网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

举一个简单的例子：在需要同时开启防火墙，IPS及URL过滤的用户场景下，对于UTM产品来说，数据包处理流程为：数据包先进行链路层及网络层的 拆包，然后做传输层端口检查，最后查找匹配防火墙策略，封包进入IPS引擎，进入IPS引擎后会再做一次数据包链路层/网络层拆包，进入应用协议解码程 序，将应用层解码后将获取到的数据与原有的IPS特征码进行模式匹配，异常行为匹配后，与IPS策略进行匹配，再进行数据包封装，才进入URL分类引擎， 此时又要重新进行数据包拆封，应用层解码等程序，最终提取URL信息做模式匹配，最终再将数据包封装通过URL分类策略做转发。

同样的用户场景，对于下一代防火墙来说，数据包流入以后，下一代防火墙会先进行网络层，应用层等拆包分析，然后分别与一体化策略匹配，如果策略禁止 则直接丢弃，如果允许则进行下一层拆解，然后分别通过IPS策略检查及URL分类过滤策略后，通过执行统一安全策略进行转发及丢弃决策，全部策略执行完毕 后对数据包封包，转发。

很显然，对于上述用户场景，同等硬件条件下，其数据包处理效率远远超过UTM产品。

精准的应用识别

为了能够精确的识别网络中存在的所有应用，一般来说需要具备以下四种应用识别技术,如下图：

签名匹配技术

签名类似于应用程序的指纹系统，主要用来唯一的标识网络数据流中某一类应用程序。无论该应用程序使用了何种协议及外部端口，均可以通过该应用签名对 该类应用程序进行匹配。例如某些知名的应用协议如RDP，由于在某些情况下可能没有采用标准的3389端口，而是采用了其他非标准端口(如：80等)，对 于一般的状态防火墙来说，很难对其进行鉴别，而对于基于端口及协议无关的下一代防火墙来说，则可以通过签名匹配的方式对该协议进行识别及策略的控制。

应用协议解密技术

用户网络中充斥着大量的加密应用，对于此类应用，传统的应用识别方式很难对其进行识别，对于下一代防火墙来说，只需要提前导入应用服务器证书中的私 钥信息，当客户端向应用服务器发起加密应用连接时，会被处于中间位置的下一代防火墙截获，同时由于下一代防火墙证书信息已经包含了服务器的私钥，因此可以 对此应用进行解密操作，基本原理如下图：

协议解码技术

在某些应用场景下，应用会以隧道的形式嵌套至某些知名应用协议之内(例如网页版QQ会通过HTTP进行传输)。此时便需要协议解码技术与签名匹配技 术共同配合使用对该类应用进行识别，另外对于某些复杂的流行软件来说，协议解码技术还可以用于识别这些流行应用程序的子应用(如：QQ，MSN等通讯软件 的文件共享功能)。

智能识别技术

对于某些特殊应用来说，通用的签名匹配技术及协议解码技术可能仍然无法对其进行识别，这时候便需要使用智能识别技术或者行为分析技术。比如对于P2P或VoIP类应用来说，智能识别技术会通过数据会话模型，流量信息，源数据包信息，数据包长度等多种方式进行综合判断。

下一代防火墙的统一策略框架与一体化引擎及应用识别技术是一套极为复杂的技术体系，可能很难通过寥寥数语便能把它描述清楚。因而本文不可避免会出现部分内容描述不准确或者与实际存在出入的地方，敬请读者谅解。

另外笔者始终认为下一代防火墙的核心思想是为了向用户交付更加高效，更具可用性的网络安全系统，因而选择把极其复杂的安全逻辑及模块关系最大程度的隐藏，这也符合下一代防火墙的真谛——更简单，更安全，更高效。