有了Gartner的新防火墻魔力象限，關(guān)于下一代防火墻的爭論終將結(jié)束?，F(xiàn)在，隨著更多的企業(yè)部署了這項新技術(shù)，所有的問題都將迎刃而解。

Gartner的研究結(jié)果表明，基于端口和協(xié)議作出決策的有狀態(tài)防火墻現(xiàn)在已經(jīng)變成一種落后技術(shù)，企業(yè)正在大規(guī)模評估和安裝下一代防火墻。

新罕布什爾州首都地區(qū)醫(yī)療和協(xié)和醫(yī)院的CTOMarkStarry說：“我認為傳統(tǒng)防火墻并沒能防御攻擊公司網(wǎng)絡(luò)的大多數(shù)威脅。每個月我都會接到電話通知，告訴我醫(yī)院網(wǎng)絡(luò)感染一些病毒，而他們只使用了一個有某種IPS（入侵防御系統(tǒng)）的標準防火墻。”

兩年前，Starry將原來的CheckPointSoftware和Juniper防火墻更換為PaloAltoNetworks的下一代防火墻。今年，他發(fā)現(xiàn)新罕布什爾州所有大型醫(yī)院都轉(zhuǎn)而采用PaloAlto的產(chǎn)品。他說：“有一家醫(yī)院曾經(jīng)因為病毒感染而停止營業(yè)三天，現(xiàn)在這家醫(yī)院正在考慮用PaloAlto的產(chǎn)品。”

防火墻魔力象限：下一代防火墻規(guī)則

下一代防火墻，也稱為感知應(yīng)用程序的防火墻，通常也具備有狀態(tài)防火墻傳統(tǒng)的端口和協(xié)議分析功能，但是它們還能夠根據(jù)產(chǎn)生網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用程序進行流量檢測。在最近幾年，Web應(yīng)用程序呈現(xiàn)爆炸性增長，這個功能也因此變得至關(guān)重要，因為大多數(shù)有狀態(tài)防火墻只能夠識別80端口的HTTP流量。

多年來，分析公司Gartner一直認為下一代防火墻是防火墻行業(yè)的未來，而在它最新發(fā)布的企業(yè)防火墻魔力象限中，它認為這個趨勢變得比以前更為清晰。Gartner推薦了PaloAlto網(wǎng)絡(luò)公司，這家公司的技術(shù)在過去幾年獲得行業(yè)認可，與CheckPointSoftware一起成為市場領(lǐng)跑者。

同時，作為長期占據(jù)Gartner魔力象限領(lǐng)軍位置的Juniper，仍然位列于傳統(tǒng)的有狀態(tài)防火墻，現(xiàn)在也已經(jīng)落入挑戰(zhàn)者象限，與思科、McAfee和Fortinet處于相同的狀態(tài)。思科的防火墻也只有有限的下一代功能。魔力象限定義的挑戰(zhàn)者，是指那些擁有執(zhí)行解決方案的銷售與支持團隊、但缺乏強有力技術(shù)計劃的公司。

Gartner公司的研究副總裁GregYoung說：“我們一直在等待防火墻供應(yīng)商進入下一代防火墻市場。但是他們繼續(xù)迷信IPS。而這些IPSec的質(zhì)量卻非常差。它們無法與這些獨立的下一代防火墻競爭。這些獨立產(chǎn)品越來越多，而傳統(tǒng)防火墻供應(yīng)商仍然忽視這部分市場。最終，客戶需求超過了這個領(lǐng)域所有供應(yīng)商所能夠提供的產(chǎn)品。因此，我們調(diào)整了魔力象限的標準，規(guī)定領(lǐng)導(dǎo)市場的必須是那些擁有下一代防火墻產(chǎn)品的公司。”

Young指出，在他接到Gartner咨詢客戶關(guān)于防火墻的所有咨詢電話中，大多數(shù)是關(guān)于下一代防火墻的。他們或者希望購買這些產(chǎn)品，或者多了解相關(guān)的信息。“我認為，幾年前客戶對下一代防火墻持懷疑態(tài)度是合理的，但是現(xiàn)在市場上已經(jīng)出現(xiàn)了可用產(chǎn)品和大量競爭?？蛻舻南敕ㄒ呀?jīng)開始轉(zhuǎn)變。”

潛在的實現(xiàn)問題

根據(jù)Gartner公司Young的觀點，下一代防火墻執(zhí)行的應(yīng)用層分析極耗費計算能力，所以企業(yè)在部署這些新型設(shè)備時必須仔細斟酌。例如，許多統(tǒng)一威脅管理（UTM）供應(yīng)商將他們的設(shè)備稱為下一代防火墻，但是企業(yè)很快發(fā)現(xiàn)這些設(shè)備更適合小型公司使用。當他們開啟全部特性，包括應(yīng)用程序檢測，UTM設(shè)備就會成為嚴重的瓶頸。

Young說：“我們已經(jīng)發(fā)現(xiàn)規(guī)模問題，大多數(shù)都是因為開啟了那些不是面向企業(yè)設(shè)計的特性。我們急需面向企業(yè)的UTM。下一代防火墻還有許多其他的性能問題未得到解決。如果只是硬件整合，將大量的元件強加到一個設(shè)備上，那么這就是問題的根源，它的性能會很差。”

但是，Young強調(diào)，許多防火墻供應(yīng)商現(xiàn)在已經(jīng)有強大的企業(yè)級下一代防火墻產(chǎn)品。各個供應(yīng)商相互爭論，認為的產(chǎn)品是最好的，但防火墻用戶必須自己評估這些產(chǎn)品，尋找最適合他們環(huán)境的產(chǎn)品。

下一代防火墻還給運營團隊帶來一個文化轉(zhuǎn)變。防火墻管理員長年都在規(guī)定處理端口和IP地址的規(guī)則，下一代防火墻將迫使他們離開自己經(jīng)營多年的樂土。

首都地區(qū)醫(yī)院的Starry說：“它植入了防火墻概念。您編寫的是基于應(yīng)用程序的規(guī)則，而非基于端口和IP地址的。防火墻管理員適應(yīng)基于應(yīng)用程序的規(guī)則有一定的難度。但是，您能夠掌握這兩種方法，也必須掌握這兩種方法。”

下一代防火墻：不要局限于精細應(yīng)用程序管理

加州大學(xué)歐文分校的系統(tǒng)管理員SteveGilmer指出，應(yīng)用程序可見性是很重要的，但是在選擇下一代防火墻時，這并非是他唯一的關(guān)注點。

Gilmer在大學(xué)安裝WatchGuard防火墻，以保護課堂網(wǎng)絡(luò)。他介紹說，他曾經(jīng)認真地研究每個下一代防火墻是如何進行HTTPS流量解密和檢測。他認為HTTPS是一個重要的惡意軟件威脅目標，但是大多數(shù)防火墻供應(yīng)商不推薦對HTTPS進行解密和檢測。相反，他們認為他們的產(chǎn)品能夠檢測出所有在網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的惡意軟件，允許網(wǎng)絡(luò)安全管理員在網(wǎng)絡(luò)中隔離感染病毒的機器。

Gilmer說：“顯然，惡意軟件已經(jīng)進入網(wǎng)絡(luò)，這就是問題所在。”所以Gilmer研究了各個防火墻供應(yīng)商是如何檢測惡意軟件的。許多供應(yīng)商都通過第三方供應(yīng)商產(chǎn)品來實現(xiàn)這個功能，但是很難評估每一個供應(yīng)商的優(yōu)劣。