企業(yè)的IT管理人員必須兼顧網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全問(wèn)題。雖然安全要求對(duì)企業(yè)很重要，但企業(yè)不能為了安全而犧牲吞吐量和生產(chǎn)力。上一代防火墻給現(xiàn)在的企業(yè)帶來(lái)嚴(yán)重的安全風(fēng)險(xiǎn)，它們的技術(shù)實(shí)際上已經(jīng)過(guò)時(shí)，因?yàn)樗鼈儫o(wú)法檢查攻擊者散播的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)負(fù)載。很多供應(yīng)商吹捧狀態(tài)數(shù)據(jù)包檢測(cè)(SPI)速度，但對(duì)安全和性能真正的衡量標(biāo)準(zhǔn)是深度數(shù)據(jù)包檢測(cè)吞吐量和有效性。為了解決這方面的不足，很多防火墻采用了傳統(tǒng)桌面防病毒解決方案的惡意軟件檢測(cè)方法：緩沖下載的文件，然后檢查是否存在惡意軟件。這種方法的缺點(diǎn)是顯著的延遲性，同時(shí)它也帶來(lái)嚴(yán)重的安全風(fēng)險(xiǎn)，因?yàn)榕R時(shí)存儲(chǔ)會(huì)限制最大文件大小。

定義下一代防火墻

從本質(zhì)上講，下一代防火墻整合了入侵防御系統(tǒng)(IPS)以及應(yīng)用程序智能和控制，以查看被訪問(wèn)和處理的數(shù)據(jù)內(nèi)容。

Gartner將下一代防火墻定義為“執(zhí)行深度流量檢查和阻止攻擊的線速綜合網(wǎng)絡(luò)平臺(tái)”，Gartner認(rèn)為下一代防火墻至少應(yīng)該提供以下功能：

◆非破壞性串聯(lián)網(wǎng)路嵌入式配置

◆標(biāo)準(zhǔn)第一代防火墻功能，例如網(wǎng)絡(luò)地址翻譯(NAT)、狀態(tài)協(xié)議檢測(cè)(SPI)和虛擬專用網(wǎng)絡(luò)(VPN)等

◆集成基于簽名的IPS引擎

◆應(yīng)用程序意識(shí)，全棧可視性和精細(xì)控制

◆結(jié)合防火墻外部信息的能力，例如基于目錄的政策、黑名單和白名單等

◆升級(jí)路徑以涵蓋未來(lái)信息源和安全威脅

◆SSL解密以識(shí)別不良加密應(yīng)用程序

下一代防火墻的演變

SPI那一代防火墻只適用于以前的網(wǎng)絡(luò)環(huán)境，當(dāng)時(shí)惡意軟件還沒(méi)有成為一個(gè)大問(wèn)題，網(wǎng)頁(yè)只是可以讀取的文檔，端口、IP地址和協(xié)議是管理的關(guān)鍵因素。但隨著互聯(lián)網(wǎng)的發(fā)展，從服務(wù)器和客戶端瀏覽器提供動(dòng)態(tài)內(nèi)容的能力催生了豐富的應(yīng)用程序，也就是我們所說(shuō)的Web 2.0。

現(xiàn)在，從Salesforce.com的應(yīng)用程序到SharePoint，再到Farmville，都是在TCP端口80以及加密SSL(TCP端口443)運(yùn)行。下一代防火墻會(huì)檢查數(shù)據(jù)包的有效載荷，并匹配簽名來(lái)查找惡意活動(dòng)，例如已知漏洞、利用攻擊、病毒和惡意軟件等。DPI也意味著管理員可以創(chuàng)建非常細(xì)粒度的允許和拒絕規(guī)則，以控制特定應(yīng)用程序和網(wǎng)站。由于防火墻檢查了所有數(shù)據(jù)包的內(nèi)容，我們還可以輸出所有類型的統(tǒng)計(jì)信息，這意味著管理員現(xiàn)在可以簡(jiǎn)單的挖掘流量分析來(lái)進(jìn)行容量鬼話、故障排除或者監(jiān)控員工的活動(dòng)。

企業(yè)需要什么

企業(yè)正陷入應(yīng)用程序混亂中。網(wǎng)絡(luò)通信不再僅僅依賴于存儲(chǔ)和轉(zhuǎn)發(fā)應(yīng)用程序(例如電子郵件)，而已經(jīng)擴(kuò)展到涵蓋實(shí)時(shí)協(xié)作工具、Web 2.0應(yīng)用程序、即時(shí)消息(IM)和P2P應(yīng)用程序、語(yǔ)音IP電話(VoIP)、流媒體和電話會(huì)議，這些都帶來(lái)潛在風(fēng)險(xiǎn)。很多企業(yè)無(wú)法區(qū)分網(wǎng)絡(luò)中使用的具有合法業(yè)務(wù)目的應(yīng)用程序與那些不是關(guān)鍵型應(yīng)用程序(只是消耗帶寬或者帶來(lái)危險(xiǎn))。

