有了Gartner的新防火墻魔力象限，關(guān)于下一代防火墻的爭(zhēng)論終將結(jié)束。現(xiàn)在，隨著更多的企業(yè)部署了這項(xiàng)新技術(shù)，所有的問題都將迎刃而解。

Gartner的研究結(jié)果表明，基于端口和協(xié)議作出決策的有狀態(tài)防火墻現(xiàn)在已經(jīng)變成一種落后技術(shù)，企業(yè)正在大規(guī)模評(píng)估和安裝下一代防火墻。

新罕布什爾州首都地區(qū)醫(yī)療和協(xié)和醫(yī)院的CTOMarkStarry說：“我認(rèn)為傳統(tǒng)防火墻并沒能防御攻擊公司網(wǎng)絡(luò)的大多數(shù)威脅。每個(gè)月我都會(huì)接到電話通知，告訴我醫(yī)院網(wǎng)絡(luò)感染一些病毒，而他們只使用了一個(gè)有某種IPS（入侵防御系統(tǒng)）的標(biāo)準(zhǔn)防火墻。”

兩年前，Starry將原來的CheckPointSoftware和Juniper防火墻更換為PaloAltoNetworks的下一代防火墻。今年，他發(fā)現(xiàn)新罕布什爾州所有大型醫(yī)院都轉(zhuǎn)而采用PaloAlto的產(chǎn)品。他說：“有一家醫(yī)院曾經(jīng)因?yàn)椴《靖腥径Ｖ範(fàn)I業(yè)三天，現(xiàn)在這家醫(yī)院正在考慮用PaloAlto的產(chǎn)品。”

防火墻魔力象限：下一代防火墻規(guī)則

下一代防火墻，也稱為感知應(yīng)用程序的防火墻，通常也具備有狀態(tài)防火墻傳統(tǒng)的端口和協(xié)議分析功能，但是它們還能夠根據(jù)產(chǎn)生網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用程序進(jìn)行流量檢測(cè)。在最近幾年，Web應(yīng)用程序呈現(xiàn)爆炸性增長，這個(gè)功能也因此變得至關(guān)重要，因?yàn)榇蠖鄶?shù)有狀態(tài)防火墻只能夠識(shí)別80端口的HTTP流量。

多年來，分析公司Gartner一直認(rèn)為下一代防火墻是防火墻行業(yè)的未來，而在它最新發(fā)布的企業(yè)防火墻魔力象限中，它認(rèn)為這個(gè)趨勢(shì)變得比以前更為清晰。Gartner推薦了PaloAlto網(wǎng)絡(luò)公司，這家公司的技術(shù)在過去幾年獲得行業(yè)認(rèn)可，與CheckPointSoftware一起成為市場(chǎng)領(lǐng)跑者。

同時(shí)，作為長期占據(jù)Gartner魔力象限領(lǐng)軍位置的Juniper，仍然位列于傳統(tǒng)的有狀態(tài)防火墻，現(xiàn)在也已經(jīng)落入挑戰(zhàn)者象限，與思科、McAfee和Fortinet處于相同的狀態(tài)。思科的防火墻也只有有限的下一代功能。魔力象限定義的挑戰(zhàn)者，是指那些擁有執(zhí)行解決方案的銷售與支持團(tuán)隊(duì)、但缺乏強(qiáng)有力技術(shù)計(jì)劃的公司。

Gartner公司的研究副總裁GregYoung說：“我們一直在等待防火墻供應(yīng)商進(jìn)入下一代防火墻市場(chǎng)。但是他們繼續(xù)迷信IPS。而這些IPSec的質(zhì)量卻非常差。它們無法與這些獨(dú)立的下一代防火墻競(jìng)爭(zhēng)。這些獨(dú)立產(chǎn)品越來越多，而傳統(tǒng)防火墻供應(yīng)商仍然忽視這部分市場(chǎng)。最終，客戶需求超過了這個(gè)領(lǐng)域所有供應(yīng)商所能夠提供的產(chǎn)品。因此，我們調(diào)整了魔力象限的標(biāo)準(zhǔn)，規(guī)定領(lǐng)導(dǎo)市場(chǎng)的必須是那些擁有下一代防火墻產(chǎn)品的公司。”

