2009年，权势巨子咨询机构Gartner定义了下一代防火墙的概念，一时候，下一代防火墙已同云计较、WEB2.0、移动互联等当下最热点的名词一路，成为业界的核心话题。下一代防火墙之所所以应对当今收集威胁的最好选择，最为核心的启事之一，在于下一代防火墙可以或许抵抗来自利用层的威胁。是以，对当今收集中各类利用流量的切确辨认能力，已成为下一代防火墙可否阐扬最大年夜效能的决定性身分。

　　基于五元组已没法辨认当今利用

　　跟着收集利用的不竭地演变，收集中的流量较之先前产生了巨大年夜的改变。在之前，我们基于数据包的地址、端口等信息便可轻松辨认收集流量，并在此根本上加以安然管控，但是在当下，大年夜量利用出于各类目标，遍及采取跳变端口乃至复用驰名办事端口进行数据传输。以TCP 80端口为例，在畴前我们会简单地觉得拜候此端口必然是在进行HTTP网页浏览，但此刻，TCP 80端口既可以被用来P2P下载，也能够传输即时通信软件的流量。

　　以传统防火墙为代表的一类产品，基于数据包五元组的安然检测机制，仅依托鉴定传输层端口，早已没法辨认具体的利用类型，在面对此类利用时已完全掉效，这给收集的治理和安然防护都带来了极大年夜的挑战。

　　“TCP 80”已不再是HTTP的专利

　　站在3、四层上何谈应对利用层威胁？

　　回过甚来再看上述例子，即便TCP 80流量的确是在进行网页浏览，但操纵传统的手艺也无从对HTTP流量进行加倍深进的辨认和查抄，特别是跟着WEB2.0手艺的大年夜量应用，一个看似简单的网页仅仅操纵浏览器便可以向用户交付多种情势的利用，经由过程网页棍骗敏感信息、在网页中嵌进病毒或木马等黑客报复打击手段，操纵的就是传统手艺在此方面的缺点。

　　基于“五元组”对流量内容尽不知情

　　传统的进侵防御(IPS)手艺虽然可以基于特点码辨认并阻断针对特定和谈的进侵行动，看似可以防备利用层威胁，但从本质上讲，其基于3、四层信息辨认数据包的机制没有改变。必需要澄清的是，传统的IPS、UTM产品，在某种程度上可以或许辨认一些利用层威胁，但其实不料味着它们可以或许辨认利用，当利用利用非标端口(例如HTTP办事利用TCP 8080端口)时，这些产品在未经手工建设的环境下，一样没法智能辨认非标端口上传输的利用类型，也就没法针对这些流量供给进侵防御、病毒防护的功能。

　　值得一提的是，虽然良多传统防火墙、IPS、UTM设备早已具有了利用层网关(ALG)功能，但ALG设计的初志仅是为了知足特别和谈正常通信的需求，是以其撑持的利用类型少之又少。综合以上阐发，基于3、四层手艺没法真正抵抗来自利用层的威胁。

　　企业需要利用层的“安然使能”

　　在利用大年夜爆炸的今天，以上提到的各种挑战，使得的收集的治理者必需在“承诺”与“阻断”之间进行艰巨的决定。承诺某些利用，意味着有更多的威胁可以长驱直进，将大年夜大年夜增加企业信息安然的风险，但阻断某些利用，又将影响到正常营业的展开。信息系统本身就是为营业办事的，假定不克不及有效撑持营业的展开，也就掉往了其本身存在的意义，是以，在面对决定和均衡时，收集治理者迫于来自营业方面的压力，常常选择默默的接管风险，以求营业的顺利展开。

　　但是，比来几年来大年夜量的信息安然事务让我们遗憾地看到，一旦信息系统蒙受黑客的报复打击或进侵，给企业酿成的尽不但仅是经济上的损掉。系统瘫痪、信息泄密等安然事务，将会给企业带来不良的社会影响，严重的还要承担法令责任，这些粉碎和冲击对良多企业来讲都是致命的。

　　当今企业需要邃密化的利用节制，对撑持营业所必需承诺的利用，要进行深层次的安然检测及一体化的安然防护，实现真正基于利用层的“安然使能”，同时阻断与营业无关的利用或利用的子功能，这些都要求设备对收集流量深进、智能的辨认。

　　基于利用层的“安然使能”

　　下一代防火墙才能真正应对利用层威胁

　　统计数据表白，当今有3/4的收集安然事务产生在利用层，此后利用层威胁将愈来愈遍及，传统的安然防护手艺在面对当今威胁时几近不战而败，最核心的启事是传统的手艺已没法对当今收集中的流量进行切确的辨认，也就谈不上加以管控和过滤了。在当今的手艺布景下，要切确的辨认流量，必需要基于利用、行动的特点来实现，正如当今医学上要准确的肯定一小我，尽不克不及再仅仅基于其身高、体貌来鉴定，而是要查验其指纹乃至DNA的特点，操纵收集数据包的“指纹”、“DNA”对数据类型进行鉴别的手艺，就是我们常说的基于利用层的利用辨认手艺。

　　下一代防火墙自在应对利用层威胁

　　作为收集利用层安然、治理方面的专家，网康科技操纵专有的利用特点和行动特点检测手艺，可以切确的辨认收集中的各类利用，今朝网康科技的利用特点库已收录了超越3000种互联网利用，还包含700余种移动互联网利用，是今朝国内最周全的收集利用和谈数据库。

　　在对海量利用切确辨认的根本之上，网康科技下一代防火墙经由过程简单的策略建设，便可实现对各类利用的细粒度节制，可完全阻断与企业营业无关的高风险利用，对撑持营业展开必需保障的关头利用，可进行报复打击防护、进侵防御、病毒防护、间谍软件防护、URL过滤等一体化的安然查抄，并操纵主动防御的治理接口对收集中的可疑行动进行联系关系阐发，帮忙收集治理者及时发现未知的、埋没性强的威胁。同时，网康科技下一代防火墙具有十余种用户辨认手段，内嵌了全球最大年夜的中文网页URL分类库，综合对人、利用、内容的管控和安然防护，可帮忙企业构建不变、高效的安然收集。

　　防火墙走向下一代，安然更上一层!