現(xiàn)在，企業(yè)需要提供關(guān)鍵業(yè)務(wù)解決方案，同時(shí)還需要滿足用戶的需求，允許他們使用耗費(fèi)帶寬且危險(xiǎn)的(從安全的角度來(lái)看)基于Web的應(yīng)用程序。關(guān)鍵應(yīng)用程序需要帶寬優(yōu)先級(jí)，而社交媒體和游戲應(yīng)用程序需要被節(jié)流或者完全阻止。此外，如果企業(yè)不符合安全要求和規(guī)定的話，企業(yè)可能面臨罰款或者虧損。

在當(dāng)今的企業(yè)，安全保護(hù)和性能“一個(gè)都不能少”。企業(yè)不能再忍受傳統(tǒng)SPI防火墻提供的較差的安全性，也無(wú)法容忍一些下一代防火墻帶來(lái)的網(wǎng)絡(luò)瓶頸。防火墻或網(wǎng)絡(luò)性能的任何延遲都可能影響延遲敏感型和協(xié)作應(yīng)用程序，而這反過(guò)來(lái)又可能對(duì)服務(wù)水平和生產(chǎn)力產(chǎn)生負(fù)面影響。讓事情更糟糕的是，一些IT企業(yè)甚至禁用其網(wǎng)絡(luò)安全解決方案中的功能以避免網(wǎng)絡(luò)性能的下降。

所有企業(yè)都面臨著常用應(yīng)用程序中的漏洞帶來(lái)的風(fēng)險(xiǎn)，這是美麗的社交網(wǎng)絡(luò)世界的“骯臟的小秘密”：它們是惡意軟件和網(wǎng)絡(luò)攻擊者監(jiān)測(cè)其不知情的受害者的最佳場(chǎng)所。同時(shí)，企業(yè)員工使用企業(yè)和家庭辦公電腦使用博客、社交網(wǎng)絡(luò)、通信、視頻、音樂(lè)、游戲、購(gòu)物和電子郵件。視頻流、點(diǎn)到點(diǎn)(P2P)以及托管或云計(jì)算應(yīng)用程序讓企業(yè)面臨潛在的風(fēng)險(xiǎn)，例如潛在的滲透、數(shù)據(jù)泄漏和停機(jī)。除了帶來(lái)安全風(fēng)險(xiǎn)外，這些應(yīng)用程序還消耗帶寬和生產(chǎn)力，并且與關(guān)鍵業(yè)務(wù)型應(yīng)用程序爭(zhēng)搶寶貴的網(wǎng)絡(luò)帶寬。更重要的是，企業(yè)需要工具來(lái)保證業(yè)務(wù)關(guān)鍵應(yīng)用程序的帶寬，并需要應(yīng)用程序智能和控制來(lái)保護(hù)入站和出站的流量，同時(shí)確保速度和安全性以提供高校的工作環(huán)境。

下一代防火墻的優(yōu)勢(shì)

下一代防火墻可以提供應(yīng)用程序智能和控制、入侵防御、惡意軟件防護(hù)和SSL檢查，還可擴(kuò)展到支持最高性能網(wǎng)絡(luò)。

最強(qiáng)大的下一代防火墻使管理員能夠同時(shí)控制和管理業(yè)務(wù)以及非業(yè)務(wù)相關(guān)的應(yīng)用程序，以確保網(wǎng)絡(luò)和員工的工作效率，并且他們可以掃描跨任何端口的任何大小的文件，而不會(huì)影響安全性和性能。同步文件或網(wǎng)絡(luò)流的數(shù)量不會(huì)限制高端下一代防火墻，所以，受感染的文件沒(méi)有機(jī)會(huì)溜出去。此外，下一代防火墻可以向SSL加密流量應(yīng)用所有安全和應(yīng)用程序控制技術(shù)，確保這不會(huì)成為網(wǎng)絡(luò)的新的惡意軟件載體。

IT管理員在選擇深度數(shù)據(jù)包檢測(cè)防火墻時(shí)，需要注意在下一代防火墻中，存在多種處理器架構(gòu)的方法。有些人選擇通用處理器以及獨(dú)立的安全協(xié)處理器。還有一些人選擇設(shè)計(jì)和建造ASIC(應(yīng)用程序?qū)Ｓ眉呻娐?平臺(tái)。對(duì)于IT管理人員來(lái)說(shuō)，關(guān)鍵是確保他們選擇的下一代防火墻具有可擴(kuò)展性，以滿足其預(yù)期的網(wǎng)絡(luò)性能要求，同時(shí)，所選的下一代防火墻能夠提供最強(qiáng)大的性能、最有用的網(wǎng)絡(luò)分析和能見(jiàn)度，以及易于部署和管理。