【51CTO.com 綜合消息】有人說，下一代防火墻是個(gè)噱頭；有人說，下一代防火墻是加強(qiáng)版UTM；還有人說，下一代防火墻是傳統(tǒng)防火墻整合入侵防御IPS的產(chǎn)物。這些說法都暴露出一個(gè)共同的問題，那就是沒有真的了解什么是下一代防火墻。

下一代防火墻應(yīng)根據(jù)用戶需求定義

如果傳統(tǒng)防火墻擁有了“支持聯(lián)動(dòng)的集成化IPS”、“應(yīng)用管控與可視化”以及“智能化聯(lián)動(dòng)”相關(guān)特性就是下一代防火墻嗎？顯然不是。在“云計(jì)算”、“WEB2.0”及“移動(dòng)互聯(lián)”等一系列新應(yīng)用技術(shù)日新月異的今天，僅僅單純從功能，或者是性能方面，改善傳統(tǒng)防火墻技術(shù)缺陷，補(bǔ)充傳統(tǒng)防火墻不足的角度去定義下一代防火墻產(chǎn)品顯得過于片面。下一代防火墻也并不是簡(jiǎn)單的功能堆砌和性能疊加，下一代防火墻應(yīng)該站上更高的山峰，以全局的視角，從解決用戶網(wǎng)絡(luò)面臨的實(shí)際問題出發(fā)來定義才更為妥當(dāng)。而且可以肯定的是，在未來，下一代防火墻還會(huì)有“下一代”，那將是性能更強(qiáng)，功能更加貼合網(wǎng)絡(luò)環(huán)境與用戶需求的產(chǎn)品，“下一代”也將會(huì)無窮盡也。所以我們不該把目光放到一個(gè)名字上，而是真正去關(guān)心一下，下一代防火墻所能解決的問題。

那么什么防火墻才可以真正稱為下一代防火墻呢？我們可以從用戶網(wǎng)絡(luò)環(huán)境變化和需求的角度出發(fā)，用實(shí)實(shí)在在的六大特質(zhì)來詮釋，即：基于用戶防護(hù)、面向應(yīng)用安全、高效轉(zhuǎn)發(fā)平臺(tái)、多層級(jí)冗余架構(gòu)、全方位可視化、安全技術(shù)融合。這六大特質(zhì)，顯然靠噱頭、靠加強(qiáng)UTM、靠整合IPS是得不來的?？梢哉f，只有具備這六大特質(zhì)，才讓下一代防火墻產(chǎn)品更加“有血有肉”，真實(shí)而生動(dòng)了起來，才是從底層核心到架構(gòu)平臺(tái)再到操作系統(tǒng)全面塑造的全新產(chǎn)品，才可以讓用戶更加真實(shí)的了解下一代防火墻所要解決的是哪些問題。所以，我們說下一代防火墻就好比是武林中身懷絕技的高手，表面看似平常，實(shí)則內(nèi)力渾厚。

目前國內(nèi)推出下一代防火墻的廠商寥寥無幾。畢竟，下一代防火墻產(chǎn)品是在全面了解用戶需求的情況下，重新開發(fā)的滿足當(dāng)前網(wǎng)絡(luò)應(yīng)用環(huán)境的高性能防火墻產(chǎn)品，是與傳統(tǒng)防火墻應(yīng)用有所區(qū)別的，既要有強(qiáng)大的技術(shù)研發(fā)實(shí)力做后盾，又要足夠了解用戶應(yīng)用環(huán)境的變遷，而且還要擁有強(qiáng)大的產(chǎn)品服務(wù)團(tuán)隊(duì)，在后期的服務(wù)上能為用戶提供更細(xì)致的幫助。下面我們就來具體看看下一代防火墻的六大特質(zhì)。

下一代防火墻六招御敵

下一代防火墻實(shí)實(shí)在在的六大功能告訴了人們“我不是加強(qiáng)版和附屬品，我是獨(dú)立的，完全自我的網(wǎng)關(guān)安全產(chǎn)品，有獨(dú)特的特性和氣質(zhì)。”

基于用戶防護(hù) 

傳統(tǒng)防火墻策略都是依賴IP或MAC地址來區(qū)分?jǐn)?shù)據(jù)流，不利于管理也很難完成對(duì)網(wǎng)絡(luò)狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統(tǒng)，實(shí)現(xiàn)了分級(jí)、分組、權(quán)限、繼承關(guān)系等功能，充分考慮到各種應(yīng)用環(huán)境下不同的用戶需求。此外還集成了安全準(zhǔn)入控制功能，支持多種認(rèn)證協(xié)議與認(rèn)證方式，實(shí)現(xiàn)了基于用戶的安全防護(hù)策略部署與可視化管控。 

