抓住流量的“DNA”——下一代防火墙与应用识别技术分析

首先，我们必须要关注应用识别的广度和深度。所谓广度，是指支持识别的应用数量，这也是在之前所有厂商PK的重要数字，另外，对于平台化软件的子功能，是否有精确的识别，则是深度的体现。由于目前业界并没有针对应用识别能力的评测标准，不同厂商的应用特征库的数字计量标准也不尽相同，例如有些厂商以应用软件的数量进行统计，有些厂商则以软件的每种功能进行计量。尽管数字是最直观的量化标准，但由于标准上的差异，单纯比对数字则有可能误导用户。

第二，应用识别的响应速度。应用爆炸式增长的环境下，对于新应用以及应用的新版本若无法做到及时的响应和更新，则无异于应用失控。有专家指出，应用识别技术除了技术门槛高以外，在现有技术条件下要维持一个具备快速持续更新能力的代码生产系统则难度更大，这需要长期的投入和积累，绝非一朝一夕可以实现。

第三，应用识别的“地缘”因素。由于语言、习惯的差异，应用软件与地域是紧密相关的，例如汉语国家的用户访问中文网页要远远多于英文网页，中国大陆最流行的即时通信软件是QQ，而美国用户则更习惯于使用MSN。因此，应用识别技术一定要充分的掌握用户的使用习惯，否则的话，即便功能再强大的设备也会显得“水土不服”。

第四，应用识别技术的领先性。应用识别技术前后经历了几代的演进，最早的设备基于IP、端口识别应用，随着端口复用、跳变技术的产生早已失效，随后出现了基于流特征的检测技术（DFI），根据数据流的包长、连接时间等特征识别应用流量，但识别率较低，第三代技术则使用深度包检测（DPI）技术，对数据流量进行拆包检查，识别率大幅提升，但执行效率较低。在应用层出不穷的当前，一个真正优秀的应用识别引擎，既要具备精确的识别能力又要保证高性能，这是一款应用层设备发挥最大效能的基石。

对于下一代防火墙来讲，一旦具备了对人、应用、内容的识别能力，则意味着访问控制能力由原先的五元组扩充至了八元组，控制一个数据包的访问和转发，可基于用户、源IP、目的IP、源端口、目的端口、协议（端口）、应用类型以及数据内容进行更加精细的过滤。同时，对于日益普遍的应用层威胁的防御，同样需要建立在应用识别的基础之上，不识别应用则根本谈不上应用层威胁的防御。当然，下一代防火墙要具备未知威胁的主动防御能力，其实是利用大数据的思想对网络信息进行分析和挖掘，而在数据收集、行为掌握的阶段，同样需要应用识别技术作为支撑。

由此我们看出，应用识别技术之所以是下一代防火墙产品的核心要素，完全是由当前的安全需求所决定的，一款具备优秀应用识别能力的下一代防火墙，将会从新的高度为用户构造出更加安全的网络边界。