防火墻自誕生以來，在網(wǎng)絡(luò)安全防御系統(tǒng)中就建立了不可替代的地位。作為邊界網(wǎng)絡(luò)安全的第一道關(guān)卡防火墻經(jīng)歷了包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)的技術(shù)革命，通過ACL訪問控制策略、NAT地址轉(zhuǎn)換策略以及抗網(wǎng)絡(luò)攻擊策略有效的阻斷了一切未被明確允許的包通過，保護(hù)了網(wǎng)絡(luò)的安全。防火墻就像故宮的城墻，對(duì)進(jìn)出防火墻的一切數(shù)據(jù)包進(jìn)行檢查，保證合法數(shù)據(jù)包能夠進(jìn)入網(wǎng)絡(luò)訪問合法資源同時(shí)防止非法人員通過非法手段進(jìn)入網(wǎng)絡(luò)或干擾網(wǎng)絡(luò)的正常運(yùn)行。防火墻技術(shù)在當(dāng)時(shí)被堪稱完美！隨著時(shí)代的變遷，故宮的城墻已黯然失色，失去了它原有的防御能力。同樣防火墻在面對(duì)網(wǎng)絡(luò)的高速發(fā)展，應(yīng)用的不斷增多的時(shí)代也失去了它不可替代的地位。自2009年10月Gartner提出"Defining the Next-Generation Firewall"一文，重新定義下一代防火墻，下一代防火墻的概念在業(yè)內(nèi)便得到了普遍的認(rèn)可。深信服也在經(jīng)過10年網(wǎng)絡(luò)安全技術(shù)6年的應(yīng)用安全技術(shù)沉淀之后，于2011年正式發(fā)布深信服"下一代應(yīng)用防火墻"NGAF.

為什么防火墻會(huì)衰退？

防火墻作為一款歷史悠久的經(jīng)典產(chǎn)品，在IP/端口的網(wǎng)絡(luò)時(shí)代，發(fā)揮了巨大的作用：合理的分隔了安全域，有效的阻止了外部的網(wǎng)絡(luò)攻擊。防火墻在設(shè)計(jì)時(shí)的針對(duì)性，在當(dāng)時(shí)顯然是網(wǎng)絡(luò)安全的最佳選擇。但在網(wǎng)絡(luò)應(yīng)用高速發(fā)展，網(wǎng)絡(luò)規(guī)劃復(fù)雜化的今天防火墻的不適應(yīng)性就越發(fā)明顯，從用戶對(duì)網(wǎng)絡(luò)安全建設(shè)的需求來看，傳統(tǒng)防火墻存在以下問題：

1、應(yīng)用安全防護(hù)的問題：傳統(tǒng)防火墻基于IP/端口，無法對(duì)應(yīng)用層進(jìn)行識(shí)別與控制，無法確定哪些應(yīng)用經(jīng)過了防火墻，自然就談不上對(duì)各類威脅進(jìn)行有效防御了。面對(duì)應(yīng)用層的攻擊，防火墻顯得力不從心，無法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，比如病毒、蠕蟲、木馬等。

2、安全管理的問題：傳統(tǒng)防火墻的訪問控制策略對(duì)于大型網(wǎng)絡(luò)來說簡直就是噩夢(mèng)。嚴(yán)格控制網(wǎng)絡(luò)需要配置大量的策略，并且這些基于IP/端口策略可讀性非常之差，經(jīng)常會(huì)造成錯(cuò)配、漏配的情況，留下的這些隱患，往往給黑客們以可乘之機(jī)。

網(wǎng)絡(luò)安全建設(shè)呈現(xiàn)"打補(bǔ)丁式的方案"

由于防火墻功能上的缺失使得企業(yè)在網(wǎng)絡(luò)安全建設(shè)的時(shí)候針對(duì)現(xiàn)有多樣化的攻擊類型采取了打補(bǔ)丁式的設(shè)備疊加方案，形成了"串糖葫蘆"式部署。通常我們看到的網(wǎng)絡(luò)安全規(guī)劃方案的時(shí)候都會(huì)以防火墻+入侵防御系統(tǒng)+網(wǎng)關(guān)殺毒+……的形式。這種方式在一定程度上能彌補(bǔ)防火墻功能單一的缺陷，對(duì)網(wǎng)絡(luò)中存在的各類攻擊形成了似乎全面的防護(hù)。但在這種環(huán)境中，管理人員通常會(huì)遇到如下的困難：