Young指出，在他接到Gartner咨詢客戶關(guān)于防火墻的所有咨詢電話中，大多數(shù)是關(guān)于下一代防火墻的。他們或者希望購買這些產(chǎn)品，或者多了解相關(guān)的信息。“我認(rèn)為，幾年前客戶對(duì)下一代防火墻持懷疑態(tài)度是合理的，但是現(xiàn)在市場(chǎng)上已經(jīng)出現(xiàn)了可用產(chǎn)品和大量競(jìng)爭(zhēng)。客戶的想法已經(jīng)開始轉(zhuǎn)變。”

潛在的實(shí)現(xiàn)問題

根據(jù)Gartner公司Young的觀點(diǎn)，下一代防火墻執(zhí)行的應(yīng)用層分析極耗費(fèi)計(jì)算能力，所以企業(yè)在部署這些新型設(shè)備時(shí)必須仔細(xì)斟酌。例如，許多統(tǒng)一威脅管理（UTM）供應(yīng)商將他們的設(shè)備稱為下一代防火墻，但是企業(yè)很快發(fā)現(xiàn)這些設(shè)備更適合小型公司使用。當(dāng)他們開啟全部特性，包括應(yīng)用程序檢測(cè)，UTM設(shè)備就會(huì)成為嚴(yán)重的瓶頸。

Young說：“我們已經(jīng)發(fā)現(xiàn)規(guī)模問題，大多數(shù)都是因?yàn)殚_啟了那些不是面向企業(yè)設(shè)計(jì)的特性。我們急需面向企業(yè)的UTM。下一代防火墻還有許多其他的性能問題未得到解決。如果只是硬件整合，將大量的元件強(qiáng)加到一個(gè)設(shè)備上，那么這就是問題的根源，它的性能會(huì)很差。”

但是，Young強(qiáng)調(diào)，許多防火墻供應(yīng)商現(xiàn)在已經(jīng)有強(qiáng)大的企業(yè)級(jí)下一代防火墻產(chǎn)品。各個(gè)供應(yīng)商相互爭(zhēng)論，認(rèn)為的產(chǎn)品是最好的，但防火墻用戶必須自己評(píng)估這些產(chǎn)品，尋找最適合他們環(huán)境的產(chǎn)品。

下一代防火墻還給運(yùn)營團(tuán)隊(duì)帶來一個(gè)文化轉(zhuǎn)變。防火墻管理員長年都在規(guī)定處理端口和IP地址的規(guī)則，下一代防火墻將迫使他們離開自己經(jīng)營多年的樂土。

首都地區(qū)醫(yī)院的Starry說：“它植入了防火墻概念。您編寫的是基于應(yīng)用程序的規(guī)則，而非基于端口和IP地址的。防火墻管理員適應(yīng)基于應(yīng)用程序的規(guī)則有一定的難度。但是，您能夠掌握這兩種方法，也必須掌握這兩種方法。”

下一代防火墻：不要局限于精細(xì)應(yīng)用程序管理

加州大學(xué)歐文分校的系統(tǒng)管理員SteveGilmer指出，應(yīng)用程序可見性是很重要的，但是在選擇下一代防火墻時(shí)，這并非是他唯一的關(guān)注點(diǎn)。

Gilmer在大學(xué)安裝WatchGuard防火墻，以保護(hù)課堂網(wǎng)絡(luò)。他介紹說，他曾經(jīng)認(rèn)真地研究每個(gè)下一代防火墻是如何進(jìn)行HTTPS流量解密和檢測(cè)。他認(rèn)為HTTPS是一個(gè)重要的惡意軟件威脅目標(biāo)，但是大多數(shù)防火墻供應(yīng)商不推薦對(duì)HTTPS進(jìn)行解密和檢測(cè)。相反，他們認(rèn)為他們的產(chǎn)品能夠檢測(cè)出所有在網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的惡意軟件，允許網(wǎng)絡(luò)安全管理員在網(wǎng)絡(luò)中隔離感染病毒的機(jī)器。

Gilmer說：“顯然，惡意軟件已經(jīng)進(jìn)入網(wǎng)絡(luò)，這就是問題所在。”所以Gilmer研究了各個(gè)防火墻供應(yīng)商是如何檢測(cè)惡意軟件的。許多供應(yīng)商都通過第三方供應(yīng)商產(chǎn)品來實(shí)現(xiàn)這個(gè)功能，但是很難評(píng)估每一個(gè)供應(yīng)商的優(yōu)劣。