就職于大型集團(tuán)和中型企業(yè)的IT管理者們必須面對(duì)一個(gè)問題，即在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全性之間找到一個(gè)折中方案。由于企業(yè)對(duì)于數(shù)據(jù)安全性的嚴(yán)苛要求，企業(yè)不得不以犧牲網(wǎng)絡(luò)性能和數(shù)據(jù)吞吐量為代價(jià)換取網(wǎng)絡(luò)安全。而下一代防火墻(NGFWs)的出現(xiàn)，解決了這個(gè)令人頭疼的問題。

傳統(tǒng)的防火墻將現(xiàn)在的企業(yè)至于一個(gè)充滿安全風(fēng)險(xiǎn)的境地。因?yàn)閭鹘y(tǒng)防火墻的安全防護(hù)技術(shù)相比現(xiàn)代網(wǎng)絡(luò)犯罪分子制造的危險(xiǎn)數(shù)據(jù)包來說，顯得太過時(shí)了。很多廠商宣稱可以高速進(jìn)行動(dòng)態(tài)封包狀態(tài)檢測(cè)(Stateful Packet Inspection ，SPI)，但是真正衡量防火墻安全防范水平和效果的方法是進(jìn)行深度封包檢測(cè)(DPI)以及其效率。為了解決這個(gè)缺陷，很多防火墻廠商選擇了和傳統(tǒng)桌面反病毒軟件類似的惡意代碼檢測(cè)方案，即將下載的文件進(jìn)行緩存再對(duì)其進(jìn)行惡意代碼深度檢測(cè)。這種方法的弊端不僅僅是造成了網(wǎng)絡(luò)數(shù)據(jù)的極大延遲，而且防火墻內(nèi)存容量的限制也制約了可供緩存的網(wǎng)絡(luò)文件的大小。

定義下一代防火墻

從最基礎(chǔ)的角度講，下一代防火墻應(yīng)該通過集成入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)深度數(shù)據(jù)包檢測(cè)(DPI)防火墻技術(shù)，并具備應(yīng)用層智能性以及對(duì)接受和處理的數(shù)據(jù)進(jìn)行圖形化控制的能。

Gartner對(duì)于下一代防火墻的定義是“一個(gè)線速的綜合網(wǎng)絡(luò)平臺(tái)，具備深度數(shù)據(jù)包檢測(cè)以及阻止網(wǎng)絡(luò)攻擊的能力。” Gartner 認(rèn)為，下一代防火墻應(yīng)該最少具備以下特征：

· 非破壞性的聯(lián)機(jī)配置能力

· 擁有第一代防火墻的標(biāo)準(zhǔn)功能，比如網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，動(dòng)態(tài)數(shù)據(jù)包狀態(tài)檢測(cè)(SPI)，以及虛擬專用網(wǎng)(VPN)等。

· 內(nèi)置基于簽名的 IPS入侵檢測(cè)系統(tǒng)引擎

· 應(yīng)用程序識(shí)別，完整的堆棧能見度和顆粒控制

· 有能力從防火墻外部吸收信息，比如基于目錄的策略、黑名單、白名單等。

· 升級(jí)途徑包括未來的信息反饋和安全威脅。

· SSL解密能力，從而識(shí)別出不受歡迎的加密應(yīng)用數(shù)據(jù)。

下一代防火墻的進(jìn)化

擁有 SPI功能的防火墻在惡意軟件還不太盛行，網(wǎng)站還主要以文本為主的時(shí)代，確實(shí)幫助企業(yè)解決了不少安全難題。端口、IP地址還有協(xié)議，都是防火墻管理的關(guān)鍵因素。但是隨著互聯(lián)網(wǎng)的進(jìn)化，服務(wù)器開始提供動(dòng)態(tài)的內(nèi)容，而客戶端瀏覽器也支持了更多的應(yīng)用，也就是進(jìn)入了Web 2.0時(shí)代。