面向應(yīng)用安全 

在應(yīng)用安全方面，下一代防火墻應(yīng)該包括“智能流檢測(cè)”和“虛擬化遠(yuǎn)程接入”兩點(diǎn)。一方面可以做到對(duì)各種應(yīng)用的深層次的識(shí)別；另外在解決數(shù)據(jù)安全性問題方面，通過將虛擬化技術(shù)與遠(yuǎn)程接入技術(shù)相結(jié)合，為遠(yuǎn)程接入終端提供虛擬應(yīng)用發(fā)布與虛擬桌面功能，使其本地?zé)o需執(zhí)行任何應(yīng)用系統(tǒng)客戶端程序的情況下完成與內(nèi)網(wǎng)服務(wù)器端的數(shù)據(jù)交互，就可以實(shí)現(xiàn)了終端到業(yè)務(wù)系統(tǒng)的“無痕訪問”，進(jìn)而達(dá)到終端與業(yè)務(wù)分離的目的。

高效轉(zhuǎn)發(fā)平臺(tái) 

為了突破傳統(tǒng)網(wǎng)關(guān)設(shè)備的性能瓶頸，下一代防火墻可以通過整機(jī)的并行多級(jí)硬件架構(gòu)設(shè)計(jì)，將NSE（網(wǎng)絡(luò)服務(wù)引擎）與SE（安全引擎）獨(dú)立部署。網(wǎng)絡(luò)服務(wù)引擎完成底層路由/交換轉(zhuǎn)發(fā)，并對(duì)整機(jī)各模塊進(jìn)行管理與狀態(tài)監(jiān)控；而安全引擎負(fù)責(zé)將數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)層安全處理與應(yīng)用層安全處理。通過部署多安全引擎與多網(wǎng)絡(luò)服務(wù)引擎的方式來實(shí)現(xiàn)整機(jī)流量的分布式并行處理與故障切換功能。

多層級(jí)冗余架構(gòu)

下一代防火墻設(shè)備自身要有一套完善的業(yè)務(wù)連續(xù)性保障方案。針對(duì)這一需求，必須采用多層級(jí)冗余化設(shè)計(jì)。在設(shè)計(jì)中，通過板卡冗余、模塊冗余以及鏈路冗余來構(gòu)建底層物理級(jí)冗余；使用雙操作系統(tǒng)來提供系統(tǒng)級(jí)冗余；而采用多機(jī)冗余及負(fù)載均衡進(jìn)行設(shè)備部署實(shí)現(xiàn)了方案級(jí)冗余。由物理級(jí)、系統(tǒng)級(jí)與方案級(jí)共同構(gòu)成了多層級(jí)的冗余化架構(gòu)體系。

全方位可視化 

下一代防火墻還要注意“眼球經(jīng)濟(jì)”，必須提供豐富的展示方式，從應(yīng)用和用戶視角多層面的將網(wǎng)絡(luò)應(yīng)用的狀態(tài)展現(xiàn)出來，包括對(duì)歷史的精確還原和對(duì)各種數(shù)據(jù)的智能統(tǒng)計(jì)分析，使管理者清晰的認(rèn)知網(wǎng)絡(luò)運(yùn)行狀態(tài)。實(shí)施可視化所要達(dá)到的效果是，對(duì)于管理范圍內(nèi)任意一臺(tái)主機(jī)的網(wǎng)絡(luò)應(yīng)用情況及安全事件信息可以進(jìn)行準(zhǔn)確的定位與實(shí)時(shí)跟蹤；對(duì)于全網(wǎng)產(chǎn)生的海量安全事件信息，通過深入的數(shù)據(jù)挖掘能夠形成安全趨勢(shì)分析，以及各類圖形化的統(tǒng)計(jì)分析報(bào)告。 

安全技術(shù)融合 

動(dòng)態(tài)云防護(hù)和全網(wǎng)威脅聯(lián)防是技術(shù)融合的典范。下一代防火墻的整套安全防御體系都應(yīng)該是基于動(dòng)態(tài)云防護(hù)設(shè)計(jì)的。一方面可以通過“云”來收集安全威脅信息并快速尋找解決方案，及時(shí)更新攻擊防護(hù)規(guī)則庫并以動(dòng)態(tài)的方式實(shí)時(shí)部署到各用戶設(shè)備中，保證用戶的安全防護(hù)策略得到及時(shí)、準(zhǔn)確的動(dòng)態(tài)更新；另一方面，通過“云”，使得策略管理體系的安全策略漂移機(jī)制能夠?qū)崿F(xiàn)物理網(wǎng)絡(luò)基于“人”、虛擬計(jì)算環(huán)境基于“VM”（虛擬機(jī)）的安全策略動(dòng)態(tài)部署。

目前，國內(nèi)如天融信等一線安全廠商通過歷史的經(jīng)驗(yàn)積累和強(qiáng)大的研發(fā)實(shí)力，已經(jīng)在下一代防火墻產(chǎn)品方面有所建樹，性能也達(dá)到了320G。除了以上六大特點(diǎn)之外，天融信下一代防火墻NGFW還通過多核硬件架構(gòu)，數(shù)據(jù)與應(yīng)用雙引擎組，TopTurbo數(shù)據(jù)層高速處理技術(shù)，八元組高級(jí)訪問控制設(shè)計(jì)等，充分體現(xiàn)了下一代防火墻“基于用戶防護(hù)”與“面向應(yīng)用安全”的設(shè)計(jì)理念，是一款真正意義上的“下一代”防火墻。