新一代防火牆應用程式控制的問題

新一代防火牆本質上是專為使用者及其應用程式提供所需的可見度和控制需求所設計。

但是為什麼您的應用程式控制報告看起來像這樣？

在最近的文章《有關防火牆的問題》中，我解釋了為什麼對許多網路管理員來說，防火牆已不再是他們可以信任的執法者。在這篇文章中，我的重點在於解釋為什麼今日大部分流經現代防火牆的流量都是未知、無法識別或者是過於普通而無法分類或控制的。

為什麼應用程式控制很重要

多年來，防火牆不斷向前發展，從對外的邊界哨兵轉變為網路守衛，阻擋來自網路內外的威脅。

防止惡意軟體威脅、應用程式弱點帶來的危險、資料外洩和遺失的風險、遵守法規義務以及最佳化網路效能的需求，都推動了防火牆的演變。

為了實現這些目標，新一代防火牆的重心由早期狀態式防火牆的連接埠和通訊協定，提升到 OSI 模型的更高層，以便提供使用者和應用程式的可見度和控制能力。

它們使用深度封包偵測來識別應用程式，並將其與網路上的使用者或主機產生關聯，方便系統管理員可以優先處理 ERP 系統、VoIP 流量或串流媒體上的 CRM 軟體，或是阻擋和識別點對點檔案共用應用程式的使用者。

這種來自防火牆的控制能力能夠成功地識別應用程式，透過尋找流量中的模式 (稱為特徵碼) 來識別出應用程式。部分應用程式會帶著一個類近名稱標籤的特性，使它們的流量易於識別，但大多數應用程式不會，某些甚至會在未經確認下流經防火牆。

許多組織認為有風險的應用程式 (如 BitTorrent 用戶端) 可以透過不斷變更流量模式以及連接網路的方式來欺騙防火牆。其他應用程式則會使用加密或偽裝成其他東西 (如網頁瀏覽器) 來逃避偵測。

當應用程式被更新且流量模式改變，或是應用程式經過自訂，或只是太簡單以至於沒有可以比對的模式時，特徵碼型的偵測也可能失效。

在這種情況時，不僅無法察覺潛在的風險，也可能無法偵測出您的基本業務應用程式 (如 ERP 解決方案或 CRM 軟體)，使它們的流量受到上網與其他不重要或無用的應用程式流量的擠壓。

沒有比對成功，您的防火牆就不知道它面對的是什麼，也無法加以控制。

Sophos 最近對中型企業進行了一項調查，以確認其應用程式流量無法識別和控制的程度。

近 70％的受訪企業採用了具應用程式感知能力的新一代防火牆或 UTM。從受訪者的回報來看，有平均 60％的流量是未知的… 甚至許多企業宣稱他們的應用程式流量中高達 90％是不明的。

如果您擔心這種缺乏可見度的情形對企業安全性、責任或效能造成影響，那麼您並不孤單。

調查還顯示，組織最關注的是擁有高風險的安全弱點、可能不當或非法內容導致的合規性風險、影響生產力或頻寬消耗的應用程式：

新一代防火牆的特徵碼無法幫助您控制這些應用程式，因為它們在大多數情況下根本找不到匹配成功者。流量只會在報告中顯示為 HTTP、HTTPS、TLS、網頁瀏覽和其他一般無用的類別。

幸運的是，我們為這個問題提出了一個相當有效的解決方案。下載我們的白皮書《讓網路保持在掌控之中：為什麼網路系統管理員需要完全的應用程式可見度》了解更多資訊。

(本博文為翻譯本，內容以英文原文為準)