如今，來自Salesforce.com 、SharePoint 以及 Farmville 等各種網(wǎng)站的網(wǎng)絡(luò)應(yīng)用統(tǒng)統(tǒng)在使用TCP的80端口，加密數(shù)據(jù)則采用SSL的接口TCP 443。下一代防火墻將能夠?qū)崟r(shí)的檢測(cè)數(shù)據(jù)包的有效載荷，并對(duì)有效載荷進(jìn)行簽名比對(duì)，判斷是否為已知的惡意代碼、病毒和惡意軟件。DPI還意味著管理員可以創(chuàng)建足夠詳細(xì)的允許和拒絕規(guī)則，對(duì)特定的應(yīng)用程序或網(wǎng)站進(jìn)行訪問控制。由于數(shù)據(jù)包中的內(nèi)容可以被深度檢測(cè)，由此生成各種統(tǒng)計(jì)信息就成為了可能，這意味著管理員可以更輕松的進(jìn)行流量分析，制定網(wǎng)絡(luò)容量計(jì)劃，也可以更簡(jiǎn)單的查找網(wǎng)絡(luò)故障來源，監(jiān)視企業(yè)網(wǎng)絡(luò)員工的上網(wǎng)行為。目前的防火墻操作還停留在OSI模型的2至7層。

企業(yè)需要什么

企業(yè)正在飽受網(wǎng)絡(luò)應(yīng)用程序混亂的痛苦。網(wǎng)絡(luò)通信已經(jīng)遠(yuǎn)遠(yuǎn)不像從前那種類似于電子郵件的簡(jiǎn)單的存儲(chǔ)并轉(zhuǎn)發(fā)模式了，而是已經(jīng)擴(kuò)展成了包括實(shí)時(shí)協(xié)作工具、Web 2.0應(yīng)用、即時(shí)消息(IM)、點(diǎn)到點(diǎn)應(yīng)用、VoIP、流媒體以及遠(yuǎn)程視頻會(huì)議等多種應(yīng)用模式了。每種網(wǎng)絡(luò)應(yīng)用自身都存在潛在的安全風(fēng)險(xiǎn)。很多企業(yè)在實(shí)際工作中甚至無法將企業(yè)關(guān)鍵應(yīng)用與那些非關(guān)鍵應(yīng)用或單純的拖累帶寬的應(yīng)用區(qū)分開。

如今，企業(yè)需要擁有應(yīng)對(duì)關(guān)鍵業(yè)務(wù)的解決方案，同時(shí)還要擁有應(yīng)對(duì)那些浪費(fèi)網(wǎng)絡(luò)帶寬的員工以及他們每天所運(yùn)行的各式各樣(甚至是危險(xiǎn)的)的網(wǎng)絡(luò)應(yīng)用的解決方案。關(guān)鍵業(yè)務(wù)需要以帶寬為優(yōu)先考慮因素，而社交媒體和游戲類的網(wǎng)絡(luò)應(yīng)用則需要被控制帶寬，甚至是阻止訪問。另一方面，如圖企業(yè)的網(wǎng)絡(luò)策略無法滿足當(dāng)?shù)卣陌踩芾項(xiàng)l例，有可能還會(huì)面臨著警告、罰款甚至失去營業(yè)資質(zhì)的危險(xiǎn)。

在當(dāng)代企業(yè)中，安全防護(hù)和網(wǎng)絡(luò)性能應(yīng)該是齊頭并進(jìn)的。企業(yè)不應(yīng)該再由于SPI型防火墻所帶來的網(wǎng)絡(luò)延遲而忍痛降低安全性換取網(wǎng)絡(luò)性能。防火墻或網(wǎng)絡(luò)性能的任何延遲，都可能會(huì)對(duì)那些實(shí)時(shí)性要求較強(qiáng)的應(yīng)用造成巨大影響，從而降低這些應(yīng)用的服務(wù)水平和企業(yè)的生產(chǎn)效率。 在某些極端情況下，企業(yè)甚至?xí)艞壘W(wǎng)絡(luò)安全解決方案中的某些功能，以避免網(wǎng)絡(luò)性能出現(xiàn)明顯的降低或延遲。

