下一代防火墙，决胜于应用层.docx

PAGE 1 PAGE 1

下一代防火墙，决胜于应用层 互联网+时代，海量应用隐蔽亿万风险。网络失陷，或许只是源于一次网页浏览，或打开一封邮件。传统的包过滤型或状态检测型防火墙虽然可以有效防范各种网络层的攻击，但对于大多数利用Web应用漏洞进行的攻击却束手无策。面对新威逼、新挑战，下一代防火墙的核心安全能力体现在哪里？ 几乎没有人怀疑防火墙在企业全部的安全设备选购中所占据的重要位置，但传统的防火墙并没有解决网络主要的安全问题。从实现技术来讲，传统的防火墙主要是包过滤防火墙，实现的是网络层掌握截获网络中的数据包，依据协议进行解析，最终利用包头的关键字段和预设的过滤规则做对比，打算是否转发该数据包。随着应用层各种应用的丰富，越来越多的应用层协议出现，随之而来的是黑客可以越来越多的直接在应用层发起攻击。依据闻名调查机构Gartner的统计，近年来75%的网络攻击都是发生在应用层上。甚至之前典型的以网络层流量“制胜”的DDoS攻击，近年来也有向应用层上移的趋势截止2013年，四分之一以上的DDoS攻击都是基于应用程序的，而且这个比例还在逐年提高。与之形成鲜亮对比，随着互联网技术的快速发展，关键业务活动越来越多的依靠于互联网应用，这也就意味着暴露越来越多的风险隐患点。 　　 新一代安全，角力新战场 　　 传统防火墙主要针对通用协议进行处理，无力对应用协议包进行分析，难以防范更具针对性的网络攻击。随着技术的发展进步和互联网+时代的业务需求，现在的防火墙用户亟需对数据包进行更深层次的检查和过滤。例如，用户可以通过QQ传输文件，而传输的文件有可能就是引入风险的恶意文件。在这种业务场景下，即使传统防火墙可以通过端口号确认了运行的QQ服务，也无法做到文件层面的深度检测，更不用提还有许多运行在非标准端口上的应用。 　　 尽管现在就断言传统的以策略为核心的防护体系已经完全失效还为时过早，但在黑客的