防火墻作為互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)之間的隔離層，起到了防御互聯(lián)網(wǎng)攻擊的作用。傳統(tǒng)的防火墻一般都是通過(guò)指定過(guò)濾某種協(xié)議或某些端口，以及限制來(lái)自或發(fā)送到某個(gè)IP地址數(shù)據(jù)流的方式實(shí)現(xiàn)安全防護(hù)功能。而如今，很多攻擊都是基于Web頁(yè)面的，它們采用常規(guī)的80端口（HTTP）和443端口（HTTPS）進(jìn)行傳播，這使得傳統(tǒng)的防火墻很難發(fā)現(xiàn)和識(shí)別混在正常網(wǎng)頁(yè)數(shù)據(jù)流中的惡意程序或攻擊信息。而一個(gè)可靠的防火墻，必須能夠有效的識(shí)別和屏蔽此類攻擊威脅。

走近下一代防火墻

“下一代防火墻”（縮寫NGFW）一般是指帶有入侵檢測(cè)等超出傳統(tǒng)防火墻功能的防火墻產(chǎn)品。這一概念和市場(chǎng)目前還相當(dāng)新潮，最先推出相應(yīng)產(chǎn)品的是Palo Alto Networks，它們目前推出了三款符合下一代防火墻概念的產(chǎn)品。除了防火墻廠商，市場(chǎng)調(diào)研機(jī)構(gòu)Gartner對(duì)于這一概念也情有獨(dú)鐘，該機(jī)構(gòu)通過(guò)以下標(biāo)準(zhǔn)來(lái)衡量防火墻市場(chǎng)的新產(chǎn)品是否可以被稱作下一代防火墻：

標(biāo)準(zhǔn)的防火墻功能，諸如包過(guò)濾，網(wǎng)址轉(zhuǎn)換以及VPN。

“綜合性”的網(wǎng)絡(luò)入侵預(yù)防能力。

具有“程序識(shí)別”能力，可以識(shí)別程序并在應(yīng)用程進(jìn)行控制（比如允許Skype呼叫，但是阻止其傳送文件）。

有能力感知并利用“其它防火墻”的信息來(lái)提高防御決策，比如使用信譽(yù)服務(wù)或活動(dòng)目錄中的身份服務(wù)獲取額外信息。

需要留意的是，不要因?yàn)榉阑饓S商使用了“下一代防火墻”這個(gè)詞語(yǔ)，就認(rèn)為該廠商推出的產(chǎn)品具備以上全部能力。每個(gè)廠商都在不斷的改進(jìn)自己的產(chǎn)品，同時(shí)會(huì)在產(chǎn)品中加入廠商自己所特長(zhǎng)的功能，從而區(qū)別于競(jìng)爭(zhēng)對(duì)手。

另外還有一個(gè)容易混淆的概念需要解釋一下，就是UTM（統(tǒng)一威脅管理），這是IDC發(fā)明的詞匯，用來(lái)指超越傳統(tǒng)意義防火墻的一類具備多種安全功能的設(shè)備。安全產(chǎn)品廠商可以用UTM或NGFW中的任何一個(gè)來(lái)描述它所生產(chǎn)的新型防火墻產(chǎn)品，也可以將其劃分為不同的產(chǎn)品類型。最常見(jiàn)的劃分方式是使用UTM 代指針對(duì)中小型企業(yè)的產(chǎn)品，使用NGFW描述針對(duì)大型企業(yè)的防火墻產(chǎn)品。由于市場(chǎng)和產(chǎn)品都在不斷升級(jí)變化中，因此未來(lái)很可能其中某個(gè)詞匯甚至這兩個(gè)詞匯都消失不見(jiàn)。因此我們?cè)谶x擇產(chǎn)品的時(shí)候，應(yīng)該關(guān)注于產(chǎn)品的功能和性能，而不是看被廠家冠以了UTM或NGFW這樣的頭銜。

評(píng)估NGFW時(shí)要考慮的要點(diǎn)

不論是UTM還是NGFW，它們都是復(fù)雜的產(chǎn)品，而且由于缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，因此很難對(duì)不同廠家的此類產(chǎn)品進(jìn)行橫向?qū)Ρ取Ｒ袛嗄硞€(gè)產(chǎn)品的功能是否能夠幫助你，你必須深刻了解企業(yè)的需求，并進(jìn)行大量的測(cè)試：

架構(gòu)：下一代防火墻設(shè)備應(yīng)該將各種安全功能融入一個(gè)獨(dú)立的架構(gòu)中，以證明其是真正意義的集成，而不是簡(jiǎn)單的將多個(gè)安全設(shè)備塞進(jìn)一個(gè)防火墻外殼里。缺乏集成性能也許表示該產(chǎn)品的安全性能不夠令人滿意（比如由于數(shù)據(jù)在不同功能模塊間傳遞導(dǎo)致的數(shù)據(jù)包檢測(cè)速度降低）。

吞吐量性能：所有的附加安全功能、檢測(cè)功能無(wú)疑都會(huì)在一定程度上降低數(shù)據(jù)流的速度。因此，要確保當(dāng)所有安全功能都開(kāi)啟后，設(shè)備的數(shù)據(jù)吞吐量仍然能夠達(dá)到企業(yè)的要求。另外，在測(cè)試過(guò)程中，還要考慮到防火墻所采用的策略或規(guī)則數(shù)量，因?yàn)檫@些因素同樣會(huì)對(duì)防火墻處理速度有影響。

使用便利性：選擇下一代防火墻的一個(gè)重要原因是企業(yè)管理人員希望能夠簡(jiǎn)化多種安全設(shè)備維護(hù)和管理所帶來(lái)的不便。因此，下一代防火墻應(yīng)該具有直觀的管理界面，簡(jiǎn)單的規(guī)則或策略制定流程。而一些集成度不夠好的產(chǎn)品，在不同的安全功能設(shè)置界面上，會(huì)出現(xiàn)很明顯的差異。

和其他安全產(chǎn)品一樣，下一代防火墻也不是網(wǎng)絡(luò)安全的萬(wàn)靈藥。部署下一代防火墻也需要大量的工作，并需要不斷的維護(hù)。不過(guò)一旦成功部署NGFW，確實(shí)可以有效的減輕管理員的工作壓力，并提升應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊的防護(hù)效果。