新一代防火牆：不就是傳統技術進行新包裝嗎？

在現時的互聯網熱潮下，應用興起、安全問題日益嚴重，網絡安全技術急需進一步改進。新一代防火牆將是在這種發展下誕生的，隨著科技進步，新一代防火牆技術也迅速擠身全球網絡安全廠商的行列。而新一代防火牆的熱潮也帶來了巨大影響；網絡安全界亦出現了大量不同品牌的防火牆設備。這些設備在架構及功能上不斷有新嘗試和努力，有些則帶來了新意念和突破。

新一代防火牆的困局與誤闖區域

從新一代防火牆出現，一場技術上的革新便不斷衝擊著行業。眼看著 IPS、防病毒等網絡安全功能逐漸整合，應用處理速度也在逐年提高。但從 2013 年開始，仿佛一夜之間所有的防火牆都已經擁有了整合特性和發展處理技術，網絡安全行業必須要面臨的一個困境，就是新一代防火牆的技術發展在哪裡？圍繞這個問題，我們看到各個廠商都提出了一些概念，但有些不免誤闖區域，這些”區域”可以分成兩方面：

傳統技術進行新包裝

我們可以看到市場上出現了很多新一代防火牆的概念包裝，支持流動設備、可以防護僵屍網絡等一系列功能。它們看起來都在推動市場進步。但進一步分析後會發現，流動設備應用程式和應用程式在分析技術上沒有太大差異，如果非要分門別類，流動設備應用程式，其實就是所有應用中的一個小分類，這其實算不上什麼新功能。而現在宣稱能夠支援發現僵屍網絡的設備則就是對入侵攻擊的特征重新包裝和分類，是將一部分和蠕蟲、木馬等相關的病毒特征歸類包裝後的產品。從技術發展的角度來看，這些改變都沒有帶來令人感到驚喜的進步，只是在前人的道路上繼續行走。

多就是好

如果說重新包裝是不能實現技術上的進步，那第二種誤闖區域帶來的可能會包含更多危害，這個誤闖區域就是認為在整合概念的保護下網絡安全功能集中得越多，設備就越好。這種思維從市場需求上來說是毫無問題，但忽略了整合性技術將多種功能整合的可能性以及所需資源。例如遠端控制漏洞掃描技術，它和防火牆狀態流程並無直接關係，所以根本不存在整合設計的可能；在防火牆設備上進行整合技術就需要額外分配一部分作為系統資源用於獨立運行此功能。在CPU和RAM都無法提升的情況下，系統性能勢必會受到影響，這個方法只是用性能換功能的，對於客戶來說並無益處。

新一代防火牆的新概念

在這樣的困境和誤闖區域下，新一代防火牆將如何發展？很多廠商都在積極尋找方向，早前筆者介紹過的一些新一代防火牆產品(請恕不便公開，免得有比較)便採用了一種讓筆者印像深刻的概念：在雲端來分析、進行防護、進行防預等，首先是防火牆安全防護的兩大難題：策略與日誌。

眾所周知，策略在防火牆的防護工作中一直承擔著重要作用，但在流動化的熱潮下，應用的變化日新月異，新應用不斷挑戰舊策略，而管理人員可能不知此應用在網絡中已經開始飽和;而Wi-Fi、BYOD等方案讓不同地方的設備接入LAN、沒有時間規限，導致網絡安全無法限制不安全行為。

而查看日誌是分析網絡安全問題的方法，如果經常沒有得到企業客戶的重視，就會導致了安全問題無法追蹤、暗藏的風險無法在早期被解決。從企業角度來看，確實存在苦衷。如果需要儲存大量的日誌，不但設備缺乏，還缺少了專業的日誌分析人員。不定時提醒分析人員查看日誌，都是在限制著企業本身的日誌安全管理。

為了應對以上兩個問題，現時新一代防火牆的防護功能已進行擴展，引入了LAN的資產風險管理，希望為管理員提供風險的預告和策略的指導。為了提供快捷有效的日誌管理，或可考慮以雲端進行更安全的日誌管理功能。

LAN資產風險管理

這裡的LAN資產指其主機以及這些主機上的相關軟件，為了對資產做到有效的識別，採用被動資產識別技術或是一個不錯的選撰，此技術可以不借助電腦軟件的幫助，只以網絡流量進行分析就可識別主機上的操作系統、瀏覽器、防毒軟件及應用等訊息。而在獲取了資產信息後防火牆可根據內置的風險評分系統對資產的綜合情況進行評價，並以數字的形式將LAN風險直觀的展現在管理員面前。同時再輔以細度的安全策略，可以對高風險資產做到有效管控，這樣便真正做到預防安全風險、有效的策略配置等，大大提升了LAN的安全性和安全管理效率。

雲端安全日誌管理

新一代防火牆上採用了雲端日誌管理後，利用雲端所提供的靈活性，新一代防火牆使用者可在任意時間和地點通過互聯網查詢及處理安全日誌，而雲端利用本身的分析能力以將安全日誌變成多種易讀的圖形報表展示出來，並能與全球趨勢進行比對，從而幫助用戶了解本身的安全狀況。這個情況便能大大地減低日誌處理的雜度，並全面提升安全系統的跟蹤能力。