下一代防火墙：更高速更智能

申请免费试用、咨询电话：400-8352-114

对于通过常用的80端口和443端口来访问的互联网应用来说，基于端口的传统企业防火墙与其说像警卫，还不如说是应用的中转地，传统防火墙此时所起的安全作用正在减弱，它也逐步让位于功能强大的新一代高速智能防火墙（Next-Generation FireWall, NGFW）。

何谓下一代防火墙

所谓的下一代防火墙是指：它能够对数据流高效地完成入侵防护，同时还能识别出应用类型，以便根据使用者的身份执行相应的策略。它还足够聪明，可使用基于互联网的声誉分析等信息帮助过滤恶意软件，或者与活动目录集成。现在的问题是，我们多久后才能真正实现向下一代防火墙转型？

新兴公司Palo Alto Networks被认为是最先打出下一代防火墙旗号的厂商，它早在2007年就推出了可识别应用的多用途安全设备系列，今天已有2200多家客户。同时，Fortinet、思科、Check Point、McAfee等其他厂商同样一直在扩充或改造防火墙产品，以便其产品符合下一代防火墙的定义。此外，入侵防护系统（IPS）厂商Sourcefire也表示会在今年推出带IPS功能的可识别应用的防火墙。

不过，过去几年一直大力倡导新一代防火墙的Gartner认为，虽然厂商们在大力推广下一代防火墙，但目前这种防火墙的实际使用率还是非常低。Gartner的分析师Greg Young说：“我们认为，如今用新一代防火墙来保护的网络连接还不到1%。”但他预测，到2014年，这个比例会达到35%。

目前，关于如何定义下一代防火墙并没有定论，也还没有哪个独立的第三方实验室对所谓的下一代防火墙产品进行过测试，其困难就在于给下一代防火墙下一个明确、清晰的定义并不容易。即使对这种设备有自己定义的Gartner也承认“定义很混乱，一些厂商推出的这种设备具有应用控制功能，而另一些厂商在IPS方面比较先进。总体上，大多数企业防火墙厂商在这方面处于早期阶段。”

同时，统一威胁管理（UTM）这个术语让下一代防火墙术语规范问题变得更混乱了。IDC的分析师Charles Kolodgy是第一个提出UTM的人。他表示，UTM与下一代防火墙的意思大致一样。但Gartner认为，UTM应该是适用于中小型企业使用的安全设备，而下一代防火墙应该适合员工数量不少于1000人的大企业。

安全设备流行融合

目前，尽管对下一代防火墙在叫法上存在不一致，又只有极少用户在使用所谓的下一代防火墙，但安全厂商们的确认识到：对于综合多用途企业安全设备的需求可能会增长。

Fortinet 公司产品营销副总裁Patrick Bedwell 说：“市场正朝这个方向发展。”该公司在不久前宣布，为其5000系列设备家族添加处理速度高达40Gbps的Fortigate-5001B安全刀片，这比之前产品的最高速度8Gbps有了大幅上升。他说：“由于安全威胁变得更加复杂，现在重点需要放在应用控制方面，而老的防火墙跟不上步伐。”

FortiGate防火墙/VPN安全刀片可识别出大约1300个应用类型，还可针对用户行为实行细粒度控制，另外还有时间限制和带宽管理功能。

其他厂商也加入了下一代防火墙的阵营。McAfee就通过对其企业防火墙V.8升级版进行了改动，使其成为下一代防火墙产品。McAfee网络防御部门产品营销主管Greg Brown说：“我们重新设计了应用引擎，那样我们就能检测和全面审查1000多个应用。”

McAfee企业防火墙V.8达到了10Gbps的速度，为了获得更高的速度，McAfee正在与其他公司合作，力争达到40Gbps。这种无所不能、无所不知的防火墙果真拥有与独立IPS一样高效的IPS功能吗？Brown承认这很难说，目前还没有进行这方面的独立测试，但“出发点是做到与独立IPS一样高效。”

Brown表示，与主要关注IP网络地址的“常规防火墙”相比，下一代防火墙在应用控制方面采用的工作方式对大多数客户来说确实代表着一种新技术。比如说，集成微软活动目录这类功能就很有吸引力，这样可根据授权的应用建立用户组。不过到目前为止，McAfee的客户大多数都很谨慎，通常会在一部分应用上试用看看策略控制会有什么样的影响，而不是所有应用都尝试先进的防火墙功能。

健身中心连锁店24 Hour Fitness在全球经营着400多家俱乐部，它在去年部署了Palo Alto Networks公司可识别应用的防火墙，其IT运营和安全高级主管Justin Kwong表示，改用Palo Alto的综合架构节省了投资，而且现在使用基于声誉的过滤等功能可以很清楚地了解发生的情况。该公司正在利用Palo Alto防火墙与活动目录集成的功能，为员工建立针对应用的策略控制机制。Kwong表示，现在在使用方面还不是很细化，应用控制方面需要不断摸索了解。而且，到目前为止，公司并没有完全迁移至下一代防火墙，因为并不是网络或数据中心的所有部分都需要可识别应用的控制。

虽然下一代防火墙集众多安全功能于一体，但Kwong对此仍有所保留。他表示，除了Palo Alto IPS功能外，他还准备继续使用开源的IPS作为“第二双眼睛”。“我从来不会把所有功能集中在一个设备里，也从来不会只依赖某一家厂商。”他说。

Gartner认为下一代防火墙需有以下特征：

1.有一般防火墙的功能，如VPN、网络地址转换等；

2.有入侵防护功能；

3.能识别应用类型；

4.有一定智能，能帮助分析并辅助决策。