雖然業(yè)界對(duì)于“下一代防火墻”依然眾說紛紜，但進(jìn)入2011年，銳捷網(wǎng)絡(luò)、梭子魚、深信服、Palo Alto Networks、SonicWALL、WatchGuard等網(wǎng)絡(luò)安全廠商緊鑼密鼓地推出下一代防火墻產(chǎn)品(Next Generation Firewall)，似有遍地開花之勢(shì)。

“下一代防火墻”這一名詞的提出，有人說它是具備多重安全防護(hù)功能的多功能防火墻;也有人說它是高級(jí)的UTM……各家廠商也在不同詮釋著自己的下一代防火墻產(chǎn)品。但不管各方如何對(duì)下一代防火墻定義，都得回歸到用戶對(duì)防火墻的需求上來。

當(dāng)前，傳統(tǒng)網(wǎng)絡(luò)防火墻基于端口/協(xié)議的防御方式已經(jīng)無力招架應(yīng)用環(huán)境下的多變威脅。企業(yè)不斷變化的業(yè)務(wù)流程、企業(yè)部署的技術(shù)以及威脅，正推動(dòng)對(duì)網(wǎng)絡(luò)安全性的新需求，不斷增長(zhǎng)的帶寬需求和新應(yīng)用架構(gòu)，正在改變協(xié)議的使用方式和數(shù)據(jù)的傳輸方式。安全威脅將焦點(diǎn)集中在誘使用戶安裝可逃避安全設(shè)備及軟件檢測(cè)的有針對(duì)性的惡意執(zhí)行程序上。在這種環(huán)境中，簡(jiǎn)單地強(qiáng)制要求在標(biāo)準(zhǔn)端口上使用合適的協(xié)議和阻止對(duì)未打補(bǔ)丁的服務(wù)器的探測(cè)，不再有足夠的價(jià)值。隨著攻擊變得越來越復(fù)雜，企業(yè)必須更新網(wǎng)絡(luò)防火墻和入侵防御能力來保護(hù)業(yè)務(wù)系統(tǒng)。

從各家廠商產(chǎn)品的功能來看，都聚焦到防火墻中對(duì)應(yīng)用程序的可視性和控制性。SonicWALL NSA E8510由SonicOS 5.8管理軟件支持，提供零時(shí)延入侵檢測(cè)和反惡意軟件保護(hù)。SonicOS 5.8的應(yīng)用智能和控制功能可實(shí)現(xiàn)對(duì)應(yīng)用程序流量和帶寬的實(shí)時(shí)細(xì)粒度控制。

銳捷網(wǎng)絡(luò)認(rèn)為云計(jì)算時(shí)代的來臨，使用戶業(yè)務(wù)模型發(fā)生變化，對(duì)傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)也提出了全新挑戰(zhàn)。用戶越來越認(rèn)識(shí)到業(yè)務(wù)的高效和安全不可偏廢，同等重要。一方面，在實(shí)施安全策略的同事，不能影響業(yè)務(wù)的高效運(yùn)行;另一方面，高清視頻、交互式應(yīng)用的廣泛應(yīng)用，也要求安全設(shè)備擁有與其相匹配的超高性能。

4月份，銳捷網(wǎng)絡(luò)正式對(duì)外發(fā)布了國內(nèi)首個(gè)面向云計(jì)算的下一代防火墻產(chǎn)品系列。著力于通過高集成度，解決傳統(tǒng)UTM產(chǎn)品全業(yè)務(wù)開啟可用性問題;能實(shí)現(xiàn)140G吞吐量，高達(dá)0.5億的并發(fā)處理能力;實(shí)現(xiàn)基于用戶、資源、應(yīng)用的訪問控制。

梭子魚何平認(rèn)為，“未來三年，傳統(tǒng)防火墻廠商會(huì)增加應(yīng)用層防護(hù)，應(yīng)用層導(dǎo)向的廠商會(huì)加入網(wǎng)絡(luò)層，最終走向下一代防火墻取代網(wǎng)絡(luò)防火墻。”如果對(duì)傳統(tǒng)防火墻、UTM和下一代防火墻用版本號(hào)來形容的話，傳統(tǒng)防火墻就是1.0版本，UTM是1.5版本，下一代防火墻則是2.0版本。所以，下一代防火墻在Web2.0時(shí)代面對(duì)B/S架構(gòu)大有可為成為必然。

