眾所周知，所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入，防火墻主要由服務(wù)訪(fǎng)問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)此防火墻，那新一代防火墻的出現(xiàn)可剔除哪些嚴(yán)重的安全隱患呢？

大中型企業(yè)的IT經(jīng)理需要在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全之間進(jìn)行權(quán)衡。雖然安全性對(duì)于企業(yè)至關(guān)重要，但企業(yè)不應(yīng)該因?yàn)榘踩远档彤a(chǎn)量和生產(chǎn)力。下一代防火墻(NGFW)應(yīng)運(yùn)而生，用于解決這一棘手問(wèn)題。

前幾代防火墻給當(dāng)今企業(yè)帶來(lái)了嚴(yán)重的安全隱患。它們的技術(shù)已經(jīng)過(guò)時(shí)，無(wú)法應(yīng)對(duì)當(dāng)前互聯(lián)網(wǎng)罪犯投放的網(wǎng)絡(luò)封包的數(shù)據(jù)負(fù)載。許多供應(yīng)商只能以狀態(tài)封包檢測(cè)(SPI)速度吸引客戶(hù)，但安全和性能的真正衡量標(biāo)準(zhǔn)是深度包檢測(cè)的吞吐量和有效性。為了解決這一缺陷，許多防火墻供應(yīng)商采用傳統(tǒng)桌面反病毒解決方案使用的惡意軟件檢查方式：緩沖下載的文件，然后檢查惡意軟件。該方法的負(fù)面影響是不僅顯著增加了延遲，而且會(huì)造成嚴(yán)重的安全隱患，因?yàn)榕R時(shí)存儲(chǔ)器會(huì)限制文件大小。

定義下一代防火墻

從本質(zhì)上講，下一代防火墻通過(guò)集成入侵防御系統(tǒng)(IPS)以及應(yīng)用智能和控制，應(yīng)用了深度包檢測(cè)(DPI)防火墻技術(shù)，以實(shí)現(xiàn)正在訪(fǎng)問(wèn)和處理的數(shù)據(jù)內(nèi)容的可視化。

Gartner公司將NGFW 定義為“一種執(zhí)行深度流量檢測(cè)以及阻止攻擊的線(xiàn)速(wire-speed)綜合網(wǎng)絡(luò)平臺(tái)。” Gartner認(rèn)為NGFW 至少應(yīng)當(dāng)提供：

· 非破壞性線(xiàn)內(nèi)嵌入式配置；

· 第一代防火墻的標(biāo)準(zhǔn)功能，例如，網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)協(xié)議檢測(cè)(SPI)和虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)；

· 集成式基于特征碼的IPS引擎；

· 應(yīng)用程序識(shí)別、全堆?？梢?jiàn)性和精細(xì)控制；

· 合并來(lái)自防火墻外部信息(例如，基于目錄的策略、黑名單、白名單)的能力；

· 升級(jí)路徑以包括未來(lái)信息源和安全威脅；

· SSL解密以啟用對(duì)不受歡迎的加密應(yīng)用程序的識(shí)別。#p#

下一代防火墻的演變

使用狀態(tài)檢測(cè)技術(shù)的防火墻僅適用于惡意軟件尚未大范圍流行且網(wǎng)頁(yè)只是供閱讀文檔的時(shí)代。當(dāng)時(shí)，端口、IP地址和協(xié)議是需要管理的關(guān)鍵因素。但是隨著互聯(lián)網(wǎng)的發(fā)展，服務(wù)器和客戶(hù)端瀏覽器能夠提供動(dòng)態(tài)內(nèi)容，從而引入了大量豐富的應(yīng)用，我們現(xiàn)在稱(chēng)之為Web 2.0時(shí)代。

現(xiàn)在，從Salesforce.com、SharePoint到Farmville的應(yīng)用都運(yùn)行在TCP 80端口以及加密SSL(TCP 443端口)上。下一代防火墻檢查大量的數(shù)據(jù)包，并即時(shí)匹配惡意活動(dòng)的特征，例如已知漏洞、漏洞利用攻擊、病毒和惡意軟件。此外，深度包檢測(cè)也意味著管理員可以創(chuàng)建非常精細(xì)的許可，以及控制特定應(yīng)用和網(wǎng)站的拒絕規(guī)則。由于數(shù)據(jù)包內(nèi)容經(jīng)過(guò)檢查，因此可以導(dǎo)出所有類(lèi)型的統(tǒng)計(jì)信息，這意味著管理員現(xiàn)在可以輕松地分析數(shù)據(jù)流，以執(zhí)行容量規(guī)劃、進(jìn)行故障排除或監(jiān)控每個(gè)員工的工作。當(dāng)前的防火墻在網(wǎng)絡(luò)應(yīng)用模型的第2、3、4、5、6和7層運(yùn)行。

企業(yè)的需求

企業(yè)面臨應(yīng)用程序混亂的困境。網(wǎng)絡(luò)通信不再僅僅依靠電子郵件等存儲(chǔ)轉(zhuǎn)發(fā)應(yīng)用，現(xiàn)在已擴(kuò)展至包括實(shí)時(shí)協(xié)作工具、Web 2.0應(yīng)用、即時(shí)通訊(IM)和p2p應(yīng)用、基于IP的語(yǔ)音傳輸(VoIP)、流媒體和電話(huà)會(huì)議，每種應(yīng)用程序都有被攻擊的潛在風(fēng)險(xiǎn)。許多企業(yè)無(wú)法區(qū)分網(wǎng)絡(luò)上的合法商業(yè)應(yīng)用程序以及非業(yè)務(wù)關(guān)鍵性應(yīng)用程序，而后者消耗企業(yè)帶寬或?qū)ζ髽I(yè)造成危險(xiǎn)。

