第一代防火墻的日子屈指可數(shù)了，因?yàn)槠髽I(yè)開始對(duì)這些網(wǎng)絡(luò)安全設(shè)備的需求更多而不僅僅是標(biāo)準(zhǔn)端口和協(xié)議保護(hù)。

許多廠商和分析師談?wù)摰南乱淮阑饓?，設(shè)備都集成了傳統(tǒng)防火墻性能以及其他網(wǎng)絡(luò)安全性能，特別是應(yīng)用層入侵防御系統(tǒng)（IPS）功能。

在最近的研究報(bào)告中，Gartner的分析師JohnPescatore和GregYoung估計(jì)，目前所有企業(yè)互聯(lián)網(wǎng)連接中的1%是被下一代防火墻保護(hù)。他們認(rèn)為，到2014年，這個(gè)比例將上升到35%，其中所有新防火墻銷售的60%都會(huì)是下一代產(chǎn)品。

定義下一代防火墻

許多廠商吹噓他們的防火墻是下一代產(chǎn)品，但并不是所有的下一代防火墻都是一樣的。該技術(shù)的定義有所不同，但大多數(shù)專家認(rèn)為，在一個(gè)單一的設(shè)備中，多個(gè)網(wǎng)絡(luò)安全功能的深層整合是必要的。

ForresterResearch的高級(jí)分析師JohnKindervag說(shuō)，他將下一代防火墻視為統(tǒng)一威脅管理（UTM）。

下一代防火墻是網(wǎng)關(guān)設(shè)備，在決定是否允許通過一個(gè)端口時(shí)，它查看的不僅僅是第三層結(jié)構(gòu)的包。它關(guān)注第三層至第七層并獲取應(yīng)用層可以理解的數(shù)據(jù)包，這使得它能夠做出許多更復(fù)雜的決定。把這個(gè)決定做成功的關(guān)鍵是在于查看數(shù)據(jù)包一次，而不是將它從一個(gè)設(shè)備的功能傳遞到另一個(gè)。

“許多產(chǎn)品必須在防火墻打開數(shù)據(jù)包。如果數(shù)據(jù)包允許，它將重組包并將其傳遞到IPS，那么它的查看是在第七層而不是第三層，”Kindervag說(shuō)?！八羞@些我們遇到的技術(shù)問題中，下一代防火墻模糊了UTM、防火墻和IPS之間的區(qū)別。它可以在一個(gè)簡(jiǎn)單的CPU，在一個(gè)時(shí)鐘周期，單一路徑或流內(nèi)完成，所以有較低的時(shí)延。這具有成本效益，并且可能會(huì)逐漸取代多臺(tái)設(shè)備。它擁有應(yīng)用意識(shí)和用戶身份意識(shí)，因此它可以提供更多的威脅信息預(yù)報(bào)?！?/P>

下一代防火墻可以整合網(wǎng)絡(luò)安全操作

網(wǎng)絡(luò)安全設(shè)備整合是JohnShaffer決定從Juniper網(wǎng)絡(luò)防火墻變更為PaloAlto網(wǎng)絡(luò)防火墻的重要因素。Greenhill和Company合資財(cái)務(wù)咨詢公司的全球系統(tǒng)和技術(shù)總監(jiān)Shaffer說(shuō)，他一向喜歡Juniper的防火墻，因?yàn)樗麄兊囊子眯院蚔PN功能。但是，Juniper吹捧的作為下一代的IPS功能對(duì)他來(lái)說(shuō)還不夠穩(wěn)固。

“我一直在尋找來(lái)自不同廠商的不同工具以對(duì)付惡意軟件和間諜程序，這可能是擁有針對(duì)他們特定模塊的任何供應(yīng)商，”Shaffer說(shuō)?！癟ippingPoint有它的模塊，BlueCoat有它的模塊。所以你需要擁有所有這些不同的模塊并分開管理。這會(huì)變得有一些復(fù)雜。我們所關(guān)注的是能夠阻止郵件。如何阻止它，從遵守的角度，還是從進(jìn)入公司的角度？標(biāo)準(zhǔn)防火墻不這樣做，因此你需要些別的東西?！?/P>

“為像我們一樣擁有相當(dāng)小的IT部門【少于10名工作人員】，找一個(gè)可以將那些功能整合到一個(gè)單一單元的供應(yīng)商，實(shí)在是很大的問題，”Shaffer繼續(xù)說(shuō)，“因?yàn)橛写罅康墓ぷ餍枰３诌@些東西工作和穩(wěn)定?！?/P>

