下一代防火墻從字面上來看，它不像“IPS入侵防御系統(tǒng)”、“AV防病毒”、“上網(wǎng)行為管理”直觀表現(xiàn)產(chǎn)品形態(tài)，而是在傳統(tǒng)防火墻基礎之上的概念升級。在山石網(wǎng)科技術(shù)市場經(jīng)理任磊看來，下一代防火墻代表著用戶對防火墻產(chǎn)品提出的更高要求，他們期待防火墻能夠脫胎換骨，無論什么名稱，能夠滿足當前用戶所有關(guān)注點和解決傳統(tǒng)防火墻問題的特征，都應該納入下一代防火墻的概念范疇內(nèi)。

傳統(tǒng)防火墻的訪問控制是基于IP地址和端口方式實現(xiàn)的，隨著網(wǎng)絡應用的不斷發(fā)展，用戶對網(wǎng)絡控制也提出了更高的要求：在互聯(lián)網(wǎng)接入場景中，大量帶寬占用率的背后到底是什么應用、什么人、什么行為在吞噬帶寬，如何去管理、限制這些動態(tài)端口、動態(tài)IP的網(wǎng)絡行為?如何對訪問網(wǎng)頁中夾雜的病毒、釣魚站點、敏感信息、內(nèi)嵌游戲、內(nèi)嵌視頻、涉黃地址進行控制?在數(shù)據(jù)中心場景中，如何在網(wǎng)絡高突發(fā)、高并發(fā)、網(wǎng)絡及應用多重威脅的環(huán)境中高效率、高可靠的工作?傳統(tǒng)防火墻及UTM在多個功能同時開啟時性能急劇下降所帶來的高時延、丟包甚至宕機導致業(yè)務中斷，使企業(yè)用戶非常迫切的期望通過下一代安全設備來解決這些問題。

單一安全設備暴露出采購成本高、維護工作量大、難以統(tǒng)一管理、多個單點故障和增加網(wǎng)絡時延等諸多問題。UTM的出現(xiàn)，降低了用戶采購、維護成本，簡化了管理工作，由此贏得了大部分中小企業(yè)用戶。但由于其設備內(nèi)部仍然串行的工作模式使效率上難以滿足中大型網(wǎng)絡客戶需求，同時專業(yè)性方面也有待加強。下一代防火墻比起UTM來最大的變化就是實現(xiàn)在一次拆包中的并行處理，解決了串行帶來的諸多問題，同時多個功能無縫整合到一起后更加便于用戶對整個網(wǎng)絡的管理，使得競爭力有了很大提升，這種提升使很多原本無法采用多功能于一體設備的環(huán)境變得可用，從這個角度看，這種趨勢將逐漸由中小企業(yè)不斷向更高端、更大網(wǎng)絡環(huán)境的用戶延伸。

對于最常見的網(wǎng)絡層入侵，NGFW所具備的更高每秒新建會話能力在相同軟件算法的情況下可以提供更強壯的抗攻擊能力，比如Hillstone山石網(wǎng)科SG系列安全網(wǎng)關(guān)，其每秒新建會話數(shù)是傳統(tǒng)設備的5~10倍，也就意味著在大多數(shù)環(huán)境下攻擊發(fā)起者要付出多幾倍的攻擊量才有可能對安全設備造成威脅;對于應用層攻擊，NGFW真正集成IPS后在一次拆包就可以實現(xiàn)對入侵行為的識別、動作和記錄，這種無縫對接保證了對網(wǎng)絡入侵行為出現(xiàn)時的時效性、準確性和高處理性能。

同樣是企業(yè)用戶，不同應用場景下對安全設備的要求是不盡相同的。比如企業(yè)的IDC數(shù)據(jù)中心，最需要防火墻提供的特性是抗攻擊能力強、高可靠穩(wěn)定性;企業(yè)的內(nèi)網(wǎng)，部門之間、區(qū)域之間的隔離，最需要防火墻提供的特性是千兆甚至萬兆內(nèi)網(wǎng)環(huán)境下的安全管控;而對于幾乎每個企業(yè)都有的互聯(lián)網(wǎng)接入環(huán)境，為了在網(wǎng)絡邊界處建立穩(wěn)固、有效的安全防御層，最需要防火墻提供的特征是綜合安全防護能力、應用管控、高性能、良好的擴展等，而這正是下一代防火墻最大的市場。

下一代防火墻代表著防火墻產(chǎn)品發(fā)展的一種趨勢，在數(shù)據(jù)處理模式和效率方面有質(zhì)的提升，這種提升是為了滿足網(wǎng)絡發(fā)展的需求，這樣的話也就理應成為未來用戶解決網(wǎng)絡安全問題的主流選擇，而隨著云計算環(huán)境下安全的需求和虛擬化技術(shù)的不斷普及，在安全方面針對應用的高性能深層防護將出現(xiàn)井噴性需求，市場潛力是巨大的。

【編輯推薦】

1. NGFW架構(gòu)似樓宇 功能項只需添磚加瓦
2. 飛魚星推出VR470G全千兆多WAN防火墻路由器
3. 采用IPv6協(xié)議 看下一代互聯(lián)網(wǎng)的魔獸世界
4. 《走出Web應用防火墻認識誤區(qū)》系列之五
5. 防火墻路由器兩種設備的綜合比較