效率低：同一數(shù)據(jù)包經(jīng)過串聯(lián)的各類設(shè)備，被重復(fù)拆包，重復(fù)解析，使整個(gè)網(wǎng)絡(luò)的效率變得低下，運(yùn)行速度變得十分緩慢。

維護(hù)成本高：眾多設(shè)備需要提供足夠的空間和環(huán)境支持，大大提高了維護(hù)成本。

管理復(fù)雜：獨(dú)立設(shè)備、管理復(fù)雜，需要培養(yǎng)熟悉各類設(shè)備、各廠商設(shè)備的高級(jí)管理人員。同時(shí)也無法進(jìn)行統(tǒng)一的安全風(fēng)險(xiǎn)分析

UTM只是曇花一現(xiàn)

2004年IDC推出統(tǒng)一威脅管理UTM的概念。這種設(shè)備的理念是將多個(gè)功能模塊集中如：FW、IPS、AV,聯(lián)合起來達(dá)到統(tǒng)一防護(hù)，集中管理的目的。這無疑給安全建設(shè)者們提供了更新的思路。

事實(shí)證明國內(nèi)市場UTM產(chǎn)品確實(shí)得到用戶認(rèn)可，據(jù)IDC統(tǒng)計(jì)數(shù)據(jù)09年UTM市場增長迅速，但2010年UTM的增長率同比有明顯的下降趨勢(shì)。這是因?yàn)閁TM設(shè)備僅僅將FW、IPS、AV進(jìn)行簡單的整合，傳統(tǒng)防火墻安全與管理上的問題依然存在，比如缺乏對(duì)WEB服務(wù)器的有效防護(hù)等；另外，UTM開啟多個(gè)模塊時(shí)是串行處理機(jī)制，一個(gè)數(shù)據(jù)包先過一個(gè)模塊處理一遍，再重新過另一個(gè)模塊處理一遍，一個(gè)數(shù)據(jù)要經(jīng)過多次拆包，多次分析，性能和效率使得UTM難以令人信服。Gartner認(rèn)為"UTM安全設(shè)備只適合中小型企業(yè)使用，而NGFW才適合員工大于1000的大型企業(yè)使用。"

深信服下一代應(yīng)用防火墻幫您解決

深信服NGAF是面向應(yīng)用層設(shè)計(jì)的，能夠識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整的安全防護(hù)能力的高性能下一代防火墻。

針對(duì)上述問題，深信服NGAF解決了傳統(tǒng)方案無法解決的實(shí)際問題。

更精細(xì)的應(yīng)用層安全策略：NGAF具備了精確的用戶和應(yīng)用的識(shí)別能力，可以針對(duì)每個(gè)數(shù)據(jù)包找出相對(duì)應(yīng)的用戶角色和應(yīng)用的訪問權(quán)限，可制定出2-7層一體化的訪問控制策略，從而恢復(fù)了對(duì)網(wǎng)絡(luò)資源的有效管控。

更全面的內(nèi)容級(jí)安全防護(hù)：NGAF不但具備了傳統(tǒng)應(yīng)用層設(shè)備的防護(hù)功能（如： 防掃描、信息隱藏、弱口令保護(hù)、漏洞防護(hù)、防web攻擊、防止網(wǎng)頁掛馬等），還可以基于應(yīng)用的內(nèi)容做安全檢查，包括掃描所有應(yīng)用內(nèi)容，過濾有風(fēng)險(xiǎn)的內(nèi)容，甚至讓用戶自定義哪些內(nèi)容可以進(jìn)出，哪些內(nèi)容不能進(jìn)出，從而有效的去除各類安全短板，實(shí)現(xiàn)多層次完整的安全防護(hù)，同時(shí)節(jié)約了投資成本，提高了性價(jià)比。

更高性能的應(yīng)用層處理能力：NGAF采用單次解析架構(gòu)，結(jié)合多核并行處理技術(shù)，對(duì)數(shù)據(jù)包進(jìn)行一次拆包、一次解析，極大提高了NGAF的應(yīng)用層性能，相對(duì)于多數(shù)UTM僅有幾百兆到1G的應(yīng)用層性能來說NGAF實(shí)現(xiàn)10G的應(yīng)用層吞吐能力更能滿足用戶對(duì)高性能場景的需求。