梭子魚4月底在中國發(fā)布下一代防火墻產(chǎn)品，除了基于角色和應(yīng)用的管理、具有傳統(tǒng)防火墻的所有功能、具備智能的流量控制和策略配合三要素外，梭子魚下一代防火墻加入了鏈路負(fù)載均衡的功能，優(yōu)化多條鏈路的帶寬使用率，保證企業(yè)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。

網(wǎng)絡(luò)設(shè)備供應(yīng)商深信服6月正式發(fā)布下一代防火墻NGAF，宣告深信服正式進(jìn)入防火墻市場(chǎng)。深信服發(fā)布的下一代防火墻提供三大價(jià)值點(diǎn)：可視化的業(yè)務(wù)安全，體現(xiàn)在網(wǎng)絡(luò)安全策略的可視化以及安全報(bào)表的可視化。內(nèi)容的安全識(shí)別，使用戶擺脫基于IP、Mac的“黑白”管控維度，為用戶帶來應(yīng)用層的安全。完整的安全防護(hù)，通過集成傳統(tǒng)網(wǎng)絡(luò)安全模塊(身份認(rèn)證、NAT、抗攻擊、VPN)以及可視化應(yīng)用管控、全面應(yīng)用安全(漏洞防護(hù)、web安全防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)、灰度威脅識(shí)別)、智能風(fēng)險(xiǎn)審計(jì)四大功能模塊，為用戶提供對(duì)出入站流量的全面安全防護(hù)、管理、風(fēng)險(xiǎn)審計(jì)。并且采用單次解析架構(gòu)，避免傳統(tǒng)UTM等多合一安全設(shè)備存在的7層分析不足的問題。

WatchGuard也在5月發(fā)布下一代防火墻產(chǎn)品XTM 2050，為大型企業(yè)和數(shù)據(jù)中心提供企業(yè)級(jí)安全防護(hù)能力，滿足用戶對(duì)高性能防火墻、應(yīng)用程序控制和入侵防御系統(tǒng)(IPS)的要求，防范數(shù)據(jù)盜竊、惡意軟件和安全漏洞的侵害。

Web是當(dāng)今各類組織所面臨的各類安全威脅的首要來源，而Web應(yīng)用程序經(jīng)常會(huì)成為攻擊者的主要焦點(diǎn)。據(jù)悉，WatchGuard能對(duì)1800多項(xiàng)應(yīng)用程序?qū)嵤┘?xì)粒度控制，并能夠掌握哪些應(yīng)用程序正在使用中以及誰在使用這些應(yīng)用程序。并且集成入侵防御功能，IPS與應(yīng)用層內(nèi)容檢查功能協(xié)同工作，提供了針對(duì)各類網(wǎng)絡(luò)威脅的實(shí)時(shí)防護(hù)能力。

正是由于傳統(tǒng)網(wǎng)絡(luò)防火墻對(duì)應(yīng)用程序可視性和控制的缺乏，傳統(tǒng)方法要求在防火墻后面部署其他“輔助防火墻”。這種高成本的做法由于通信流的低可視性、繁瑣的管理程序，及包括多層掃描的軟體設(shè)計(jì)、低執(zhí)行效能而導(dǎo)致的延遲。下一代防火墻順勢(shì)而生，滿足應(yīng)用時(shí)代企業(yè)面臨的網(wǎng)絡(luò)安全威脅新要求。

雖然各網(wǎng)安廠商不遺余力的宣傳部署下一代防火墻的必要性，但是否會(huì)得到用戶的認(rèn)可還有待時(shí)間觀察，目前國內(nèi)企業(yè)實(shí)踐的案例還極低。由于NGFW的眾多集成功能，是否會(huì)造成網(wǎng)絡(luò)延遲和性能的降低，同時(shí)，是不是易管理也成為企業(yè)重要考量。而下一代防火墻供應(yīng)商同樣需要去證明NGFW的部署會(huì)對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的改變?cè)斐啥啻笥绊懀蚴欠窬哂幸欢▋r(jià)格優(yōu)惠。

51CTO編者按：正如文中所述，下一代防火墻還僅僅是處于宣傳階段，更多的人是希望了解它與傳統(tǒng)產(chǎn)品之間的差別，NGFW能否給我們帶來不一樣的應(yīng)用呢？有沒有必要更換現(xiàn)有的安全產(chǎn)品呢？然而，現(xiàn)在眾多廠商所發(fā)布的產(chǎn)品各不相同，也有概念上的區(qū)別。不少用戶都無法區(qū)分UTM和下一代防火墻之間的差異，這不禁讓大家迷惑，從而對(duì)于下一代防火墻這個(gè)產(chǎn)品望而卻步。