對(duì)于防火墻，大家并不陌生，它與防病毒、入侵檢測(cè)系統(tǒng)一起被稱為安全產(chǎn)品的"老三樣"，在安全防護(hù)的過(guò)程中，幫我們擋住了無(wú)數(shù)的攻擊。然而，在應(yīng)用日漸復(fù)雜、威脅愈演愈烈的今天，傳統(tǒng)的防火墻能否依然堅(jiān)固？呼聲越來(lái)越高的"下一代防火墻"是否能夠帶給我們新的驚喜？市場(chǎng)對(duì)此眾說(shuō)紛紜。

傳統(tǒng)防火墻尚能飯否？

早在設(shè)計(jì)之初，傳統(tǒng)防火墻其實(shí)就存在明顯缺陷，只是在幾年前沒(méi)有明顯地表現(xiàn)出來(lái)，但在應(yīng)用日漸豐富的今天卻表現(xiàn)得越發(fā)明顯：首先是安全方面的缺陷。傳統(tǒng)防火墻無(wú)法對(duì)應(yīng)用層進(jìn)行控制和識(shí)別，無(wú)法確定是哪種應(yīng)用通過(guò)了防火墻，自然就談不上對(duì)各類網(wǎng)絡(luò)威脅進(jìn)行有效防御了。

其次是流控方面的缺陷。在用戶只有一條鏈路時(shí)，當(dāng)不同的應(yīng)用在使用不同的帶寬時(shí)，重要的應(yīng)用如何識(shí)別并進(jìn)行保障？這是傳統(tǒng)防火墻無(wú)法兼顧的。第三就是運(yùn)維管理方面的缺陷。尤其是當(dāng)公司的分支機(jī)構(gòu)遍布全國(guó)時(shí)，因?yàn)闆](méi)有完善的策略管理，無(wú)論是部署還是管理傳統(tǒng)的防火墻，都需要消耗大量的人力和物力，最終導(dǎo)致管理和維護(hù)成本居高不下。

"裱糊匠"的縫補(bǔ)方案不可取

很多人都會(huì)想，既然傳統(tǒng)防火墻有這么多缺陷，那可不可以部署一臺(tái)IPS，或者其他安全設(shè)備，甚至用UTM來(lái)替代？事實(shí)上，改良雖然可以暫時(shí)彌補(bǔ)一些缺陷，但所做的畢竟是"修修補(bǔ)補(bǔ)"的裱糊匠工作，是不可能從根本上解決問(wèn)題的。此外這種做法還會(huì)帶來(lái)其他的安全隱患，可謂既不治標(biāo)又不治本。

因此，我們必須要改革，將防火墻進(jìn)行更新?lián)Q代，以滿足現(xiàn)代網(wǎng)絡(luò)發(fā)展的需要，這也是"下一代防火墻"產(chǎn)品出現(xiàn)的根本?因。那么，下一代的防火墻要增加哪些內(nèi)容呢？首先，應(yīng)該能識(shí)別出某個(gè)行為是視頻還是游戲，要做到對(duì)應(yīng)用層的識(shí)別，識(shí)別之后還要對(duì)應(yīng)用層能進(jìn)行控制。其次，還要做到基于用戶的識(shí)別與控制，包括對(duì)用戶當(dāng)前的環(huán)境、使用的電腦或操作系統(tǒng)、是否感染病毒等，一旦違反安全規(guī)范就拒絕訪問(wèn)，以免感染整個(gè)企業(yè)網(wǎng)絡(luò)。

Firewall＠the Speed of Cloud

不過(guò)，梭子魚(yú)認(rèn)為做到這些還不夠，因?yàn)閭鹘y(tǒng)防火墻在運(yùn)維管理方面還存在缺陷，因此需要對(duì)廣域網(wǎng)進(jìn)行分析和優(yōu)化。例如，能夠支持路由，可以做到對(duì)帶寬的優(yōu)化和控制，可以實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)以便維護(hù)，并具備足夠的擴(kuò)展性，還能夠進(jìn)行集中管理。這樣的下一代防火墻，才是真正的革新,才能在高速的云計(jì)算時(shí)代為企業(yè)網(wǎng)絡(luò)應(yīng)用安全覓得一席之地。

梭子魚(yú)推出的下一代防火墻NG Firewall是一款安全、低成本、可集中性管理的私有安全云的防護(hù)產(chǎn)品，具備傳統(tǒng)防火墻所沒(méi)有的智能化流量管理、帶寬優(yōu)化和集中管理能力。該產(chǎn)品除了使用狀態(tài)包過(guò)濾技術(shù)之外，還提供七層的應(yīng)用控制技術(shù)，可以對(duì)應(yīng)用層的業(yè)務(wù)加以識(shí)別、過(guò)濾和控制。

需要強(qiáng)調(diào)的是，梭子魚(yú)的下一代防火墻在集中管理上也能滿足用戶提出的苛刻要求。舉個(gè)簡(jiǎn)單的實(shí)例，德國(guó)郵政銀行部署了超過(guò)2500臺(tái)梭子魚(yú)下一代防火墻，但管理這些防火墻卻僅僅只有三名網(wǎng)絡(luò)工程師，通過(guò)集中化配置、政策發(fā)布和報(bào)表反饋，工程師在總部就能進(jìn)行WAN接入優(yōu)化，加強(qiáng)了點(diǎn)對(duì)點(diǎn)流量管理性。

作為傳統(tǒng)防火墻的技術(shù)演進(jìn)，梭子魚(yú)下一代防火墻可以說(shuō)是一種七層的防火墻，它不同于UTM僅僅是一種功能的簡(jiǎn)單拼湊，而是多層防御技術(shù)的有機(jī)結(jié)合體。