传统防火墙 VS 下一代防火墙

Gartner报告显示，从2005年开始，全球防火墙市场已开始呈逐年递减趋势。市场的增长源自用户的需求，而衰落，正恰好说明用户的需求在发生改变。为应对当前与未来的网络安全威胁，Gartner 认为传统防火墙必须要升级为“下一代防火墙”，并预言，到2014年，全球35%的企业将会全面部署下一代防火墙，并且它会集成入侵防护、应用可视性和控制功能。

防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

传统防火墙可以分为四种类型：包过滤、应用级网关、代理服务器和状态检测。总体的功能是：过滤掉不安全服务、非法用户和控制对特殊站点的访问、提供监视Internet安全和预警的方便端点。

但由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方：

1、防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。

2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。

3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。

因此，防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。

虽然下一代防火墙目前没有一个明确的定义，但是不并妨碍由市场需求推动技术产品的发展。梭子鱼网络有限公司在Gartner的基础上对下一代防火墙做了一个更为明确的定义，即是集成了虚拟化软件和硬件架构的智能网络平台，可对各种流量实施深层探测并阻止各类攻击。下一代防火墙需具备下列最低属性：

◆支持在线BITW(线缆中的块)配置，同时不会干扰网络运行。

◆可作为网络流量检测与网络安全策略执行的平台，并具有下列最低特性：

1)标准的第一代防火墙功能：具有数据包过滤、网络地址转换(NAT)、协议状态检查以及科学功能等。

2)集成式而非托管式网络入侵防御：支持基于漏洞的签名与基于威胁的签名。IPS与防火墙间的协作所获得的性能要远高于部件的叠加，如：提供推荐防火墙规则，以阻止持续某一载入IPS及有害流量的地址。这就证明，在下一代防火墙中，互相关联作用的是防火墙而非由操作人员在控制台制定与执行各种解决方案。高质量的集成式IPS引擎与签名也是下一代防火墙的主要特性。所谓集成可将诸多特性集合在一起，如：根据针对注入恶意软件网站的IPS检测向防火墙提供推荐阻止的地址。

3)业务识别与全栈可视性：采用非端口与协议vs仅端口、协议与服务的方式，识别应用程序并在应用层执行网络安全策略。范例中包括允许使用Skype但禁用Skype内部共享或一直阻止GoToMyPC。

4)超级智能的防火墙: 可收集防火墙外的各类信息，用于改进阻止决策，或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

传统防火墙和下一代防火墙的对比

现在，许多防火墙与IPS供应商都已升级了其产品，以提供业务识别与部分下一代防火墙特性，且有许多新兴公司都十分关注下一代防火墙功能。大型企业都将随着正常的防火墙与IPS更新循环的到来逐渐采用下一代防火墙代替其现有的防火墙，或因带宽需求的增高或遭受了攻击而进行防火墙升级。

Gartner认为随着威胁情况的变化以及业务与IT程序的改变都促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品。而下一代防火墙的供应商们成功占有市场的关键则在于需要证明第一代防火墙与IPS特性既可与当前的第一代功能相匹配，又能同时兼具下一代防火墙功能，或具有一定价格优势。

Gartner认为目前仅有不到1%的互联网连接采用了下一代防火墙保护。因此，有理由相信到2014年年末使用这一产品进行保护的比例将上升至35%，同时，其中将有60%都为重新购买下一代防火墙。

更多下一代防火墙咨询，可登录梭子鱼官方主页：www.barracudanetworks.com.cn