像智能手機(jī)取代了功能手機(jī)，傳統(tǒng)防火墻必將被下一代防火墻所取代

在2009年，Gartner***次提出了下一代防火墻(NGFW，Next Generation Firewall)的概念，將應(yīng)用識別、IPS防護(hù)與傳統(tǒng)防火墻功能融合到了一起，幾個環(huán)節(jié)還可以智能聯(lián)動。如果說智能手機(jī)是互聯(lián)網(wǎng)寬帶化、移動化、社交化的趨勢下用戶對內(nèi)容訪問終端的要求。下一代防火墻的出現(xiàn)則是這些趨勢對網(wǎng)絡(luò)安全帶來新挑戰(zhàn)的結(jié)果。首先，Web2.0技術(shù)的發(fā)展和社交化的趨勢使基于Web開發(fā)的應(yīng)用數(shù)量大大增加，僅靠傳統(tǒng)的防火墻無法區(qū)分運(yùn)行在相同80端口上的不同業(yè)務(wù)應(yīng)用，必須準(zhǔn)確識別應(yīng)用以達(dá)到訪問控制和業(yè)務(wù)加速的目的。其次，寬帶化和移動化的趨勢使信息資產(chǎn)的重要性達(dá)到了***的高度，以自我證明為目的的黑客行為逐漸形成龐大的產(chǎn)業(yè)。各自為戰(zhàn)的傳統(tǒng)安全網(wǎng)關(guān)難以抵御變換無窮的新威脅，下一代防火墻必須集成多種防護(hù)功能并進(jìn)行智能的聯(lián)動。再次，越來越多的應(yīng)用層流量保護(hù)使UTM力不從心，性能不足以支撐。因此需要下一代防火墻在開啟多項(xiàng)應(yīng)用層防護(hù)功能后仍能正常使用。綜上可以看出，不是誰去選擇、創(chuàng)造了下一代防火墻，而是ICT技術(shù)發(fā)展的大勢逼迫企業(yè)將這樣一種設(shè)備應(yīng)用在新一代的網(wǎng)絡(luò)防護(hù)上。

下一代防火墻：從“過去將來式”變?yōu)?ldquo;現(xiàn)在進(jìn)行式”

下一代防火墻的概念是五年前提出的，到了今天已經(jīng)由“過去將來式”轉(zhuǎn)變?yōu)?ldquo;現(xiàn)在進(jìn)行式”。經(jīng)過多年的實(shí)踐，下一代防火墻產(chǎn)品已進(jìn)入成熟期，在海內(nèi)外各個行業(yè)已經(jīng)有很多成功的應(yīng)用。知名咨詢機(jī)構(gòu)Gartner在《2014年企業(yè)防火墻魔力象限》報告中指出，下一代防火墻已經(jīng)成為網(wǎng)絡(luò)防火墻市場的領(lǐng)軍產(chǎn)品，并預(yù)測2014年企業(yè)在邊界防火墻的新采購中70%都會選擇下一代防火墻。面對這樣的市場熱潮，各廠商紛紛推出自己的下一代防火墻產(chǎn)品，但在實(shí)際的使用中表現(xiàn)卻參差不齊。企業(yè)在采購中必須擦亮眼睛，重點(diǎn)關(guān)注下一代防火墻幾個方面的表現(xiàn)。

***，應(yīng)用識別的數(shù)量更多精度更準(zhǔn)。應(yīng)用識別也是下一代防火墻區(qū)別與傳統(tǒng)防火墻的重要特征，因此，識別數(shù)量和精度是判別下一代防火墻優(yōu)劣最重要的指標(biāo)之一。首先，應(yīng)用識別會用于訪問控制。安全制度嚴(yán)格的大企業(yè)，會基于應(yīng)用進(jìn)行訪問控制，僅放行必需的應(yīng)用。例如，僅允許網(wǎng)盤應(yīng)用的下載，但禁止向網(wǎng)盤上傳。這種情況下，識別數(shù)量和精度上的不足會直接影響業(yè)務(wù)。其次，應(yīng)用識別會用于業(yè)務(wù)帶寬管理和QoS優(yōu)化。例如，優(yōu)先轉(zhuǎn)發(fā)網(wǎng)頁瀏覽等高優(yōu)先級應(yīng)用流量，卻限制P2P等流量耗費(fèi)型應(yīng)用的應(yīng)用帶寬，將VoIP這類重要的業(yè)務(wù)流量轉(zhuǎn)向高質(zhì)量、有保障的鏈路通道。這些都依賴于應(yīng)用識別的能力。再次，應(yīng)用識別的結(jié)果還會用于后期的智能聯(lián)動防護(hù)。例如：對Oracle流量進(jìn)行僅和Oracle相關(guān)特定漏洞的IPS防護(hù)，從而提升性能、降低誤報率。由此看來，應(yīng)用識別能力有限的下一代防火墻產(chǎn)品防護(hù)效果也有限，業(yè)界領(lǐng)先的產(chǎn)品的應(yīng)用識別數(shù)量基本在3000以上。

第二，功能全面性與應(yīng)用防護(hù)性能兼?zhèn)洹?/strong>客戶在選擇產(chǎn)品時常常僅看到功能的全面性，卻忽視了開啟這些功能后的性能，以至于購買的設(shè)備僅能作為傳統(tǒng)防火墻使用。這樣的下一代防火墻只是徒有其名，真實(shí)的能力只是和UTM差不多。下一代防火墻至少應(yīng)融合IPS的防護(hù)，各廠家根據(jù)各自的理解還集成了其他更多的功能。IPS是下一代防火墻的重要功能，優(yōu)秀的下一代防火墻產(chǎn)品開啟該功能后整機(jī)性能下降不應(yīng)超過50%。