xié)議，但是這對(duì)于使用文件傳輸協(xié)議的IT部門來(lái)說(shuō)太不適用了。這樣，就有必要為使用FTP協(xié)議的用戶建立另一個(gè)規(guī)則集，還有一些附加的特例。于是一個(gè)簡(jiǎn)單的問(wèn)題就變成了一系列復(fù)雜麻煩的規(guī)則。

圖1 大量的應(yīng)用程序數(shù)據(jù)庫(kù)可以幫助管理員來(lái)確定特定軟件的相對(duì)風(fēng)險(xiǎn)

這時(shí)，粒度應(yīng)用程序控制就派上用場(chǎng)了。新一代防火墻產(chǎn)品有廣泛的應(yīng)用程序數(shù)據(jù)庫(kù)，網(wǎng)絡(luò)管理員可以利用這些數(shù)據(jù)庫(kù)來(lái)對(duì)特定行為建模，精心制定細(xì)粒度的訪問(wèn)策略。這些應(yīng)用程序數(shù)據(jù)庫(kù)到底是有多么廣泛呢?可以看一下Palo Alto Network’s Applipedia(圖1)。在圖1中，你可以看到特定應(yīng)用程序的相對(duì)風(fēng)險(xiǎn)，它們可以躲避的典型安全檢測(cè)產(chǎn)品還有它們使用的技術(shù)。

思科(Cisco)的SenderBase和邁克菲(McAfee)的TrustedSource有著相似的數(shù)據(jù)庫(kù)，都可以免費(fèi)用于瀏覽和教育目的，而且都作為他們下一代應(yīng)用感知引擎的基礎(chǔ)。

我們可以回顧一下思科ASA防火墻線是如何將應(yīng)用感知付諸實(shí)踐。

第一步是真正設(shè)定好要去一個(gè)應(yīng)用感知策略。就像我們想要阻止某些特定的臉譜網(wǎng)(Facebook)應(yīng)用程序功能，如發(fā)布信息和玩游戲，但是仍然允許用戶瀏覽他們的涂鴉墻。

圖2 為Facebook創(chuàng)建一個(gè)應(yīng)用感知策略

我們從圖2屏幕所顯示的內(nèi)容開(kāi)始創(chuàng)建一個(gè)應(yīng)用感知策略。在應(yīng)用程序/服務(wù)箱中，我們首先在Facebook上輸入文字，那么你可以看到可供選擇的不同的預(yù)置Facebook策略模版，包括特定內(nèi)容如運(yùn)動(dòng)或事件。

圖3 簡(jiǎn)單的滑塊控制可以實(shí)現(xiàn)Facebook策略的多方面功能

這時(shí)，我們應(yīng)該要專注于已創(chuàng)建的策略。接下來(lái)請(qǐng)看圖3，圖3的內(nèi)容展示了你可以使用簡(jiǎn)單的滑塊控制來(lái)實(shí)現(xiàn)多種策略，例如允許附件上傳或下載，阻止任何人的Facebook賬號(hào)上傳照片。

用新一代防火墻來(lái)設(shè)定這些應(yīng)用程序?qū)虿呗员扔美弦淮丝?協(xié)議方法要簡(jiǎn)單得多。使用老一代防火墻，在你確定可以阻止或允許特定行為之前，你需要對(duì)規(guī)則集進(jìn)行大量的實(shí)驗(yàn)。當(dāng)今大部分下一代防火墻操作都和已展示的思科ASA相似，都有便于使用的圖形界面。

圖4 下一代防火墻的控制面板展示整個(gè)網(wǎng)絡(luò)的安全漏洞

圖4是下一代防火墻的控制面板，清晰地呈現(xiàn)了一個(gè)示例網(wǎng)絡(luò)已經(jīng)被發(fā)現(xiàn)的各種安全漏洞。

隨著特定應(yīng)用程序策略的誕生，你有責(zé)任去明白你所允許或阻止的通過(guò)該網(wǎng)絡(luò)的內(nèi)容。你也應(yīng)該將任意策略和你的人力資源部或其它部門協(xié)調(diào)，來(lái)確保你可以始終如一地應(yīng)用這些策略，并滿足你公司的特定標(biāo)準(zhǔn)和實(shí)踐需求。