下一代防火墙的进化

    拥有 SPI功能的防火墙在恶意软件还不太盛行，网站还主要以文本为主的时代，确实帮助企业解决了不少安全难题。端口、IP地址还有协议，都是防火墙管理的关键因素。但是随着互联网的进化，服务器开始提供动态的内容，而客户端浏览器也支持了更多的应用，也就是进入了Web 2.0时代。

    如今，来自Salesforce.com 、SharePoint 以及 Farmville 等各种网站的网络应用统统在使用TCP的80端口，加密数据则采用SSL的接口TCP 443。下一代防火墙将能够实时的检测数据包的有效载荷，并对有效载荷进行签名比对，判断是否为已知的恶意代码、病毒和恶意软件。DPI还意味着管理员可以创建足够详细的允许和拒绝规则，对特定的应用程序或网站进行访问控制。由于数据包中的内容可以被深度检测，由此生成各种统计信息就成为了可能，这意味着管理员可以更轻松的进行流量分析，制定网络容量计划，也可以更简单的查找网络故障来源，监视企业网络员工的上网行为。目前的防火墙操作还停留在OSI模型的2至7层。

    企业需要什么

    企业正在饱受网络应用程序混乱的痛苦。网络通信已经远远不像从前那种类似于电子邮件的简单的存储并转发模式了，而是已经扩展成了包括实时协作工具、Web 2.0应用、即时消息（IM）、点到点应用、VoIP、流媒体以及远程视频会议等多种应用模式了。每种网络应用自身都存在潜在的安全风险。很多企业在实际工作中甚至无法将企业关键应用与那些非关键应用或单纯的拖累带宽的应用区分开。

    如今，企业需要拥有应对关键业务的解决方案，同时还要拥有应对那些浪费网络带宽的员工以及他们每天所运行的各式各样（甚至是危险的）的网络应用的解决方案。关键业务需要以带宽为优先考虑因素，而社交媒体和游戏类的网络应用则需要被控制带宽，甚至是阻止访问。另一方面，如图企业的网络策略无法满足当地政府的安全管理条例，有可能还会面临着警告、罚款甚至失去营业资质的危险。

    在当代企业中，安全防护和网络性能应该是齐头并进的。企业不应该再由于SPI型防火墙所带来的网络延迟而忍痛降低安全性换取网络性能。防火墙或网络性能的任何延迟，都可能会对那些实时性要求较强的应用造成巨大影响，从而降低这些应用的服务水平和企业的生产效率。 在某些极端情况下，企业甚至会放弃网络安全解决方案中的某些功能，以避免网络性能出现明显的降低或延迟。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。