隨著互聯(lián)網(wǎng)應(yīng)用的日益普及，網(wǎng)絡(luò)安全問題已經(jīng)關(guān)系到網(wǎng)絡(luò)應(yīng)用的深入發(fā)展。尤其在當(dāng)前數(shù)據(jù)中心和云計(jì)算的環(huán)境下，用戶的數(shù)據(jù)越來越多，云計(jì)算的環(huán)境越來越開放，這對(duì)傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)提出了新的挑戰(zhàn)，同時(shí)也要求防火墻設(shè)備適應(yīng)云計(jì)算的新功能。開放的環(huán)境需要防火墻能夠識(shí)別網(wǎng)絡(luò)上的各種應(yīng)用和每個(gè)用戶。面對(duì)網(wǎng)絡(luò)的高速發(fā)展，應(yīng)用的不斷增多，用戶需求助力“下一代防火墻（Next Generation Firewall）”發(fā)展熱潮。如今熱潮漸退，人們開始深思和遠(yuǎn)慮，NGFW 與 UTM 未來將如何發(fā)展？企業(yè)在選型下一代防火墻最注重什么？未來到底還需不需要防火墻？

NGFW VS UTM 誰將替代誰？

Gartner統(tǒng)計(jì)表明高達(dá)3/4的網(wǎng)絡(luò)威脅是基于應(yīng)用層而非網(wǎng)絡(luò)層的，而基于網(wǎng)絡(luò)層的傳統(tǒng)防火墻愈發(fā)力不從心。集成多種安全功能的UTM面世已久但效率底下，NGFW的出世能否挑起大梁呢？

目前網(wǎng)絡(luò)上可搜索到的下一代防火墻公司很多，雖然概念不一但總結(jié)起來有以下要素：第一，下一代防火墻可根據(jù)應(yīng)用行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制；第二它涵蓋了傳統(tǒng)防火墻、UTM、IPS的主要功能；第三，具備智能的流量管理控制和策略配合。

相對(duì)于傳統(tǒng)的防火墻，UTM提供的更多的安全功能，但致命缺陷是處理效率低下，特別是在開啟多種掃描功能時(shí)，性能會(huì)極端下降，甚至下降半成以上。因?yàn)閁TM在設(shè)計(jì)之初主要針對(duì)中小型網(wǎng)絡(luò)，理念上是不需要用戶開啟全部功能。這一詬病一直困擾著UTM廠商。對(duì)此UTM生成廠商飛塔公司表示，UTM早已升級(jí)換代，目前的技術(shù)不但可以適應(yīng)中小型網(wǎng)絡(luò)，而且完全可以應(yīng)用在大型網(wǎng)絡(luò)中。梭子魚WAF產(chǎn)品經(jīng)理潘淵向記者介紹說，在功能上，NGFW和UTM是沒有明顯差別，但其天生缺陷是不能獨(dú)立的放在網(wǎng)關(guān)處，它需要部署在防火墻的后方。

雖然UTM存在先天不足，下一代防火墻具備后天優(yōu)勢(shì)，但是UTM的概念已經(jīng)深入客戶，特別是UTM升級(jí)后具備了新功能，包括反病毒、反垃圾郵件、內(nèi)容過濾、防數(shù)據(jù)泄露等，可以說現(xiàn)有UTM產(chǎn)品足以穩(wěn)固了現(xiàn)有的中小企業(yè)用戶，同時(shí)應(yīng)用在大型行業(yè)用戶也不成問題。NGFW與UTM在未來的一段時(shí)間內(nèi)是替代還是并存，這可能取決于用戶的自身需求和投入的選擇。不過根據(jù)IDC對(duì)UTM市場(chǎng)的檢測(cè)顯示，從2009年開始，UTM設(shè)備市場(chǎng)整體呈下滑趨勢(shì)，原因在于市場(chǎng)在不斷分化，生產(chǎn)廠家對(duì)UTM的技術(shù)投入逐年減少或者有其他技術(shù)的替代，尤其NGFW技術(shù)，目前各大廠商力推的下一代防火墻概念，“可以說下一代防火墻產(chǎn)品在吞噬者UTM的市場(chǎng)”，潘淵說道。

對(duì)比IDC對(duì)UTM的檢測(cè)結(jié)果，Gartner預(yù)測(cè)2014年底，NGFW將占有防火墻（以及IPS）市場(chǎng)的60%，可謂發(fā)展勢(shì)頭強(qiáng)勁，各個(gè)安全廠商跟緊步伐不甘落后。目前下一代防火墻市場(chǎng)上SonicWALL、Check Point、juniper、梭子魚、深信服、銳捷網(wǎng)絡(luò)、Palo Alto Networks等網(wǎng)絡(luò)安全廠商紛紛推出產(chǎn)品解決方法，NGWF市場(chǎng)可謂遍地開花，于此同時(shí)飛塔、安暢易、青島思睿仍然堅(jiān)守UTM陣地，穩(wěn)步發(fā)展。不管市場(chǎng)如何變化，有一個(gè)宗旨是不會(huì)變的：用戶只關(guān)心產(chǎn)品能否幫助他們解決新環(huán)境下的安全隱患。相信性能完善、功能齊全、便于管理的網(wǎng)安產(chǎn)品都能受到用戶的青睞。