現(xiàn)在，企業(yè)需要提供關(guān)鍵業(yè)務(wù)解決方案，同時(shí)應(yīng)對(duì)員工使用無(wú)用并且(從安全角度看)危險(xiǎn)的基于Web的應(yīng)用。關(guān)鍵應(yīng)用享有帶寬優(yōu)先權(quán)，而社交媒體和游戲應(yīng)用需要被節(jié)流或完全阻止。此外，如果企業(yè)不符合安全法律和規(guī)定，他們還會(huì)面臨罰款、處罰以及業(yè)務(wù)損失。

在當(dāng)今企業(yè)中，防護(hù)和性能是相輔相成的。企業(yè)無(wú)法再忍受過(guò)時(shí)的狀態(tài)檢測(cè)防火墻造成的安全性下降，也不能忍受部分下一代防火墻造成的網(wǎng)絡(luò)瓶頸。防火墻或網(wǎng)絡(luò)性能的任何延遲都會(huì)降低延遲敏感性協(xié)作應(yīng)用的質(zhì)量，因此會(huì)對(duì)服務(wù)水平和生產(chǎn)力造成負(fù)面影響。更嚴(yán)重的是，某些IT企業(yè)甚至禁用網(wǎng)絡(luò)安全解決方案中的功能以避免網(wǎng)絡(luò)性能的下降。#p#

公共部門(mén)和私營(yíng)部門(mén)中各種規(guī)模的企業(yè)都面臨常見(jiàn)應(yīng)用中漏洞的新威脅。這是看似美好的社會(huì)化網(wǎng)絡(luò)和互聯(lián)帶來(lái)的陰暗秘密：它們正在為惡意軟件提供滋生的土壤，互聯(lián)網(wǎng)罪犯搜索每個(gè)角落狩獵毫無(wú)戒備心的受害者。同時(shí)，員工使用公司和家庭辦公電腦發(fā)布博客、從事社交、傳送消息、觀看視頻、收聽(tīng)音樂(lè)、玩游戲、購(gòu)物和收發(fā)郵件。流媒體視頻、點(diǎn)對(duì)點(diǎn)(P2P)和托管或云應(yīng)用使企業(yè)面臨潛在入侵、數(shù)據(jù)泄露和宕機(jī)風(fēng)險(xiǎn)。除了帶來(lái)安全威脅外，這些應(yīng)用消耗帶寬并降低生產(chǎn)力，并與任務(wù)關(guān)鍵性應(yīng)用搶占寶貴的網(wǎng)絡(luò)帶寬。更重要的是，企業(yè)需要使用工具保障關(guān)鍵業(yè)務(wù)相關(guān)的應(yīng)用的帶寬，并且需要應(yīng)用智能和控制保護(hù)入站和出站流量，同時(shí)確保速度和安全以實(shí)現(xiàn)高生產(chǎn)力的工作環(huán)境。

NGFW的優(yōu)勢(shì)

下一代防火墻可以數(shù)千兆比特的速度提供應(yīng)用智能和控制、入侵防御、惡意軟件防御和SSL檢查，并且可以擴(kuò)展以便實(shí)現(xiàn)網(wǎng)絡(luò)的最高性能。

固若金湯的NGFW使管理員能夠控制和管理業(yè)務(wù)和非業(yè)務(wù)相關(guān)的應(yīng)用程序，保證網(wǎng)絡(luò)和用戶(hù)的生產(chǎn)力，他們可以?huà)呙枞魏味丝诘娜魏未笮〉奈募?，不?huì)造成安全或性能下降。并發(fā)文件或網(wǎng)絡(luò)數(shù)據(jù)流的數(shù)量不會(huì)對(duì)高端NGFW產(chǎn)生限制，因此當(dāng)防火墻在重負(fù)荷下工作時(shí)，受感染的文件也不會(huì)瞞天過(guò)海。此外，NGFW也可以將所有安全和應(yīng)用控制技術(shù)應(yīng)用到SSL加密數(shù)據(jù)流，確保它不會(huì)成為惡意軟件進(jìn)入網(wǎng)絡(luò)的新載體。

選擇深度包檢測(cè)的IT管理員需要注意NGFW領(lǐng)域中有多種處理器架構(gòu)方式。一些人選擇通用處理器，使安全協(xié)處理器保持獨(dú)立。讓然有其他人選擇設(shè)計(jì)和建立專(zhuān)用集成電路 (ASIC)平臺(tái)。Dell SonicWALL則使用多核架構(gòu)作為我們的解決方案，以加速網(wǎng)絡(luò)流量的處理。IT管理員務(wù)必確保他們選擇的NGFW解決方案完全能夠根據(jù)預(yù)測(cè)的網(wǎng)絡(luò)性能要求進(jìn)行擴(kuò)展，提供最穩(wěn)定的性能、最有用的網(wǎng)絡(luò)分析和洞察力，并且便于實(shí)施和管理。