他決定在他的網(wǎng)絡(luò)部署PaloAlto公司的防火墻，因?yàn)樵摴咎峁㊣PS功能和應(yīng)用可見性。他說(shuō)，其實(shí)市場(chǎng)上也存在一些獨(dú)立的IPS模塊，他們可能會(huì)有比PaloAlto防火墻更好的性能，但是這些模塊可能不會(huì)被充分利用，因?yàn)樗馁Y源有限。一個(gè)IT管理員分別管理防火墻，網(wǎng)頁(yè)過濾網(wǎng)關(guān)和IPS模塊，就不會(huì)有足夠時(shí)間優(yōu)化這三個(gè)模塊，但他能最有效的利用PaloAlto的IPS功能，因?yàn)樵谝粋€(gè)模塊中管理IPS和基本防火墻會(huì)更容易。

“PaloAlto的應(yīng)用可見性給你提供了更加深入的了解，有關(guān)什么在運(yùn)行和哪種類型的應(yīng)用程序在運(yùn)行，”Shaffer說(shuō)?！暗悄悴荒?00%保證你不會(huì)使其它的東西通過。如果你有旅游的人，你就不能保證人們不會(huì)從外網(wǎng)獲得一些東西，然后將其帶入（公司網(wǎng)絡(luò)）。我想要不斷盡最大可能的阻止更多威脅，但我認(rèn)為這很微妙。如果你阻止過多，那你需要工作的事情可能就會(huì)被阻止?！?/P>

Kindervag說(shuō)PlaoAlto是市場(chǎng)上比較成功的下一代防火墻供應(yīng)商之一，因?yàn)樗膯?dòng)產(chǎn)品是相對(duì)較新。作為一個(gè)新的供應(yīng)商意味著他不會(huì)有很多的遺留代碼需要處理。它的硬件和軟件是專為下一代功能打造。更多老牌廠商需要處理舊的代碼庫(kù)和舊的硬件架構(gòu)，而且他們也不會(huì)從頭開始研究新產(chǎn)品。

提防下一代防火墻噱頭

一些較為傳統(tǒng)的防火墻廠商正在逐步走向下一代設(shè)備，Kindervag說(shuō)。

“Juniper網(wǎng)絡(luò)公司，通過移動(dòng)到JunOS，將有機(jī)會(huì)創(chuàng)造一些有意義的變化，”他說(shuō)。“我不知道他們是否仍舊這樣做。他們從ScreenOS到JunOS的過渡……尚未完成。”

在此期間，企業(yè)應(yīng)當(dāng)警惕廠商聲稱他們是生產(chǎn)下一代防火墻。每個(gè)人都有自己的定義，企業(yè)可能會(huì)發(fā)現(xiàn)他們的標(biāo)準(zhǔn)超過了一些供應(yīng)商的。

“我認(rèn)為目前很難通過市場(chǎng)炒作來(lái)降低影響，”Kindervag說(shuō)?！澳阈枰P(guān)注以下事情：查看硬件架構(gòu)。轉(zhuǎn)到下面的發(fā)動(dòng)機(jī)罩，問是否有足夠快的處理器來(lái)幾乎實(shí)時(shí)處理這些所有通過第七層的數(shù)據(jù)包？因?yàn)槲覀儾幌胱屟舆t來(lái)破壞應(yīng)用程序，如VoIP?！?/P>

如果一個(gè)防火墻供應(yīng)商使用的是傳統(tǒng)服務(wù)器風(fēng)格的硬件，他們擁有通用處理器，企業(yè)應(yīng)該懷疑供應(yīng)商能否得到所需的計(jì)算能力以查看來(lái)自多個(gè)層次的數(shù)據(jù)包，并執(zhí)行所需的分析來(lái)完成企業(yè)尋找的所有下一代功能。

“另一件你需要關(guān)注的事是軟件有多簡(jiǎn)練，”Kindervag說(shuō)?！叭绻茈y配置并難以管理，而且似乎是舊式產(chǎn)品，那它很有可能就是舊的。如果你需要做除了屏幕上命令行之外的很多事情，它很有可能是相當(dāng)麻煩的舊代碼，因?yàn)椴粫?huì)有人再創(chuàng)建這種接口的代碼了?！?/P>

【編輯推薦】

1. 下一代防火墻常見問答
2. Gartner報(bào)告 關(guān)于下一代防火墻

【責(zé)任編輯：陳博文 TEL：（010）68476606】