幾十年來，基于網絡的防火墻提供了必不可少的第一道防線。這些設備位于受信任和不受信任的網絡之間，并管理(通常是復雜的)規則集，這些規則集指示它們根據流量的來源、目的地和類型是允許還是阻止流量。要創建有效的規則集，防火墻管理員必須準確了解其環境的設備和應用程序以及它們所依賴的協議和端口。這些規則集中的錯誤可能會導致網絡連接丟失;因此，在對兩個設備之間的網絡連接進行故障排除時要“首先檢查防火墻”。錯誤可能會使敏感系統暴露在互聯網上或阻止對關鍵公司職能的訪問。除了復雜的規則集，網絡流量配置文件在過去十年中也發生了變化。大多數新應用程序使用超文本傳輸協議 (HTTP) 和安全超文本傳輸協議 (HTTPS)，并且端口 80(分配給 HTTP 的端口)和端口 443(網站使用安全套接字層 (SSL) 的端口)分別過載。惡意軟件也試圖隱藏在這些端口上。即使您掌握傳統防火墻的規則集管理，它也可能無法檢查和阻止其中一些現代威脅。幸運的是，現代商業和開源防火墻包括更好的管理和智能，可幫助您從一些平凡的規則管理任務中解脫出來，同時為這些高流量端口提供急需的監管。

防火墻最初只是簡單的過濾器，可以根據來源、目的地和協議來阻止和允許網絡流量。這些防火墻通常是具有兩個或更多網絡接口的物理設備，這些接口在邏輯上將網絡劃分為區域——例如，互聯網和內部企業網絡。隨著時間的推移，防火墻添加了網絡地址轉換 (NAT)、動態主機配置協議 (DHCP) 和域名服務器 (DNS) 服務等支持服務，試圖將它們定位為“一體化”設備。即使是這些防火墻上最簡單的規則，也需要管理員了解基礎設施服務和網絡概念(例如網絡尋址、端口和協議)的基礎知識。當防火墻供應商開始添加虛擬專用網絡、端口轉發和服務器發布時，防火墻和規則的復雜性增加了。所有這些服務和概念仍然是現代防火墻中的重要功能，但許多現在包括更高級的功能，如加密通信檢查以及應用程序智能，以支持應用程序層的安全策略決策。

出于多種原因，僅通過協議嚴格管理網絡流量已不再足夠。

首先，大多數基于云的軟件即服務應用程序和物聯網 (IoT) 設備通過 HTTP 進行通信，如果它們精通安全性，則通過加密的 HTTPS 進行通信。過去，防火墻管理員可能僅基于入站或出站 HTTP 和 HTTPS 來構建規則，以試圖管理 Internet 網絡沖浪。同樣，他們可能會為文件傳輸尋址 FTP(端口 20/21)和通過 Secure Shell (SSH)(端口 22)或終端服務(端口 3389)進行遠程訪問創建防火墻規則。防火墻管理員會為大多數使用特定協議的應用程序分配相應的端口，這使他們能夠通過規范該協議的使用來管理這些應用程序。發生了轉變，如今許多應用程序——無論是網上沖浪、文件傳輸還是遠程訪問——都使用 HTTP 或 HTTPS，

其次，應用程序現在經常加密其有效負載，如果沒有更先進的技術，幾乎不可能進行數據包檢查。

第三，像 DNS 和 NTP(網絡時間協議)這樣的關鍵支持協議通常被列入白名單，并允許在網絡安全區域之間不受限制地通過。攻擊者也知道這一點，并開始劫持這些端口——無論是將他們的通信隱藏在加密之后，還是發出偽造的 DNS“請求”來隱藏被盜的公司機密。

防火墻供應商不斷發展他們的產品，以通過現有技術和新技術的進步來幫助解決這些問題。

加密

現代防火墻技術利用更快的處理器和分布式架構，允許它們動態解密-檢查-加密通過它的加密流量。這允許在防火墻上解密 HTTPS 和 SSH 流量，根據定義的標準檢查有效負載，并決定是阻止流量還是重新加密并交付它。為了減輕隱私問題并遵守地緣政治要求，請尋找可讓您定義特定策略元素的防火墻功能，以便您可以確定可以解密哪些類型的通信以及哪些必須保密。

