互聯(lián)網的普及，云計算的浪潮，我們越來越離不開網絡環(huán)境。這種依賴，讓網絡犯罪分子們看到了巨大的機會，有針對性的攻擊越來越多，網絡安全形勢嚴峻。

其中最為嚴重的是WEB應用安全問題?，F(xiàn)在的攻擊超過75%甚至80%以上都是針對WEB應用的。黑客一般要攻擊一個網站，目的不再是剛開始的炫耀，而是為了獲取信息、獲取利益，這種攻擊行為通常是來無影、去無蹤的。最好的實例就是近日的索尼被黑事件，影響之嚴重，我們有目共睹。

如何更好的實現(xiàn)網絡安全已迫在眉睫。目前，防火墻仍是很多企業(yè)最重要的安全設備之一。但隨著新型威脅造成的危害日益嚴重，傳統(tǒng)防火墻越來越力不從心，下一代防火墻順勢而來。

很多廠商都提出了各自下一代防火墻的概念，概念的不統(tǒng)一讓我們對下一代防火墻充滿疑惑，什么才是下一代防火墻？下一代防火墻究竟是干什么的？它比傳統(tǒng)防火墻強在哪里？

前段時間，編者參加了梭子魚2011年度戰(zhàn)略新品發(fā)布會，會上推出了一款下一代防火墻，并就梭子魚下一代防火墻概念進行了講解。對于其中一些解釋，編者認為值得借鑒。

梭子魚技術總監(jiān)谷新表示，“傳統(tǒng)防火墻在設計之初就帶有一個缺陷，可能在幾年之前沒什么問題，但是現(xiàn)在，這種缺陷越來越暴露出來。三大本質缺陷：第一是安全方面的缺陷，傳統(tǒng)防火墻是控制三層，就是OSL的協(xié)議模型里，對應用層沒辦法進行控制和識別，它不知道到底是哪一種應用通過了防火墻，所以也沒有辦法防御。第二個缺陷，是流控方面的缺陷，如果你只有一條鏈路，但是你不同的應用在用不同帶寬的時候，重要的應用怎么提取出來，在這個方面?zhèn)鹘y(tǒng)防火墻是沒有辦法做到的。”

還有一個缺陷是運維管理的缺陷?？赡芤慌_、兩臺沒關系，但是當你的公司遍布全國，甚至全球有很多店，傳統(tǒng)的防火墻沒有辦法去控制，它沒有通過的策略管理。這就導致你部署的時候可能要花費大量的人力，在維護的階段，也同樣要花大量的人力，”他補充道。

傳統(tǒng)防火墻的缺陷通常都能理解，那么可不可以部署一臺RPS，或者部署其他的來改善，或者可不可以用UTM？

“到底是改良還是改革？改革就是要更新?lián)Q代，改良就是修修補補。下一代是一個革新的東西，我們這里說革新，不是要改良，改良是解決不了更多問題的。”谷新說道，他舉了個例子，“手機經歷到現(xiàn)在已經是第三代了，第一代是大哥大，第二代是沒有彩屏的，只能有簡單的電話和短消息功能。當我們用這個手機的時候，很多人要拍照了，我這個手機不能拍照，那我就要買一臺照相機，你可能還要聽音樂、看電影，再買一臺MP3或者MP4。但是當機型發(fā)展到三代的時候，很多人就用這種手機了，比如iPhone：這種手機具備前面所說的三種功能，除了這些功能之外，iPhone還有很多其他功能，遠遠不只前面這三種。”

一個大哥大加上一個相機，再加上一個MP4小于一臺iPhone。

這個就是UTM和下一代防火墻的區(qū)別，下一代防火墻，不僅僅是UTM，很多東西UTM實現(xiàn)不了，所以必須要改革，必須要革新，要更新?lián)Q代，才能滿足現(xiàn)代網絡發(fā)展的需要。”谷新這樣表示道。

梭子魚下一代防火墻采用的是一個單引擎的技術。什么叫單引擎呢？就是當數(shù)據(jù)包過來以后，要把它打開，只要打開一次，不僅僅是端口要訪問，應用要訪問，所有該控制的模塊都要來進行訪問，一次性就完成了，不需要采用串聯(lián)的方式。這是單引擎的工作模式，是一個本質的區(qū)別。UTM要組合很多功能，它的工作模式是，通過防火墻過了一關，再過IPS，IPS過了，可能過WEB安全網關，是一個串聯(lián)的形式，要一關一關的過，所以效率很低，因此UTM的性能很差。

NG防火墻會在未來的一段時間替代掉所有的網絡防火墻，這是趨勢。它自身有個應用安全的優(yōu)勢，這個產品或者這一類的產品會成為市場主流。NG防火墻最大的一個貢獻在于，原來網絡防火墻更多的給用戶的是一個物理感覺，端口，IP地址，非專業(yè)人士還真不知道這是什么。”梭子魚總經理何平表示，“但是我們每個用戶應該知道自己的應用，QQ我知道，郵件我知道，我在公司里什么位置也知道，我是網管員還是部門經理，還是總經理，所以可以這么講，大家會發(fā)現(xiàn)進入Windows，不同的帳號登錄，配置是不一樣的。NG防火墻就相當于未來的一個操作窗口，所以NG防火墻應該是未來防火墻的一個主流，它實際上是從DOS系統(tǒng)升級到Windows系統(tǒng)。”

何平預言，“不出三年，大家會看到所有的傳統(tǒng)防火墻廠商，都會提出他們也是NG防火墻，他們也要進行產品上的升級。傳統(tǒng)防火墻廠商會增加應用層，應用層導向的廠商會加入網絡層，最終會走向NG防火墻。”

這個預言或許已經開始應驗，我們現(xiàn)在看到一些廠商都推出了下一代防火墻產品。

下一代防火墻性能如何？是否能實現(xiàn)最初的目標？在不斷的發(fā)展趨勢中，讓我們拭目以待！

【編輯推薦】

1. 企業(yè)如何選購和使用UTM設備的分析
2. 聚焦下一代防火墻 梭子魚全面布局“云安全”
3. SonicWALL推出廣域網加速產品 擴展下一代防火墻產品線
4. “下一代防火墻”的未來發(fā)展趨勢