企業(yè)不論大小，不論是國企還是私企，都面臨著各種新型網(wǎng)絡(luò)應(yīng)用中存在的潛在安全風(fēng)險(xiǎn)。這是我們所面對(duì)的豐富而美好的社交網(wǎng)絡(luò)中隱藏的陷阱：網(wǎng)絡(luò)犯罪分子們制造惡意軟件并時(shí)刻搜索著網(wǎng)絡(luò)上的獵物。而普通網(wǎng)民不論是在公司還是在家，都在使用博客、社交網(wǎng)站、即時(shí)消息、視頻、音樂、游戲、網(wǎng)絡(luò)購物和電子郵件等種種網(wǎng)絡(luò)應(yīng)用。一些網(wǎng)絡(luò)應(yīng)用，如視頻流媒體，點(diǎn)到點(diǎn)通信以及托管或基于云的網(wǎng)絡(luò)應(yīng)用，都會(huì)將企業(yè)至于潛在的黑客入侵、數(shù)據(jù)泄露以及斷網(wǎng)等風(fēng)險(xiǎn)中。除了增加安全風(fēng)險(xiǎn)，這些網(wǎng)絡(luò)應(yīng)用還會(huì)拖累帶寬和企業(yè)的生產(chǎn)效率，與企業(yè)的關(guān)鍵性業(yè)務(wù)應(yīng)用爭(zhēng)奪帶寬。這其中的關(guān)鍵就在于，企業(yè)需要通過某種工具來確保關(guān)鍵業(yè)務(wù)相關(guān)的應(yīng)用能夠獲得足夠的帶寬保障，同時(shí)需要這種工具具備應(yīng)用智能和控制能力，以便保護(hù)流入和流出的數(shù)據(jù)流安全。只有確保網(wǎng)絡(luò)的速度和安全性都足夠好，企業(yè)才能擁有一個(gè)具有良好生產(chǎn)效率的網(wǎng)絡(luò)環(huán)境。

NGFWS的優(yōu)勢(shì)

下一代防火墻能在千兆級(jí)甚至更高的網(wǎng)絡(luò)速度下提供應(yīng)用智能和控制能力、入侵預(yù)防能力、惡意軟件保護(hù)以及SSL檢測(cè)能力。

更強(qiáng)的是 NGFW可以讓管理員分別控制和管理與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)流以及與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)數(shù)據(jù)流，確保企業(yè)的網(wǎng)絡(luò)生產(chǎn)效率保持高水平。而且下一代防火墻可以掃描各個(gè)端口的文件，不限制文件大小，也不會(huì)在掃描時(shí)影響數(shù)據(jù)的安全性或網(wǎng)絡(luò)的效率。對(duì)于高端的下一代防火墻來說，可以同時(shí)掃描的文件或網(wǎng)絡(luò)數(shù)據(jù)流的數(shù)量是沒有限制的，因此不會(huì)出現(xiàn)防火墻負(fù)載過重時(shí)，被惡意代碼感染的文件有機(jī)會(huì)漏過掃描進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的情況。另外，下一代防火墻還可以將所有安全和程序控制技術(shù)應(yīng)用到SSL加密數(shù)據(jù)流中，確保SSL數(shù)據(jù)流中沒有惡意代碼。

在選擇具備深度數(shù)據(jù)包檢測(cè)功能的下一代防火墻時(shí)，IT管理者需要注意的是，目前市場(chǎng)上的下一代防火墻在處理器架構(gòu)上存在不同的架構(gòu)。有些廠商采用的是通用處理器外加安全協(xié)處理器的架構(gòu)，有些廠商采用的則是自己設(shè)計(jì)的ASIC(專用集成電路)平臺(tái)架構(gòu)。選擇哪種架構(gòu)并不重要，重要的是要確保所選擇的下一代防火墻能夠完全滿足企業(yè)的網(wǎng)絡(luò)性能需求，能夠提供最好的穩(wěn)定性，提供最實(shí)用的網(wǎng)絡(luò)分析功能和網(wǎng)絡(luò)觀察能力，另外還要有方便的部署和管理性。