DDOS防火墻新一代操作思路與進階應用方法淺析

典型的以網絡層流量“取勝”的DDoS進犯，這些年也有向使用層下移的趨勢 — 截止2013年，四分之一以上的DDoS進犯都是依據使用程序的，并且這個份額還在逐年提高。與之形成鮮明對比，跟著互聯網技能的迅速開展，要害事務活動不斷增加的依賴于互聯網使用，這也就意味著露出不斷增加的危險危險點。

新一代安全 角力新戰場

傳統防火墻首要關于通用協議進行處理，無力對使用協議包進行剖析，難以防備更具關于性的網絡進犯。跟著技能的開展前進和互聯網+年代的事務需求，如今的防火墻用戶亟需對數據包進行更深層次的查看和過濾。例如，用戶能夠經過QQ傳輸文件，而傳輸的文件有也許即是引入危險的歹意文件。在這種事務場景下，即便傳統防火墻能夠經過端口號確認了運轉的QQ效勞，也無法做到文件層面的深度查看，更不用提還有許多運轉在非標準端口上的使用。

雖然如今就斷言傳統的以戰略為中心的防護體系現已徹底失效還為時過早，但在***的進犯手法從網絡層進犯為主向Web進犯為主轉換的大布景下，咱們能夠得出一個結論：缺少了使用層查看和防護才能的防火墻，不可避免的面對著“廉頗老矣，尚能飯否”的困境；新一代安全的重視點，就在于使用安全，就在于關于Web使用層供給完好的解決方案。

下一代防火墻怎么化解使用層危機

有不止一個理由能夠讓下一代防火墻變成“下一代”，用戶身份感知才能、高可擴展性、使用感知才能（application awareness）都是下一代防火墻的典型標簽，但“使用感知才能”毫無疑問是最簡單相關到下一代防火墻的熱詞。使用感知這個概念，看起來現已很明晰，但在某種程度上又很有誤導性。說它現已明晰是因為下一代防火墻能夠將流量詳細相關到特定的使用上，說它具有誤導性是因為下一代防火墻的安全才能不該僅局限于查看辨認使用的流量，更主要的是作用于辨認的結果：有選擇性的阻斷或以別的方法約束對使用的使用，乃至是使用的子使用，而不是僅像傳統防火墻相同僅僅阻斷特定的端口和協議。

新安全形勢下，防火墻用戶需要對全網所運轉的使用有更深的了解和認知。這些年較新的安全設備許多都供給了深度報文查看（DPI）、精密化管控和使用感知功用，幫助公司管控網絡鴻溝。依據Gartner研討總監Eric Maiwald的研討結果，“現代防火墻或多或少都有些下一代的基因在里面，包括集成的侵略查看功用（IPS）和非常好的使用操控才能。這些好像現已變成了當今防火墻設備的標配，幾乎一切的干流安全廠商都能娓娓道來一段有關下一代的故事”。但故事終究是故事，比聽故事更主要的是了解怎么評價“下一代”，以及是不是應當遷移到“下一代”。

對反常做法的實時查看和剖析是促進許多用戶晉級到下一代防火墻的首要動力。許多IT主管都反映，布置了下一代防火墻后最顯著的改變是對淪陷主機的查看 — 有些公司在布置當天便能發現內網中的僵尸網絡和已被侵略的主機。這得益于下一代防火墻能夠查看數據包的有用荷載并依據這些實踐內容做出相應決議，還能供給非常好的內容過濾才能 — 能夠檢查完好的網絡數據包，而不僅僅是網絡地址和端口，這就使得下一代防火墻有更強壯的日志記載功用，例如能夠記載某個特定程序宣布的指令這么的日志事情，這為辨認使用的反常做法供給了很有價值的信息。

更精密的使用層安全操控是下一代防火墻的另一個“殺手锏”。在網絡要挾更多的來歷自使用層這個大布景下，用戶對網絡拜訪操控天然要提出更高的請求。怎么準確的辨認出用戶和使用、阻斷躲藏安全危險的使用、確保合法使用的正常使用等疑問，現已變成現階段用戶所重視的焦點。但在網絡使用高速開展的今日，超越90%的網絡使用運轉在HTTP 80和443端口上，大量使用能夠進行端口復用和IP地址修正，致使IP地址不等于用戶、端口號不等于使用，傳統的依據五元組的拜訪操控戰略已無用武之地。下一代防火墻的用戶、使用可視化技能，能夠依據使用的做法和特征完成對使用的辨認和操控；假如能夠完成與多種認證體系（AD、LDAP等）無縫對接的話，還能夠進一步自動辨認出網絡中當前IP所對應的用戶信息，勾畫出人-內容-使用的立體畫像，滿意新一代安全的網絡管控請求。

下一代防火墻不是萬金油

與傳統的依據特征的查看引擎不同，下一代防火墻與生俱來的基因是感知用戶和使用的做法，歸根到底是要了解網絡報文的上下文布景。雖然這省去了特征庫，但并不意味著下一代防火墻從此擺脫了定時晉級的繁瑣作業；相反，下一代防火墻更需要不連續的學習日益增長的使用指紋特征以堅持對使用辨認的時效性。因為這類指紋特征不依賴于端口、協議等易于辨認的特征，有時乃至也許還會包括特定報文的內容，因而保護下一代防火墻的規矩集是一項更為深重的使命。此外，關于非通用型的使用，如許多大型公司定制開發的私有使用，下一代防火墻很也許會無法辨認。在這種情況下，用戶仍需手動增加使用指紋特征，且在每次私有使用晉級后也許還要重復這一進程。下一代防火墻如此的不智能，會讓許多用戶對“下一代”形象大打折扣。

下一代使用層防火墻技能克服了傳統“鴻溝防火墻”的缺點，集成了IPS、防病毒等安全技能，完成從網絡到效勞器以及客戶端全方位的安全解決方案，滿意公司實踐使用和開展的安全請求。展望將來，跟著愈加蔭蔽的使用層進犯不斷出現，將來防火墻將會面對更多協議的解析、更多使用的辨認，因而將來使用層防火墻必將向著更大的防護功用面和更詳盡的粒度管控這個方向開展。節選自qanda.ren/21/1/