1. 背景介绍

1.1 网络应用的不当使用降低了企业员工的工作效率

　　随着技术的迅猛发展，各种互联网应用层出不穷，如即时通讯（IM）、网络游戏、在线炒股以及在线音乐视频等等。未加管理的使用，不可避免地影响员工的工作效率。在一项调查中，超过80%的员工在上班时间做过与工作无关的工作，其中，有60%的被调查员工承认其主要是在玩网络游戏、用QQ / MSN等即时通讯软件聊天，以及炒股等等。这些不当网络活动大大降低了员工的工作效率，造成了企业人力资源的严重浪费。

1.2更多的威胁隐藏在应用中

　　根据Gartner数据显示，目前有3/4的威胁开始从传输层转而进入应用层，大量应用采用了端口跳变或者隧道封装技术的方式来逃避安全设备的控制和过滤。例如P2P下载技术、网页浏览技术可以采用任何目的端口来访问目标服务器，同时各种应用如QQ、MSN也可以采用标准的80端口。这使得IP地址不再等于用户和目标服务器，而协议端口也不再等于应用本身。传统的5元组方式的ACL将彻底的无法完成对应用的访问控制，并且那些在指定端口上监听内容的内容过滤技术也将全部失效。

2. 网康下一代防火墙应用管理与控制技术方案

2.1基于特征识别的覆盖全面的应用协议数据库

　　传统安全产品通过IP或者端口封堵各种协议，只能局限于标准的协议，如HTTP，SMTP，且主要是在网络层以及传输层进行，对应用层的内容无能为力，而且，如果IP与端口经过动态协商建立，比如QQ，P2P下载等，则完全不能胜任。

　　网康科技采用第三代的应用识别技术XAI，能够混合的使用明文特征、密文的流量模型、以及多个明文秘文混合的链接之间的行为关联，继而准确的识别出明文及密文加密应用，例如可以识别出迅雷加密协议下载的文件类型等。

　　同时为了避免隧道逃逸技术，防火墙还可以对翻墙、代理、隧道等高风险应用进行精确的识别，继而让用户准确的发现网内可能存在的木马文件传输隧道以及远程控制管理隧道并进行控制。

　　网康NGFW拥有国内较全面的网络应用协议数据库，包括超过3000种的网络应用协议和700种以上的移动应用。

2.2灵活精细的管控策略

　　网康NGFW能够根据多种条件及其组合对网络应用进行灵活的管理，包括：用户、部门及其组合；时间段，如上班时间、下班时间、周末等；提供自定义协议，对特定的应用进行控制；对网络应用进行封堵、允许、以及流量控制管理。

　　网康NGFW能够对各种网络应用进行精细粒度的管理控制，比如可以通过阻塞某一种具体的网络电视、流媒体来减少带宽资源浪费，保障员工工作的效率等。此外，对于一些多协议多用途的应用（如IM），NGFW可以精确识别子协议，将更多细节纳入策略框架中。例如：允许通过QQ聊天与文件传输进行产品技术支持，且保障QQ远程协助的带宽，但禁止玩QQ游戏，禁止欣赏音乐视频等等。

2.3应用识别和控制是下一代防火墙的核心要素

　　用户希望通过防火墙保护网络安全，因此，防火墙的安全防御功能是非常重要的。下一代防火墙具备基于特征识别的入侵防御系统，同时还可以支持集成技术更先进的威胁检测功能。但是，现在部署了入侵防御系统的公司数不胜数，而网络攻击事件还是屡见不鲜，究其原因就是这些防御系统都是治标不治本。木马和病毒千变万化，只是通过特征识别很难完全检测出隐藏在应用中的威胁。只有从根本上禁止可能携带威胁的应用或应用子功能，才能有效地防止威胁的渗透。

　　比如，企业需要开启QQ聊天功能，以方便员工与客户沟通，但要禁止QQ文件传输功能，以防机密文件泄露或黑客传播病毒。下一代防火墙必须要做到识别QQ应用，并能够管理其细化的功能，如文件传输、远程协助等，才能更好地协助用户控制应用。

