【IT168 评论】应用下一代防火墙(NGFW)的一个优点是在为特定的应用程序元素设定和管理策略时,可以提高应用意识和粒度。
相比之下,老一代防火墙依赖于特定规则集的端口和协议进行工作。例如,如果创建的防火墙规则是通过端口20和21来阻止传入的数据包时,那么用户就不能使用任何其它文件传输协议,但是这对于使用文件传输协议的IT部门来说太不适用了。这样,就有必要为使用FTP协议的用户建立另一个规则集,还有一些附加的特例。于是一个简单的问题就变成了一系列复杂麻烦的规则。
图1 大量的应用程序数据库可以帮助管理员来确定特定软件的相对风险
这时,粒度应用程序控制就派上用场了。新一代防火墙产品有广泛的应用程序数据库,网络管理员可以利用这些数据库来对特定行为建模,精心制定细粒度的访问策略。这些应用程序数据库到底是有多么广泛呢?可以看一下Palo Alto Network’s Applipedia(图1)。在图1中,你可以看到特定应用程序的相对风险,它们可以躲避的典型安全检测产品还有它们使用的技术。
思科(Cisco)的SenderBase和迈克菲(McAfee)的TrustedSource有着相似的数据库,都可以免费用于浏览和教育目的,而且都作为他们下一代应用感知引擎的基础。
我们可以回顾一下思科ASA防火墙线是如何将应用感知付诸实践。
第一步是真正设定好要去一个应用感知策略。就像我们想要阻止某些特定的脸谱网(Facebook)应用程序功能,如发布信息和玩游戏,但是仍然允许用户浏览他们的涂鸦墙。
我们从图2屏幕所显示的内容开始创建一个应用感知策略。在应用程序/服务箱中,我们首先在Facebook上输入文字,那么你可以看到可供选择的不同的预置Facebook策略模版,包括特定内容如运动或事件。