企業(yè)的IT管理人員必須兼顧網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全問題。雖然安全要求對企業(yè)很重要，但企業(yè)不能為了安全而犧牲吞吐量和生產(chǎn)力。上一代防火墻給現(xiàn)在的企業(yè)帶來嚴(yán)重的安全風(fēng)險，它們的技術(shù)實際上已經(jīng)過時，因為它們無法檢查攻擊者散播的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)負(fù)載。很多供應(yīng)商吹捧狀態(tài)數(shù)據(jù)包檢測(SPI)速度，但對安全和性能真正的衡量標(biāo)準(zhǔn)是深度數(shù)據(jù)包檢測吞吐量和有效性。為了解決這方面的不足，很多防火墻采用了傳統(tǒng)桌面防病毒解決方案的惡意軟件檢測方法：緩沖下載的文件，然后檢查是否存在惡意軟件。這種方法的缺點是顯著的延遲性，同時它也帶來嚴(yán)重的安全風(fēng)險，因為臨時存儲會限制最大文件大小。

定義下一代防火墻

從本質(zhì)上講，下一代防火墻整合了入侵防御系統(tǒng)(IPS)以及應(yīng)用程序智能和控制，以查看被訪問和處理的數(shù)據(jù)內(nèi)容。

Gartner將下一代防火墻定義為“執(zhí)行深度流量檢查和阻止攻擊的線速綜合網(wǎng)絡(luò)平臺”，Gartner認(rèn)為下一代防火墻至少應(yīng)該提供以下功能：

◆非破壞性串聯(lián)網(wǎng)路嵌入式配置

◆標(biāo)準(zhǔn)第一代防火墻功能，例如網(wǎng)絡(luò)地址翻譯(NAT)、狀態(tài)協(xié)議檢測(SPI)和虛擬專用網(wǎng)絡(luò)(VPN)等

◆集成基于簽名的IPS引擎

◆應(yīng)用程序意識，全?？梢曅院途?xì)控制

◆結(jié)合防火墻外部信息的能力，例如基于目錄的政策、黑名單和白名單等

◆升級路徑以涵蓋未來信息源和安全威脅

◆SSL解密以識別不良加密應(yīng)用程序

下一代防火墻的演變

SPI那一代防火墻只適用于以前的網(wǎng)絡(luò)環(huán)境，當(dāng)時惡意軟件還沒有成為一個大問題，網(wǎng)頁只是可以讀取的文檔，端口、IP地址和協(xié)議是管理的關(guān)鍵因素。但隨著互聯(lián)網(wǎng)的發(fā)展，從服務(wù)器和客戶端瀏覽器提供動態(tài)內(nèi)容的能力催生了豐富的應(yīng)用程序，也就是我們所說的Web 2.0。

現(xiàn)在，從Salesforce.com的應(yīng)用程序到SharePoint，再到Farmville，都是在TCP端口80以及加密SSL(TCP端口443)運行。下一代防火墻會檢查數(shù)據(jù)包的有效載荷，并匹配簽名來查找惡意活動，例如已知漏洞、利用攻擊、病毒和惡意軟件等。DPI也意味著管理員可以創(chuàng)建非常細(xì)粒度的允許和拒絕規(guī)則，以控制特定應(yīng)用程序和網(wǎng)站。由于防火墻檢查了所有數(shù)據(jù)包的內(nèi)容，我們還可以輸出所有類型的統(tǒng)計信息，這意味著管理員現(xiàn)在可以簡單的挖掘流量分析來進(jìn)行容量鬼話、故障排除或者監(jiān)控員工的活動。

企業(yè)需要什么

企業(yè)正陷入應(yīng)用程序混亂中。網(wǎng)絡(luò)通信不再僅僅依賴于存儲和轉(zhuǎn)發(fā)應(yīng)用程序(例如電子郵件)，而已經(jīng)擴展到涵蓋實時協(xié)作工具、Web 2.0應(yīng)用程序、即時消息(IM)和P2P應(yīng)用程序、語音IP電話(VoIP)、流媒體和電話會議，這些都帶來潛在風(fēng)險。很多企業(yè)無法區(qū)分網(wǎng)絡(luò)中使用的具有合法業(yè)務(wù)目的應(yīng)用程序與那些不是關(guān)鍵型應(yīng)用程序(只是消耗帶寬或者帶來危險)。