　　下一代防火墙将应用识别和控制深度融合，不仅访问控制列表是基于应用及其细化功能的，入侵防护和病毒检测也是基于应用的。下一代防火墙对应用的识别和控制与第一代状态检测防火墙相比有如下区别：

　　1.  应用识别功能永久开启。

　　每个应用的识别功能都是默认打开的，用户不需要开启某些模块来实现对某个应用的识别。应用识别功能是固化在下一代防火墙中的，这也是下一代防火墙正常工作的基础。

　　2.  应用识别永远是第一项任务。

　　下一代防火墙默认禁止所有流量通过，用户需要通过配置哪些应用流量可以通过防火墙来保证网络的安全。因此，应用识别永远是下一代防火墙的领军项任务，只有准确识别了应用，才可以保证策略的正确执行。

　　3.  总是识别所有流量。

　　不像入侵防御和病毒检测功能只识别和检测部分应用，下一代防火墙的应用识别默认是对所有流量都开启的。不管是企业应用、个人应用还是网络协议，下一代防火墙默认都会进行识别，而不需要对某些流量做筛选。

　　4.  总是识别所有端口。

　　下一代防火墙的应用识别面向所有端口，应用识别不依赖端口。不管应用是否会通过端口跳变来逃逸识别，下一代防火墙都能对这些应用进行很好的识别和控制。

　　5.  总能识别应用在不同系统的所有版本。

　　不管用户使用了什么操作系统，也不管用户使用了应用的哪个版本，下一代防火墙都能够对这些应用进行识别和管理。也就是说，应用的特征包含了不同操作系统和不同版本的共性。

　　6.  采用了多种识别手段。

　　与入侵防御系统只基于特征识别的方式不同，下一代防火墙采用了多种应用识别手段，并且默认开启，防火墙会选择较适当的技术对各种应用进行深入的识别。

　　综上，对应用的深度识别和管控才是下一代防火墙的核心，也是与领军代状态检测防火墙较大的区别。

3. 网康下一代防火墙应用控制配置指导

3.1网康下一代防火墙应用的多种维度

　　网康下一代防火墙为每一种应用从类别、子类别、技术、风险、特性等层面赋予了多维度的属性。除了应用名称以外，用户还可以详细了解每种应用采用的技术、是否使用广泛、消耗带宽、存在漏洞等，并通过对不同维度的选择筛选出符合要求的应用。如下图自定义应用对象功能，可以任意筛选符合要求的应用。

 

3.2通过应用黑白名单降低安全风险

　　首先建议企业能够根据需要按照白名单方式配置安全策略，并根据下面的原则来建立：

• 企业内都使用了哪些应用和协议？
• 确定哪些应用是企业商业目的，并且是哪些员工必须使用的？
• 哪些网络应用仅仅是为了员工个人需要使用的，什么时间使用比较合适等等？

　　然后，通过白名单方式控制从内网到外网的流量，防火墙的默认禁止策略防止企业不需要的且高风险应用或流量访问外网，不仅大大降低了僵尸网络的传播途径，同时也减少了僵尸网络利用一些未知端口或应用进行逃逸向外连接通信。

　　如下图为白名单的举例：

　　如果企业只能采用黑名单的方式配置安全策略，需要根据以下的原则进行建立：

• 禁止网络使用一些不好的应用，比如P2P下载和代理应用等。
• 禁止一些应用内具有高风险的功能或动作，比如文件传输、远程桌面、隧道能力等，拿SSH应用来说，我们可以放开其远程连接调试，但是需要禁止其传输文件的能力和动作，来避免数据泄露或者被黑客利用SSH协议传送恶意文件进入内网。

　　如下图为黑名单方式的举例：

　　对于企业网络管理员采用黑名单的配置方式，还需要经常利用下一代防火墙产品多关注网络中高风险应用和未知应用，尤其是未知应用需要多关注其源和去往的目的，而对于分析和排查是好的应用，可以通过自定义应用方法，将其免除掉以后再排查。而对于发现高风险应用或者某些未知应用对于企业安全会造成风险，可以通过应用控制安全策略将其禁止掉。