【51CTO.com綜合報道】

前世

防火墻自誕生以來，在網(wǎng)絡安全防御系統(tǒng)中就建立了不可替代的地位。防火墻就像城墻，對進出防火墻的一切數(shù)據(jù)包進行檢查，保證合法數(shù)據(jù)包能夠進入網(wǎng)絡訪問合法資源同時防止非法人員通過非法手段進入網(wǎng)絡或干擾網(wǎng)絡的正常運行。隨著時代的變遷，曾經(jīng)如城墻般穩(wěn)固的傳統(tǒng)防火墻已黯然失色，失去了它原有的防御能力。面對網(wǎng)絡的高速發(fā)展、應用不斷增多的時代，逐漸被新的繼任者重新定義了"防火墻"。

我們不禁要問：曾經(jīng)在IP/端口的網(wǎng)絡時代發(fā)揮了巨大作用的"傳統(tǒng)防火墻"為什么會被歷史所淘汰？最主要的原因還在于"對網(wǎng)絡應用快速發(fā)展的3大不適應癥狀"

1.安全不適癥

傳統(tǒng)防火墻基于IP/端口無法對應用層進行識別與控制，無法確定哪些應用經(jīng)過了防火墻。面對應用層的攻擊，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如病毒、蠕蟲、木馬等。

2.管理不適癥

傳統(tǒng)防火墻的網(wǎng)絡訪問控制需要配置大量的策略，并且這些基于IP/端口策略可讀性非常之差，經(jīng)常會造成錯配、漏配的情況，留下的這些隱患，往往給黑客們以可乘之機。

3.維護不適癥

由于防火墻功能上的缺失使得企業(yè)在網(wǎng)絡安全建設的時候針對現(xiàn)有多樣化的攻擊類型采取了打補丁式的設備疊加方案，在一定程度上能彌補防火墻功能單一的缺陷。但在這種環(huán)境中，同一數(shù)據(jù)包經(jīng)過串聯(lián)的各類設備，被重復拆包，重復解析，使整個網(wǎng)絡的效率變得低下，運行速度緩慢。而獨立設備、管理復雜，需要培養(yǎng)熟悉各類設備、各廠商設備的高級管理人員。無法進行統(tǒng)一的安全風險分析，以及無法提供足夠的空間和環(huán)境支持，大大提高了維護成本。

今生

2009年10月Gartner提出"Defining the Next-Generation Firewall(NGFW)"一文，重新定義下一代防火墻，下一代防火墻的概念在業(yè)內(nèi)便得到了普遍的認可。目前僅有不到1%的Internet連接采用NGFW來保護。Gartner認為，到2014年底，這個比例將增加到占安裝量的35%，60%新購買的防火墻將是下一代防火墻(NGFW)。

在這個全新領域，國內(nèi)規(guī)模最大的前沿網(wǎng)絡設備廠商，同時也是全球網(wǎng)絡設備領域發(fā)展最快的廠商之一的"深信服公司"在10年網(wǎng)絡安全技術和6年應用安全技術的沉淀之后，于2011年正式發(fā)布了下一代應用防火墻（NGAF）產(chǎn)品（Next-Generation Applications Firewall）。

它面向應用層設計，能夠識別用戶、應用和內(nèi)容，重新定義了防火墻產(chǎn)品，加速了傳統(tǒng)防火墻解決方案推出歷史舞臺的步伐。

1.更精細的應用層安全策略

深信服下一代應用防火墻（NGAF）產(chǎn)品具備了精確的用戶和應用的識別能力，可以針對每個數(shù)據(jù)包找出相對應的用戶角色和應用的訪問權限，可制定出2-7層一體化的訪問控制策略，從而恢復了對網(wǎng)絡資源的有效管控。

2.更全面的內(nèi)容級安全防護

深信服下一代應用防火墻（NGAF）產(chǎn)品不但具備了傳統(tǒng)應用層設備的防護功能（如: 防掃描、信息隱藏、弱口令保護、漏洞防護、防web攻擊、防止網(wǎng)頁掛馬等），還可以基于應用的內(nèi)容做安全檢查，包括掃描所有應用內(nèi)容，過濾有風險的內(nèi)容，甚至讓用戶自定義哪些內(nèi)容可以進出，哪些內(nèi)容不能進出，從而有效的去除各類安全短板，實現(xiàn)多層次完整的安全防護，同時節(jié)約了投資成本，提高了性價比。

3.更高性能的應用層處理能力

深信服下一代應用防火墻（NGAF）產(chǎn)品采用單次解析架構，結合多核并行處理技術，對數(shù)據(jù)包進行一次拆包、一次解析，極大提高了NGAF的應用層性能，相對于多數(shù)UTM僅有幾百兆到1G的應用層性能來說，NGAF實現(xiàn)10G的應用層吞吐能力更能滿足用戶對高性能場景的需求。