典型的以网络层流量“取胜”的DDoS进犯，这些年也有向使用层下移的趋势 — 截止2013年，四分之一以上的DDoS进犯都是依据使用程序的，并且这个份额还在逐年提高。与之形成鲜明对比，跟着互联网技能的迅速开展，要害事务活动不断增加的依赖于互联网使用，这也就意味着露出不断增加的危险危险点。

新一代安全 角力新战场

传统防火墙首要关于通用协议进行处理，无力对使用协议包进行剖析，难以防备更具关于性的网络进犯。跟着技能的开展前进和互联网+年代的事务需求，如今的防火墙用户亟需对数据包进行更深层次的查看和过滤。例如，用户能够经过QQ传输文件，而传输的文件有也许即是引入危险的歹意文件。在这种事务场景下，即便传统防火墙能够经过端口号确认了运转的QQ效劳，也无法做到文件层面的深度查看，更不用提还有许多运转在非标准端口上的使用。

虽然如今就断言传统的以战略为中心的防护体系现已彻底失效还为时过早，但在***的进犯手法从网络层进犯为主向Web进犯为主转换的大布景下，咱们能够得出一个结论：缺少了使用层查看和防护才能的防火墙，不可避免的面对着“廉颇老矣，尚能饭否”的困境；新一代安全的重视点，就在于使用安全，就在于关于Web使用层供给完好的解决方案。

下一代防火墙怎么化解使用层危机

有不止一个理由能够让下一代防火墙变成“下一代”，用户身份感知才能、高可扩展性、使用感知才能（application awareness）都是下一代防火墙的典型标签，但“使用感知才能”毫无疑问是最简单相关到下一代防火墙的热词。使用感知这个概念，看起来现已很明晰，但在某种程度上又很有误导性。说它现已明晰是因为下一代防火墙能够将流量详细相关到特定的使用上，说它具有误导性是因为下一代防火墙的安全才能不该仅局限于查看辨认使用的流量，更主要的是作用于辨认的结果：有选择性的阻断或以别的方法约束对使用的使用，乃至是使用的子使用，而不是仅像传统防火墙相同仅仅阻断特定的端口和协议。

新安全形势下，防火墙用户需要对全网所运转的使用有更深的了解和认知。这些年较新的安全设备许多都供给了深度报文查看（DPI）、精密化管控和使用感知功用，帮助公司管控网络鸿沟。依据Gartner研讨总监Eric Maiwald的研讨结果，“现代防火墙或多或少都有些下一代的基因在里面，包括集成的侵略查看功用（IPS）和非常好的使用操控才能。这些好像现已变成了当今防火墙设备的标配，几乎一切的干流安全厂商都能娓娓道来一段有关下一代的故事”。但故事终究是故事，比听故事更主要的是了解怎么评价“下一代”，以及是不是应当迁移到“下一代”。

对反常做法的实时查看和剖析是促进许多用户晋级到下一代防火墙的首要动力。许多IT主管都反映，布置了下一代防火墙后最显着的改变是对沦陷主机的查看 — 有些公司在布置当天便能发现内网中的僵尸网络和已被侵略的主机。这得益于下一代防火墙能够查看数据包的有用荷载并依据这些实践内容做出相应决议，还能供给非常好的内容过滤才能 — 能够检查完好的网络数据包，而不仅仅是网络地址和端口，这就使得下一代防火墙有更强壮的日志记载功用，例如能够记载某个特定程序宣布的指令这么的日志事情，这为辨认使用的反常做法供给了很有价值的信息。

更精密的使用层安全操控是下一代防火墙的另一个“杀手锏”。在网络要挟更多的来历自使用层这个大布景下，用户对网络拜访操控天然要提出更高的请求。怎么准确的辨认出用户和使用、阻断躲藏安全危险的使用、确保合法使用的正常使用等疑问，现已变成现阶段用户所重视的焦点。但在网络使用高速开展的今日，超越90%的网络使用运转在HTTP 80和443端口上，大量使用能够进行端口复用和IP地址修正，致使IP地址不等于用户、端口号不等于使用，传统的依据五元组的拜访操控战略已无用武之地。下一代防火墙的用户、使用可视化技能，能够依据使用的做法和特征完成对使用的辨认和操控；假如能够完成与多种认证体系（AD、LDAP等）无缝对接的话，还能够进一步自动辨认出网络中当前IP所对应的用户信息，勾画出人-内容-使用的立体画像，满意新一代安全的网络管控请求。

下一代防火墙不是万金油

与传统的依据特征的查看引擎不同，下一代防火墙与生俱来的基因是感知用户和使用的做法，归根到底是要了解网络报文的上下文布景。虽然这省去了特征库，但并不意味着下一代防火墙从此摆脱了定时晋级的繁琐作业；相反，下一代防火墙更需要不连续的学习日益增长的使用指纹特征以坚持对使用辨认的时效性。因为这类指纹特征不依赖于端口、协议等易于辨认的特征，有时乃至也许还会包括特定报文的内容，因而保护下一代防火墙的规矩集是一项更为深重的使命。此外，关于非通用型的使用，如许多大型公司定制开发的私有使用，下一代防火墙很也许会无法辨认。在这种情况下，用户仍需手动增加使用指纹特征，且在每次私有使用晋级后也许还要重复这一进程。下一代防火墙如此的不智能，会让许多用户对“下一代”形象大打折扣。

下一代使用层防火墙技能克服了传统“鸿沟防火墙”的缺点，集成了IPS、防病毒等安全技能，完成从网络到效劳器以及客户端全方位的安全解决方案，满意公司实践使用和开展的安全请求。展望将来，跟着愈加荫蔽的使用层进犯不断出现，将来防火墙将会面对更多协议的解析、更多使用的辨认，因而将来使用层防火墙必将向着更大的防护功用面和更详尽的粒度管控这个方向开展。节选自qanda.ren/21/1/