【IT168安全】一成不变的5元组ACL

　　自状态检测防火墙发明至今，传统防火墙一直使用5元组方式的ACL(访问控制列表)——这一在路由交换时代发挥着重要作用的访问控制列表技术，为网络访问进行保驾护航。

　　随着网络的普及，网络应用呈现爆发式增长，并且表现出许多新的特征。在全新的网络行为模式下，传统安全防护手段的基础存在条件被破坏殆尽。在移动互联和云计算普及的背景下，越来越多的应用通过80端口进行服务。然而仅通过五元组却无法对不同的应用进行区分，从而导致了五元组在新的网络环境下失去了对网络安全的管理能力。

　　守株待兔的IPS/AV/网页过滤

　　作为防火墙最好的安全补充，IPS/AV/网页过滤技术能够透过现象看本质，发现应用层内部的威胁，从而弥补了防火墙只能控制传输通道而不能控制内容的弱点。

　　越来越多的网络应用具有了端口跳变的能力。应用在一个端口上被阻塞，会自动选择其他端口进行尝试。过去基于端口的检测模式，在这种类型的应用面前完全失去了作用。

　　盲人摸象的UTM

　　为了减少TOC(总拥有成本)，花最少的钱买更多的功能，UTM产品的出现无疑给了IT管理者一个新的兴奋点。在过去的一段时间中，UTM的占有量开始超越单独功能的防火墙。

　　但僵尸网络的产生彻底暴露了UTM简单罗列功能的问题。这种当下全世界最大的威胁在进入用户网络时可谓是“润物细无声”。僵尸网络将威胁元素化整为零——在传播、感染、加入频道、接受控制指令全流程中，将每个过程独立出来，这些都不是一个明显的威胁，但当所有的流程完成之后，一个巨大的威胁已经在用户内部形成。

　　UTM虽然具备多个安全防护体系，但是各人自扫门前雪，都在以盲人摸象的方式在试图防护全局的威胁，这使得其在分散隐藏威胁的僵尸网络面前显得苍白无力。

　　沧海桑田的移动互联网

　　2012年不是世界末日，而是移动互联网划时代的一年。移动终端的采购量开始超过PC，访问互联网的移动终端数量开始超过PC，BYOD这个曾经遥远的名词现在已来到我们的身边。

　　根据Gartner的研究，在2022年全球85%的企业将全部采用BYOD办公，这也意味着单位已经不再具备终端的拥有权，同时也就意味着企业无权强制用户在终端上安装指定的安全软件，这让传统的客户端安全防护体系也变得捉襟见肘。

　　下一代防火墙应运而生

　　当传统安全的基石被撼动时，Gartner定义了下一代防火墙产品。它应该具备基本防护墙的所有功能，能够进行应用的洞察与控制，并具有集成化的IPS体系和智能联动的防火墙功能，同时具备全部功能开启后的高性能。Gartner认为在不远的未来，下一代防火墙将彻底取代传统防火墙。

　　根据Gartner的定义，网康科技推出了最符合下一代安全体系要求的全新下一代防火墙(NS-NGFW)产品,通过网康NGFW将可以完美的解决传统安全体系的根本问题。

　　网康下一代防火墙的功能特点

　　1、网康NS-NGFW下一代防火墙具备了传统防火墙的所有功能，并且具备了应用的洞察与控制能力，让用户最大化地看到隐藏在80端口、可变端口以及隧道中的各种潜在威胁。并且能够通过简单的基于人+应用的ACL而不是5元组方式的ACL来进行威胁的控制。

▲全方位应用层的洞察与控制

　　2、网康NS-NGFW下一代防火墙提供了一体化的集成的安全防护，包含了基于应用的IPS/AV/网页过滤。让安全引擎真正地工作在应用层，无视端口的变化，准确地呈现隐藏在跳变端口中的各种威胁内容。

　　3、网康NS-NGFW下一代防火墙提供了智能的主动防御技术，能够关联地发现分散隐藏的潜在威胁，把原本用户根本无法看见的威胁直观地展现在眼前。这使得IT管理者无需较高的安全技能就可以应对非常专业的威胁入侵，避免了UTM割裂的威胁管理所产生的“盲人摸象”效应。

　　4、网康NS-NGFW下一代防火墙提供了BYOD的集成管理能力，能够从网络上识别出移动终端、终端卡类型、移动用户、移动应用。在无需安装客户端的情况下，最大程度的防范了BYOD带来的安全威胁。

　　5、网康NS-NGFW下一代防火墙采用了单次路径识别的识别引擎，彻底解决了UTM的多次串行识别带来的性能快速降低的问题。仅开启NS-NGFW 应用层防火墙功能与把全部功能都打开，性能下降非常有限，能够有效地满足用户的全方位威胁防护的需求。

　　下一代防火墙诠释新安全

　　可以看出，下一代防火墙彻底改变了传统安全的不足，用户将可以真正地看到分散隐藏在应用中的各种潜在威胁，能够全面掌握威胁的构成，并且可以采用最简单的应用级的访问控制手段进行有效地控制。同时应用层防火墙将使得用户体验到前所未有的简易化部署和简易化策略配置，不仅减少了网络中的安全威胁，同时将大幅节省用户的财力和人力的投入。

　　应用识别技术有两个最重要的衡量指标

　　首先是可识别的应用总数，这直接决定下一代防火墙能否将网络中的所有细节呈现出来。网康科技拥有国内最大的应用库，有超过1200种的应用被识别，其中移动应用达到500种。这是网康8年深耕于网络应用领域的积累，很难被超越。需要特别指出的是，网络应用有着很强的地域特征，不同国家甚至不同地区都有着自己独特的流行应用集合。本土厂商在应用识别领域有着国外厂商所不能比拟的优势。

　　另一个重要的指标是其应用库的更新速度。移动互联带来了网络应用的大爆炸，苹果的APP store 有超过65万种应用，安卓市场也有超过50万种应用，每天都有新的应用产生。因此，安全厂商的应用库更新速度就直接决定了它的产品能否持续地为其用户提供可靠的安全保障。网康科技拥有业界领先的自动化应用特征提取实验室，每周都有近百种新应用被发布，从而确保了网康科技的下一代防火墙产品可以始终保证对用户网络内应用的识别率超过95%。

　　正是由于具备了在应用识别领域无可比拟的领先优势，网康科技才有信心做出业界最优秀的下一代防火墙产品。