互聯(lián)網(wǎng)的普及，云計(jì)算的浪潮，我們越來越離不開網(wǎng)絡(luò)環(huán)境。這種依賴，讓網(wǎng)絡(luò)犯罪分子們看到了巨大的機(jī)會，有針對性的攻擊越來越多，網(wǎng)絡(luò)安全形勢嚴(yán)峻。

其中最為嚴(yán)重的是WEB應(yīng)用安全問題。現(xiàn)在的攻擊超過75%甚至80%以上都是針對WEB應(yīng)用的。黑客一般要攻擊一個網(wǎng)站，目的不再是剛開始的炫耀，而是為了獲取信息、獲取利益，這種攻擊行為通常是來無影、去無蹤的。最好的實(shí)例就是近日的索尼被黑事件，影響之嚴(yán)重，我們有目共睹。

如何更好的實(shí)現(xiàn)網(wǎng)絡(luò)安全已迫在眉睫。目前，防火墻仍是很多企業(yè)最重要的安全設(shè)備之一。但隨著新型威脅造成的危害日益嚴(yán)重，傳統(tǒng)防火墻越來越力不從心，下一代防火墻順勢而來。

很多廠商都提出了各自下一代防火墻的概念，概念的不統(tǒng)一讓我們對下一代防火墻充滿疑惑，什么才是下一代防火墻？下一代防火墻究竟是干什么的？它比傳統(tǒng)防火墻強(qiáng)在哪里？

前段時間，編者參加了梭子魚2011年度戰(zhàn)略新品發(fā)布會，會上推出了一款下一代防火墻，并就梭子魚下一代防火墻概念進(jìn)行了講解。對于其中一些解釋，編者認(rèn)為值得借鑒。

梭子魚技術(shù)總監(jiān)谷新表示，“傳統(tǒng)防火墻在設(shè)計(jì)之初就帶有一個缺陷，可能在幾年之前沒什么問題，但是現(xiàn)在，這種缺陷越來越暴露出來。三大本質(zhì)缺陷：第一是安全方面的缺陷，傳統(tǒng)防火墻是控制三層，就是OSL的協(xié)議模型里，對應(yīng)用層沒辦法進(jìn)行控制和識別，它不知道到底是哪一種應(yīng)用通過了防火墻，所以也沒有辦法防御。第二個缺陷，是流控方面的缺陷，如果你只有一條鏈路，但是你不同的應(yīng)用在用不同帶寬的時候，重要的應(yīng)用怎么提取出來，在這個方面?zhèn)鹘y(tǒng)防火墻是沒有辦法做到的。”

還有一個缺陷是運(yùn)維管理的缺陷?？赡芤慌_、兩臺沒關(guān)系，但是當(dāng)你的公司遍布全國，甚至全球有很多店，傳統(tǒng)的防火墻沒有辦法去控制，它沒有通過的策略管理。這就導(dǎo)致你部署的時候可能要花費(fèi)大量的人力，在維護(hù)的階段，也同樣要花大量的人力，”他補(bǔ)充道。

傳統(tǒng)防火墻的缺陷通常都能理解，那么可不可以部署一臺RPS，或者部署其他的來改善，或者可不可以用UTM？

“到底是改良還是改革？改革就是要更新?lián)Q代，改良就是修修補(bǔ)補(bǔ)。下一代是一個革新的東西，我們這里說革新，不是要改良，改良是解決不了更多問題的。”谷新說道，他舉了個例子，“手機(jī)經(jīng)歷到現(xiàn)在已經(jīng)是第三代了，第一代是大哥大，第二代是沒有彩屏的，只能有簡單的電話和短消息功能。當(dāng)我們用這個手機(jī)的時候，很多人要拍照了，我這個手機(jī)不能拍照，那我就要買一臺照相機(jī)，你可能還要聽音樂、看電影，再買一臺MP3或者M(jìn)P4。但是當(dāng)機(jī)型發(fā)展到三代的時候，很多人就用這種手機(jī)了，比如iPhone：這種手機(jī)具備前面所說的三種功能，除了這些功能之外，iPhone還有很多其他功能，遠(yuǎn)遠(yuǎn)不只前面這三種。”

一個大哥大加上一個相機(jī)，再加上一個MP4小于一臺iPhone。

這個就是UTM和下一代防火墻的區(qū)別，下一代防火墻，不僅僅是UTM，很多東西UTM實(shí)現(xiàn)不了，所以必須要改革，必須要革新，要更新?lián)Q代，才能滿足現(xiàn)代網(wǎng)絡(luò)發(fā)展的需要。”谷新這樣表示道。

梭子魚下一代防火墻采用的是一個單引擎的技術(shù)。什么叫單引擎呢？就是當(dāng)數(shù)據(jù)包過來以后，要把它打開，只要打開一次，不僅僅是端口要訪問，應(yīng)用要訪問，所有該控制的模塊都要來進(jìn)行訪問，一次性就完成了，不需要采用串聯(lián)的方式。這是單引擎的工作模式，是一個本質(zhì)的區(qū)別。UTM要組合很多功能，它的工作模式是，通過防火墻過了一關(guān)，再過IPS，IPS過了，可能過WEB安全網(wǎng)關(guān)，是一個串聯(lián)的形式，要一關(guān)一關(guān)的過，所以效率很低，因此UTM的性能很差。

NG防火墻會在未來的一段時間替代掉所有的網(wǎng)絡(luò)防火墻，這是趨勢。它自身有個應(yīng)用安全的優(yōu)勢，這個產(chǎn)品或者這一類的產(chǎn)品會成為市場主流。NG防火墻最大的一個貢獻(xiàn)在于，原來網(wǎng)絡(luò)防火墻更多的給用戶的是一個物理感覺，端口，IP地址，非專業(yè)人士還真不知道這是什么。”梭子魚總經(jīng)理何平表示，“但是我們每個用戶應(yīng)該知道自己的應(yīng)用，QQ我知道，郵件我知道，我在公司里什么位置也知道，我是網(wǎng)管員還是部門經(jīng)理，還是總經(jīng)理，所以可以這么講，大家會發(fā)現(xiàn)進(jìn)入Windows，不同的帳號登錄，配置是不一樣的。NG防火墻就相當(dāng)于未來的一個操作窗口，所以NG防火墻應(yīng)該是未來防火墻的一個主流，它實(shí)際上是從DOS系統(tǒng)升級到Windows系統(tǒng)。”

何平預(yù)言，“不出三年，大家會看到所有的傳統(tǒng)防火墻廠商，都會提出他們也是NG防火墻，他們也要進(jìn)行產(chǎn)品上的升級。傳統(tǒng)防火墻廠商會增加應(yīng)用層，應(yīng)用層導(dǎo)向的廠商會加入網(wǎng)絡(luò)層，最終會走向NG防火墻。”

這個預(yù)言或許已經(jīng)開始應(yīng)驗(yàn)，我們現(xiàn)在看到一些廠商都推出了下一代防火墻產(chǎn)品。

下一代防火墻性能如何？是否能實(shí)現(xiàn)最初的目標(biāo)？在不斷的發(fā)展趨勢中，讓我們拭目以待！

【編輯推薦】

1. 企業(yè)如何選購和使用UTM設(shè)備的分析
2. 聚焦下一代防火墻 梭子魚全面布局“云安全”
3. SonicWALL推出廣域網(wǎng)加速產(chǎn)品 擴(kuò)展下一代防火墻產(chǎn)品線
4. “下一代防火墻”的未來發(fā)展趨勢