下一代防火墻功能強(qiáng)大，你是不是對(duì)它們感到有點(diǎn)迷惑。

所謂的下一代防火墻(NGFW)是什么?

下一代防火墻縮寫(xiě)為NGFW，目前被多數(shù)廠商描述為擁有多功能安全防御和基于身份的應(yīng)用控制在內(nèi)的新型防火墻。這一描述得到了市場(chǎng)研究機(jī)構(gòu)Gartner的認(rèn)可。

NGFW的現(xiàn)狀是什么?

由于NGFW并不是一個(gè)科學(xué)術(shù)語(yǔ)，因此在市場(chǎng)營(yíng)銷中其內(nèi)容有很大的彈性，不過(guò)目前這一概念還沒(méi)有并過(guò)度宣傳。Gartner支持NGFW概念已有多年時(shí)間，在任何安全設(shè)備NGFW都將自身包裝為NGFW的潮流中，Gartner一直保持中立。Gartner對(duì)NGFW最基本的定義正在給那些決定研發(fā)更為精巧的防火墻帶來(lái)影響，新防火墻不同于傳統(tǒng)基于端口的檢查與控制。

Gartner對(duì)NGFW的定義是什么?

Gartner對(duì)NGFW的定義可概括為以下幾點(diǎn)：

-必須具備網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢查、VPN等標(biāo)準(zhǔn)防火墻功能，并且適合大型企業(yè)。

-入侵防止系統(tǒng)被“真正集成”在防火墻中。

-有認(rèn)識(shí)應(yīng)用和設(shè)置控制的“應(yīng)用意識(shí)”

-“外防火墻”智能能夠提供幫助決策的信息;具有值得信賴的分析，與ActiveDirectory、有效的拒止或漏洞列表進(jìn)行整合。

如果一個(gè)廠商自稱他們提供的是NGFW，我是否應(yīng)該認(rèn)為他們的設(shè)備具有這些功能?

當(dāng)然不是。在營(yíng)銷中，使用NGFW這個(gè)詞進(jìn)行宣傳只是聽(tīng)起來(lái)感覺(jué)很不錯(cuò)。許多知名的防火墻廠商正在改造他們的防火墻生產(chǎn)線，以符合NGFW這個(gè)概念。成立于2007年的新興公司PaloAltoNetworks被認(rèn)為是首家推出下一代防火墻安全設(shè)備的廠商。該公司的舉措迫使傳統(tǒng)防火墻廠商做出改變。目前PaloAlto正在為他們的設(shè)備添加新的功能。

NGFW設(shè)備正在被廣泛使用嗎?

不是。Gartner估計(jì)目前NGFW支持的安全互聯(lián)支持低于1%的，不過(guò)到2014年將增至35%

統(tǒng)一威脅管理(UTM)是什么?

這一術(shù)語(yǔ)是IDC最先使用的，其概念與NGFW相似，都是經(jīng)整合的多用途安全設(shè)備。與NGFW一樣，UTM也不是一個(gè)科學(xué)術(shù)語(yǔ)，并且同樣沒(méi)有被過(guò)度宣傳。Gartner認(rèn)為IDC創(chuàng)造的UTM一詞指用于小型和中型市場(chǎng)的設(shè)備。相反，IDC則認(rèn)為NGFW才是指用于小型和中型市場(chǎng)的設(shè)備。

NGFW設(shè)備是否有可供購(gòu)買時(shí)做參考的獨(dú)立測(cè)試?

目前還沒(méi)有。目前NGFW的定義還沒(méi)有完全確定下來(lái)，獨(dú)立的實(shí)驗(yàn)室無(wú)法進(jìn)行獨(dú)立的對(duì)比測(cè)試。

購(gòu)買帶集成安全功能的NGFW是否比單獨(dú)購(gòu)買針對(duì)某一功能的設(shè)備更為便宜?

或許是這樣。不過(guò)一些早期使用者認(rèn)為NGFW的優(yōu)勢(shì)在于可以簡(jiǎn)化管理和操作。與此同時(shí)，一些用戶表示他們不希望完全放棄使用傳統(tǒng)防火墻或獨(dú)立的IPS(入侵防護(hù)系統(tǒng))，因此他們對(duì)完全依靠一個(gè)廠商和一個(gè)設(shè)備感到不放心。

基于身份的應(yīng)用控制背后的理念是什么?

大多數(shù)廠商表示，他們的NGFW將允許對(duì)1000多個(gè)應(yīng)用進(jìn)行基于策略的控制，并且可以與微軟ActiveDirectory進(jìn)行整合。其目標(biāo)是將決定哪些與互聯(lián)網(wǎng)連接的應(yīng)用允許被企業(yè)用戶使用。目前哪些不能使用已經(jīng)很明確了，如P2P或一些社交網(wǎng)絡(luò)?，F(xiàn)在有一個(gè)問(wèn)題，那就是當(dāng)用戶在防火墻外使用移動(dòng)設(shè)備時(shí)如何保護(hù)用戶。

我的公司是否現(xiàn)在就應(yīng)該使用整合有IPS、基于身份的應(yīng)用控制等功能的防火墻?

在遷移中會(huì)在規(guī)定、策略和培訓(xùn)上遇到很大的問(wèn)題。Gartner建議至少要關(guān)注廠商正在做什么，他們?cè)谑裁磮?chǎng)合公布了他們的路線圖，這樣才能在防火墻談判來(lái)到時(shí)對(duì)情況有個(gè)正確評(píng)估。

【編輯推薦】

1. 更快更智能 下一代防火墻新技術(shù)初探
2. 企業(yè)需要帶有入侵防御系統(tǒng)及應(yīng)用可見(jiàn)的下一代防火墻