應用感知規則

防火墻通過區分網絡通信流中包含的特征來區分和調節流量，從而得以生存和生存。應用程序感知防火墻(包括 Web 應用程序防火墻)允許防火墻更深入地研究特定協議(如 HTTP)，以確定使用該協議的應用程序是否合法并獲得批準。這些技術可以檢測并阻止劫持其他協議進行自身通信的惡意應用程序。以一個試圖通過端口 53 (DNS) 聯系另一個命令和控制服務器的惡意軟件為例。在第 4 層(傳輸層)配置為允許端口 53 流量的傳統防火墻規則可能會允許此惡意軟件通過。然而，應用程序感知防火墻在第 7 層(應用程序層)檢查相同的數據包，可能能夠確定它在端口 53 上檢測到的流量并不代表真正的 DNS 通信，并將其標記為非法流量并阻止它。具有應用程序檢測功能的防火墻還可以區分不同的應用程序，例如是否阻止社交媒體或點對點文件傳輸應用程序，即使它們都使用 HTTP?；?IP 和 DNS 信息將網站列入黑名單和白名單并不新鮮，但現在防火墻可以根據有效負載本身識別和分類應用程序，而不僅僅是依賴目的地數據庫。具有應用程序檢測功能的防火墻還可以區分不同的應用程序，例如是否阻止社交媒體或點對點文件傳輸應用程序，即使它們都使用 HTTP?；?IP 和 DNS 信息將網站列入黑名單和白名單并不新鮮，但現在防火墻可以根據有效負載本身識別和分類應用程序，而不僅僅是依賴目的地數據庫。具有應用程序檢測功能的防火墻還可以區分不同的應用程序，例如是否阻止社交媒體或點對點文件傳輸應用程序，即使它們都使用 HTTP。基于 IP 和 DNS 信息將網站列入黑名單和白名單并不新鮮，但現在防火墻可以根據有效負載本身識別和分類應用程序，而不僅僅是依賴目的地數據庫。

基于對象的規則

基于對象定義網絡策略有助于簡化您必須直接管理的規則集。例如，定義一個名為“web 服務器”的新對象可能更容易，它本身包含所有單獨的 web 服務器對象。然后，您可以創建一個規則，允許通過“網絡協議”對象從“互聯網”區域訪問“網絡服務器”對象。對于人類來說，這意味著可能只需要管理一個防火墻規則。可以快速驗證對象成員資格以及該對象中包含的適當“網絡協議”列表。當 Web 服務器來來去去或 IP 地址發生變化時，您可以更新各個 Web 服務器對象的清單，并確保規則會自動更新以反映最新更改。審計員也喜歡這樣，因為他們可以看到哪些對象是哪些組的成員以及該組擁有哪些權限。與滾動瀏覽由 IP 地址和協議端口號定義的單個防火墻規則行相比，這種基于對象的方法還可能更容易發現差距或錯誤。

身份

傳統防火墻依靠 IP 地址來構建規則。雖然 IP 地址仍然是識別特定設備通信的常用屬性，但它可能不足以將活動與人相關聯。無線訪問、移動用戶、虛擬化容器、IPv4 與 IPv6 尋址以及云部署都使得將操作歸因于 IP 地址變得更加困難。功能更強大的防火墻可以識別聯合身份和目錄服務并與之集成，以在允許訪問之前對用戶進行身份驗證。

指標和測量

直接內置于防火墻中的商業智能軟件有助于防火墻管理，并顯著擴展報告功能，超越臭名昭著的“頂級談話者”報告。這些工具允許防火墻管理員將網絡通信數據動態地轉換和分割成可操作的報告，并且在許多情況下，這些報告可以被深入挖掘以揭示隱藏的洞察力。

云和分布式部署

隨著越來越多的組織將基礎架構即服務 (IaaS) 集成到其傳統的本地模型中，虛擬化防火墻解決方案變得必不可少。主要的云供應商提供防火墻和網絡安全功能;但是，與某些獨立防火墻相比，這些防火墻和網絡安全功能可能會有所欠缺。大多數防火墻供應商現在都提供基于云的防火墻，這些防火墻與他們的本地網絡防火墻和基于主機的防火墻相鏈接，以創建一個由單一安全策略管理的跨平臺防火墻服務。

防火墻將繼續在隔離網絡方面發揮核心作用。隨著網絡和云應用的成熟，看到這些核心技術的發展是一個激動人心的時刻。您可能會通過高額訂閱費為尖端防火墻服務支付額外費用;然而，這些領先技術將繼續激發開源和更廣泛訪問的防火墻技術的創新。

關鍵點：

防火墻技術不斷發展以跟上新的攻擊者技術。

應用程序智能和用戶身份驗證服務進一步幫助防火墻區分實際用戶流量。

下一代防火墻通過靈活、強大且通常直觀的對象模型和用戶界面將防火墻管理員從管理復雜規則中抽象出來。

審核編輯：湯梓紅