企業(yè)如何hold住網(wǎng)絡(luò)威脅

傳統(tǒng)的網(wǎng)絡(luò)威脅已經(jīng)改變，新的威脅狡猾地入侵你的網(wǎng)絡(luò)。例如僵尸網(wǎng)絡(luò)和目標(biāo)攻擊發(fā)展多變，時(shí)刻威脅著企業(yè)網(wǎng)絡(luò)。企業(yè)如何Hold住這些網(wǎng)絡(luò)威脅呢？對(duì)于中小企業(yè)來說，由于其網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，安全問題不凸顯，所以需求容易被滿足。NGFW作為Internet安全網(wǎng)關(guān)，在部署和維護(hù)上有優(yōu)勢(shì)顯著，中小企業(yè)可以優(yōu)先選擇適合自己的防火墻產(chǎn)品；對(duì)于大中型企業(yè)來說，隨著正常的防火墻與IPS更新循環(huán)的到來，這些企業(yè)逐步采用下一代防火墻來代替現(xiàn)有的防火墻，或者因遭受攻擊或者為滿足寬度需求而升級(jí)防火墻?？傊?，當(dāng)前企業(yè)開始嘗試重構(gòu)其網(wǎng)絡(luò)防御體系，適時(shí)部署適合自己的下一代防火墻產(chǎn)品。那么企業(yè)重構(gòu)和部署時(shí)，如何選型NGWF呢？

企業(yè)在選型下一代防火墻時(shí)應(yīng)該從自身的需要角度出發(fā)，在提供應(yīng)用識(shí)別、訪問控制，入侵防御等基本功能的基礎(chǔ)上，衡量升級(jí)的及時(shí)性、管理界面的友好度、技術(shù)支持能力是否滿足需求指標(biāo)。潘淵特別強(qiáng)調(diào)，“企業(yè)在選型時(shí)需要考慮的網(wǎng)絡(luò)管理的因素，如果防火墻的數(shù)量較多，例如在大型網(wǎng)絡(luò)的很多區(qū)域或者很多點(diǎn)都部署防火墻設(shè)備，那么每一臺(tái)設(shè)備維護(hù)的成本和可操作性都需要考慮。”目前梭子魚NGWF可以通過中央控制統(tǒng)一管理，無論信息化管理人員身處何地，都可以圖形化的控制網(wǎng)絡(luò)設(shè)備，簡(jiǎn)單直觀而且便捷。此外，SonicWAll表示，易管理性、應(yīng)用智能、控制和可視化以及強(qiáng)大的掃描功能是企業(yè)評(píng)估NGFW的重要尺度。

云計(jì)算代表著防火墻終結(jié)？

隨著越來越多的企業(yè)將很多的信息和很多應(yīng)用程序轉(zhuǎn)移到云計(jì)算，云供應(yīng)商提供的安全水平成為熱門話題。人們現(xiàn)在開始考慮，在未來的幾年或者幾十年后，信息被高度集中在云中，基于防火墻的信息保護(hù)可能是完全沒有必要的。未來到底還需不需要防火墻？NGFW是防火墻的終結(jié)會(huì)被迫退出歷史舞臺(tái)還是會(huì)被超越，再鑄輝煌？

SonicWAll在采訪中表示，因?yàn)槿魏蔚氖虑槎加袃擅嫘?，例如GPS技術(shù)，它能幫助用戶熟悉新環(huán)境，但又可以隨時(shí)泄露位置信息。我們不能怕泄露信息就放棄使用GPS。所以在云計(jì)算背景下，要研究如何使用防火墻技術(shù)，不能因?yàn)榉阑饓夹g(shù)有缺點(diǎn)，就放棄這項(xiàng)技術(shù)。銳捷網(wǎng)絡(luò)產(chǎn)品總監(jiān)楊紅飛認(rèn)為，下一代的安全業(yè)務(wù)平臺(tái)，應(yīng)具備高性能、多業(yè)務(wù)特征，支持通過軟件、硬件方式靈活擴(kuò)展真正做到隨需而動(dòng)。NGWF能否坐上云計(jì)算這班高速列車、抓住機(jī)遇，還需要克服諸多挑戰(zhàn)。潘淵從用戶的角度給出了另外一個(gè)答案：防火墻架設(shè)在本地還是云端，對(duì)用戶來講，變化在于從設(shè)備安全轉(zhuǎn)為服務(wù)安全。只要能夠提供安全防護(hù)，用戶并不關(guān)心網(wǎng)關(guān)架設(shè)在哪里。最重要的是下一代防火墻如何適應(yīng)云計(jì)算的新功能，快速融入云計(jì)算，為用戶提供安全防護(hù)的銅墻鐵壁。

【編輯推薦】

1. 拒絕阿喀琉斯之踵系列——下一代防火墻在行動(dòng)
2. 各種防火墻出擊　企業(yè)安全路在何方？
3. 下一代防火墻贏在“應(yīng)用識(shí)別”
4. Web安全網(wǎng)關(guān)與下一代防火墻 安全市場(chǎng)的兩大寵兒
5. 如何選擇：源代碼審查還是Web應(yīng)用程序防火墻