下一代防火墻從其推出的安全形勢(shì)來看，一是安全威脅的演進(jìn)，安全威脅日益高級(jí)和復(fù)雜，并具有更高的目的性和獲利性。二是網(wǎng)絡(luò)架構(gòu)的演進(jìn)，數(shù)據(jù)中心帶來大規(guī)模整合和互聯(lián)，云計(jì)算和移動(dòng)計(jì)算環(huán)境讓安全需求變得更為分散和全方位，并且安全將日益作為一種服務(wù)來進(jìn)行提供，第三更加復(fù)雜的終端設(shè)備和用戶應(yīng)用以及大數(shù)據(jù)對(duì)安全規(guī)模和性能要求持續(xù)高速增長(zhǎng)。造成傳統(tǒng)的基于狀態(tài)協(xié)議過濾和有限應(yīng)用感知的安全產(chǎn)品難以有效應(yīng)對(duì)日益高級(jí)和高目的性的應(yīng)用安全威脅，其次單一的防火墻或者IDS等安全產(chǎn)品難以有效整合以提供更好的安全和運(yùn)維特性。最后傳統(tǒng)的防火墻架構(gòu)難以滿足進(jìn)行精細(xì)化應(yīng)用安全檢測(cè)和防御所需的高性能和可擴(kuò)展性。

正如Gartner等機(jī)構(gòu)的觀點(diǎn)，與傳統(tǒng)的網(wǎng)絡(luò)防火墻和UTM產(chǎn)品相比，NGFW的獨(dú)到之處在于以下幾個(gè)方面：

1、 有機(jī)整合的多種安全能力，而不是簡(jiǎn)單拼湊的威脅檢測(cè)防御功能。

2、 應(yīng)用感知和深度可視化。

3、 超越傳統(tǒng)防火墻的智能以利用各種相關(guān)信息實(shí)現(xiàn)更好的阻斷策略。

4、 具備高度可擴(kuò)展性和性能以確保高效靈活的實(shí)現(xiàn)以上特性。

這些特性將幫助企業(yè)提升對(duì)新型安全威脅的應(yīng)對(duì)能力，提高對(duì)傳統(tǒng)安全防護(hù)的效率，降低網(wǎng)絡(luò)和運(yùn)維復(fù)雜度和降低TCO上起到明顯效果。

NGFW需要從架構(gòu)上真正實(shí)現(xiàn)模塊化和軟硬分離，控制和處理的分離，具備非常好的可擴(kuò)展性和高性能，不僅是在軟件特性上可支持模塊化擴(kuò)展，按需購買和ISSU部署，在I/O和安全處理能力上，也應(yīng)具備隨著應(yīng)用安全威脅的增加，不間斷服務(wù)的進(jìn)行在線平滑擴(kuò)容，從而能夠從容應(yīng)對(duì)各種新的應(yīng)用威脅和攻擊類型或者規(guī)模。

像NGFW這種融合產(chǎn)品作為發(fā)展的方向，是適合大多數(shù)企業(yè)的網(wǎng)絡(luò)安全需求的。隨著網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的不斷發(fā)展，針對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的威脅也越來越多，我們不得不使用大量的網(wǎng)絡(luò)安全解決方案來保護(hù)企業(yè)的安全。同時(shí)，新一代基于Web的應(yīng)用和不斷增加的移動(dòng)設(shè)備，也讓網(wǎng)絡(luò)管理員面臨更為嚴(yán)峻的挑戰(zhàn)：在有效管理業(yè)務(wù)流量和數(shù)據(jù)訪問的同時(shí)，還要確保網(wǎng)絡(luò)安全和服務(wù)交付。過去，網(wǎng)絡(luò)管理員只需購買一臺(tái)新設(shè)備，就可以解決一個(gè)安全或網(wǎng)絡(luò)問題。然而，這種做法的后果是：網(wǎng)絡(luò)日益復(fù)雜，管理費(fèi)用超支，同時(shí)整體性能下降。如今的網(wǎng)絡(luò)安全解決方案必須具有正確的架構(gòu)，能夠?yàn)椴粩嘧兓木W(wǎng)絡(luò)環(huán)境提供適當(dāng)?shù)男阅?、?guī)模和安全服務(wù)，使網(wǎng)絡(luò)管理員能夠查看和控制正在網(wǎng)絡(luò)中運(yùn)行的各類應(yīng)用。

企業(yè)部署NGFW，將有效地簡(jiǎn)化傳統(tǒng)安全架構(gòu)并提升其感知應(yīng)用和用戶的能力。但NGFW并不是一個(gè)孤立的元素，更需要整合到整體的安全體系中才能充分發(fā)揮其效果，實(shí)現(xiàn)有效地全面安全防護(hù)。

作為企業(yè)而言，在遷移中需要基于當(dāng)前需求，以及下一步虛擬化，云計(jì)算的應(yīng)用趨勢(shì)來考慮整合安全架構(gòu)的設(shè)計(jì)。首先要選擇滿足相應(yīng)容量，性能和可靠性要求的平臺(tái)，其次要在該平臺(tái)上部署高度集成的NGFW安全服務(wù)，最后還要注意該方案能夠具備方便的，不影響業(yè)務(wù)的添加新的安全服務(wù)和擴(kuò)充新的容量的能力。

【編輯推薦】

1. 競(jìng)速下一代防火墻
2. 誰與爭(zhēng)鋒 論防火墻的軟硬之爭(zhēng)
3. 下一代防火墻相繼登場(chǎng) 防火墻迎來變局?