現(xiàn)在，企業(yè)需要提供關(guān)鍵業(yè)務(wù)解決方案，同時還需要滿足用戶的需求，允許他們使用耗費帶寬且危險的(從安全的角度來看)基于Web的應(yīng)用程序。關(guān)鍵應(yīng)用程序需要帶寬優(yōu)先級，而社交媒體和游戲應(yīng)用程序需要被節(jié)流或者完全阻止。此外，如果企業(yè)不符合安全要求和規(guī)定的話，企業(yè)可能面臨罰款或者虧損。

在當(dāng)今的企業(yè)，安全保護(hù)和性能“一個都不能少”。企業(yè)不能再忍受傳統(tǒng)SPI防火墻提供的較差的安全性，也無法容忍一些下一代防火墻帶來的網(wǎng)絡(luò)瓶頸。防火墻或網(wǎng)絡(luò)性能的任何延遲都可能影響延遲敏感型和協(xié)作應(yīng)用程序，而這反過來又可能對服務(wù)水平和生產(chǎn)力產(chǎn)生負(fù)面影響。讓事情更糟糕的是，一些IT企業(yè)甚至禁用其網(wǎng)絡(luò)安全解決方案中的功能以避免網(wǎng)絡(luò)性能的下降。

所有企業(yè)都面臨著常用應(yīng)用程序中的漏洞帶來的風(fēng)險，這是美麗的社交網(wǎng)絡(luò)世界的“骯臟的小秘密”：它們是惡意軟件和網(wǎng)絡(luò)攻擊者監(jiān)測其不知情的受害者的最佳場所。同時，企業(yè)員工使用企業(yè)和家庭辦公電腦使用博客、社交網(wǎng)絡(luò)、通信、視頻、音樂、游戲、購物和電子郵件。視頻流、點到點(P2P)以及托管或云計算應(yīng)用程序讓企業(yè)面臨潛在的風(fēng)險，例如潛在的滲透、數(shù)據(jù)泄漏和停機。除了帶來安全風(fēng)險外，這些應(yīng)用程序還消耗帶寬和生產(chǎn)力，并且與關(guān)鍵業(yè)務(wù)型應(yīng)用程序爭搶寶貴的網(wǎng)絡(luò)帶寬。更重要的是，企業(yè)需要工具來保證業(yè)務(wù)關(guān)鍵應(yīng)用程序的帶寬，并需要應(yīng)用程序智能和控制來保護(hù)入站和出站的流量，同時確保速度和安全性以提供高校的工作環(huán)境。

下一代防火墻的優(yōu)勢

下一代防火墻可以提供應(yīng)用程序智能和控制、入侵防御、惡意軟件防護(hù)和SSL檢查，還可擴展到支持最高性能網(wǎng)絡(luò)。

最強大的下一代防火墻使管理員能夠同時控制和管理業(yè)務(wù)以及非業(yè)務(wù)相關(guān)的應(yīng)用程序，以確保網(wǎng)絡(luò)和員工的工作效率，并且他們可以掃描跨任何端口的任何大小的文件，而不會影響安全性和性能。同步文件或網(wǎng)絡(luò)流的數(shù)量不會限制高端下一代防火墻，所以，受感染的文件沒有機會溜出去。此外，下一代防火墻可以向SSL加密流量應(yīng)用所有安全和應(yīng)用程序控制技術(shù)，確保這不會成為網(wǎng)絡(luò)的新的惡意軟件載體。

IT管理員在選擇深度數(shù)據(jù)包檢測防火墻時，需要注意在下一代防火墻中，存在多種處理器架構(gòu)的方法。有些人選擇通用處理器以及獨立的安全協(xié)處理器。還有一些人選擇設(shè)計和建造ASIC(應(yīng)用程序?qū)Ｓ眉呻娐?平臺。對于IT管理人員來說，關(guān)鍵是確保他們選擇的下一代防火墻具有可擴展性，以滿足其預(yù)期的網(wǎng)絡(luò)性能要求，同時，所選的下一代防火墻能夠提供最強大的性能、最有用的網(wǎng)絡(luò)分析和能見度，以及易于部署和管理。