Gartner報(bào)告顯示，從2005年開(kāi)始，全球防火墻市場(chǎng)已開(kāi)始呈逐年遞減趨勢(shì)。市場(chǎng)的增長(zhǎng)源自用戶(hù)的需求，而衰落，正恰好說(shuō)明用戶(hù)的需求在發(fā)生改變。為應(yīng)對(duì)當(dāng)前與未來(lái)的網(wǎng)絡(luò)安全威脅，Gartner 認(rèn)為傳統(tǒng)防火墻必須要升級(jí)為“下一代防火墻”，并預(yù)言，到2014年，全球35%的企業(yè)將會(huì)全面部署下一代防火墻，并且它會(huì)集成入侵防護(hù)、應(yīng)用可視性和控制功能。

防火墻是一類(lèi)防范措施的總稱(chēng)，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪(fǎng)用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全管理。

傳統(tǒng)防火墻可以分為四種類(lèi)型：包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)、代理服務(wù)器和狀態(tài)檢測(cè)?？傮w的功能是：過(guò)濾掉不安全服務(wù)、非法用戶(hù)和控制對(duì)特殊站點(diǎn)的訪(fǎng)問(wèn)、提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。

但由于互連網(wǎng)的開(kāi)放性，有許多防范功能的防火墻也有一些防范不到的地方：

1、防火墻不能防范不經(jīng)由防火墻的攻擊。例如，如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號(hào)，一些用戶(hù)可以形成與Internet的直接的連接，從而繞過(guò)防火墻，造成一個(gè)潛在的后門(mén)攻擊渠道。

2、防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺(tái)主機(jī)上裝反病毒軟件。

3、防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。

因此，防火墻只是一種整體安全防范政策的一部分。這種安全政策必須包括公開(kāi)的、以便用戶(hù)知道自身責(zé)任的安全準(zhǔn)則、職員培訓(xùn)計(jì)劃以及與網(wǎng)絡(luò)訪(fǎng)問(wèn)、當(dāng)?shù)睾瓦h(yuǎn)程用戶(hù)認(rèn)證、撥出撥入呼叫、磁盤(pán)和數(shù)據(jù)加密以及病毒防護(hù)的有關(guān)政策。

雖然下一代防火墻目前沒(méi)有一個(gè)明確的定義，但是不并妨礙由市場(chǎng)需求推動(dòng)技術(shù)產(chǎn)品的發(fā)展。梭子魚(yú)網(wǎng)絡(luò)有限公司在Gartner的基礎(chǔ)上對(duì)下一代防火墻做了一個(gè)更為明確的定義，即是集成了虛擬化軟件和硬件架構(gòu)的智能網(wǎng)絡(luò)平臺(tái)，可對(duì)各種流量實(shí)施深層探測(cè)并阻止各類(lèi)攻擊。下一代防火墻需具備下列最低屬性：

◆支持在線(xiàn)BITW(線(xiàn)纜中的塊)配置，同時(shí)不會(huì)干擾網(wǎng)絡(luò)運(yùn)行。

◆可作為網(wǎng)絡(luò)流量檢測(cè)與網(wǎng)絡(luò)安全策略執(zhí)行的平臺(tái)，并具有下列最低特性：

1)標(biāo)準(zhǔn)的第一代防火墻功能：具有數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及VPN功能等。

2)集成式而非托管式網(wǎng)絡(luò)入侵防御：支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠(yuǎn)高于部件的疊加，如：提供推薦防火墻規(guī)則，以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明，在下一代防火墻中，互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺(tái)制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起，如：根據(jù)針對(duì)注入惡意軟件網(wǎng)站的IPS檢測(cè)向防火墻提供推薦阻止的地址。

3)業(yè)務(wù)識(shí)別與全棧可視性：采用非端口與協(xié)議vs僅端口、協(xié)議與服務(wù)的方式，識(shí)別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。

4)超級(jí)智能的防火墻: 可收集防火墻外的各類(lèi)信息，用于改進(jìn)阻止決策，或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來(lái)強(qiáng)化根據(jù)用戶(hù)身份實(shí)施的阻止或根據(jù)地址編制黑名單與白名單。

傳統(tǒng)防火墻和下一代防火墻的對(duì)比

現(xiàn)在，許多防火墻與IPS供應(yīng)商都已升級(jí)了其產(chǎn)品，以提供業(yè)務(wù)識(shí)別與部分下一代防火墻特性，且有許多新興公司都十分關(guān)注下一代防火墻功能。大型企業(yè)都將隨著正常的防火墻與IPS更新循環(huán)的到來(lái)逐漸采用下一代防火墻代替其現(xiàn)有的防火墻，或因帶寬需求的增高或遭受了攻擊而進(jìn)行防火墻升級(jí)。

Gartner認(rèn)為隨著威脅情況的變化以及業(yè)務(wù)與IT程序的改變都促使網(wǎng)絡(luò)安全經(jīng)理在其下一輪防火墻/IPS更新循環(huán)中尋求具有下一代防火墻功能的產(chǎn)品。而下一代防火墻的供應(yīng)商們成功占有市場(chǎng)的關(guān)鍵則在于需要證明第一代防火墻與IPS特性既可與當(dāng)前的第一代功能相匹配，又能同時(shí)兼具下一代防火墻功能，或具有一定價(jià)格優(yōu)勢(shì)。

Gartner認(rèn)為目前僅有不到1%的互聯(lián)網(wǎng)連接采用了下一代防火墻保護(hù)。因此，有理由相信到2014年年末使用這一產(chǎn)品進(jìn)行保護(hù)的比例將上升至35%，同時(shí)，其中將有60%都為重新購(gòu)買(mǎi)下一代防火墻。

更多下一代防火墻咨詢(xún)，可登錄梭子魚(yú)官方主頁(yè)：www.barracudanetworks.com.cn