防火墻作為互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)之間的隔離層，起到了防御互聯(lián)網(wǎng)攻擊的作用。傳統(tǒng)的防火墻一般都是通過指定過濾某種協(xié)議或某些端口，以及限制來自或發(fā)送到某個IP地址數(shù)據(jù)流的方式實現(xiàn)安全防護(hù)功能。而如今，很多攻擊都是基于Web頁面的，它們采用常規(guī)的80端口（HTTP）和443端口（HTTPS）進(jìn)行傳播，這使得傳統(tǒng)的防火墻很難發(fā)現(xiàn)和識別混在正常網(wǎng)頁數(shù)據(jù)流中的惡意程序或攻擊信息。而一個可靠的防火墻，必須能夠有效的識別和屏蔽此類攻擊威脅。

走近下一代防火墻

“下一代防火墻”（縮寫NGFW）一般是指帶有入侵檢測等超出傳統(tǒng)防火墻功能的防火墻產(chǎn)品。這一概念和市場目前還相當(dāng)新潮，最先推出相應(yīng)產(chǎn)品的是Palo Alto Networks，它們目前推出了三款符合下一代防火墻概念的產(chǎn)品。除了防火墻廠商，市場調(diào)研機構(gòu)Gartner對于這一概念也情有獨鐘，該機構(gòu)通過以下標(biāo)準(zhǔn)來衡量防火墻市場的新產(chǎn)品是否可以被稱作下一代防火墻：

標(biāo)準(zhǔn)的防火墻功能，諸如包過濾，網(wǎng)址轉(zhuǎn)換以及VPN。

“綜合性”的網(wǎng)絡(luò)入侵預(yù)防能力。

具有“程序識別”能力，可以識別程序并在應(yīng)用程進(jìn)行控制（比如允許Skype呼叫，但是阻止其傳送文件）。

有能力感知并利用“其它防火墻”的信息來提高防御決策，比如使用信譽服務(wù)或活動目錄中的身份服務(wù)獲取額外信息。

需要留意的是，不要因為防火墻廠商使用了“下一代防火墻”這個詞語，就認(rèn)為該廠商推出的產(chǎn)品具備以上全部能力。每個廠商都在不斷的改進(jìn)自己的產(chǎn)品，同時會在產(chǎn)品中加入廠商自己所特長的功能，從而區(qū)別于競爭對手。

另外還有一個容易混淆的概念需要解釋一下，就是UTM（統(tǒng)一威脅管理），這是IDC發(fā)明的詞匯，用來指超越傳統(tǒng)意義防火墻的一類具備多種安全功能的設(shè)備。安全產(chǎn)品廠商可以用UTM或NGFW中的任何一個來描述它所生產(chǎn)的新型防火墻產(chǎn)品，也可以將其劃分為不同的產(chǎn)品類型。最常見的劃分方式是使用UTM 代指針對中小型企業(yè)的產(chǎn)品，使用NGFW描述針對大型企業(yè)的防火墻產(chǎn)品。由于市場和產(chǎn)品都在不斷升級變化中，因此未來很可能其中某個詞匯甚至這兩個詞匯都消失不見。因此我們在選擇產(chǎn)品的時候，應(yīng)該關(guān)注于產(chǎn)品的功能和性能，而不是看被廠家冠以了UTM或NGFW這樣的頭銜。

評估NGFW時要考慮的要點

不論是UTM還是NGFW，它們都是復(fù)雜的產(chǎn)品，而且由于缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，因此很難對不同廠家的此類產(chǎn)品進(jìn)行橫向?qū)Ρ取Ｒ袛嗄硞€產(chǎn)品的功能是否能夠幫助你，你必須深刻了解企業(yè)的需求，并進(jìn)行大量的測試：

架構(gòu)：下一代防火墻設(shè)備應(yīng)該將各種安全功能融入一個獨立的架構(gòu)中，以證明其是真正意義的集成，而不是簡單的將多個安全設(shè)備塞進(jìn)一個防火墻外殼里。缺乏集成性能也許表示該產(chǎn)品的安全性能不夠令人滿意（比如由于數(shù)據(jù)在不同功能模塊間傳遞導(dǎo)致的數(shù)據(jù)包檢測速度降低）。

吞吐量性能：所有的附加安全功能、檢測功能無疑都會在一定程度上降低數(shù)據(jù)流的速度。因此，要確保當(dāng)所有安全功能都開啟后，設(shè)備的數(shù)據(jù)吞吐量仍然能夠達(dá)到企業(yè)的要求。另外，在測試過程中，還要考慮到防火墻所采用的策略或規(guī)則數(shù)量，因為這些因素同樣會對防火墻處理速度有影響。

使用便利性：選擇下一代防火墻的一個重要原因是企業(yè)管理人員希望能夠簡化多種安全設(shè)備維護(hù)和管理所帶來的不便。因此，下一代防火墻應(yīng)該具有直觀的管理界面，簡單的規(guī)則或策略制定流程。而一些集成度不夠好的產(chǎn)品，在不同的安全功能設(shè)置界面上，會出現(xiàn)很明顯的差異。

和其他安全產(chǎn)品一樣，下一代防火墻也不是網(wǎng)絡(luò)安全的萬靈藥。部署下一代防火墻也需要大量的工作，并需要不斷的維護(hù)。不過一旦成功部署NGFW，確實可以有效的減輕管理員的工作壓力，并提升應(yīng)對新型網(wǎng)絡(luò)攻擊的防護(hù)效果。