下一代防火墙相继登场 防火墙迎来变局?

虽然业界对于“下一代防火墙”依然众说纷纭，但进入2011年，锐捷网络、梭子鱼、深信服、Palo Alto Networks、SonicWALL、WatchGuard等网络安全厂商紧锣密鼓地推出下一代防火墙产品(Next Generation Firewall)，似有遍地开花之势。

“下一代防火墙”这一名词的提出，有人说它是具备多重安全防护功能的多功能防火墙;也有人说它是高级的UTM……各家厂商也在不同诠释着自己的下一代防火墙产品。但不管各方如何对下一代防火墙定义，都得回归到用户对防火墙的需求上来。

当前，传统网络防火墙基于端口/协议的防御方式已经无力招架应用环境下的多变威胁。企业不断变化的业务流程、企业部署的技术以及威胁，正推动对网络安全性的新需求，不断增长的带宽需求和新应用架构，正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测，不再有足够的价值。随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。

从各家厂商产品的功能来看，都聚焦到防火墙中对应用程序的可视性和控制性。SonicWALL NSA E8510由SonicOS 5.8管理软件支持，提供零时延入侵检测和反恶意软件保护。SonicOS 5.8的应用智能和控制功能可实现对应用程序流量和带宽的实时细粒度控制。

锐捷网络认为云计算时代的来临，使用户业务模型发生变化，对传统网络安全架构也提出了全新挑战。用户越来越认识到业务的高效和安全不可偏废，同等重要。一方面，在实施安全策略的同事，不能影响业务的高效运行;另一方面，高清视频、交互式应用的广泛应用，也要求安全设备拥有与其相匹配的超高性能。

4月份，锐捷网络正式对外发布了国内首个面向云计算的下一代防火墙产品系列。着力于通过高集成度，解决传统UTM产品全业务开启可用性问题;能实现140G吞吐量，高达0.5亿的并发处理能力;实现基于用户、资源、应用的访问控制。

梭子鱼何平认为，“未来三年，传统防火墙厂商会增加应用层防护，应用层导向的厂商会加入网络层，最终走向下一代防火墙取代网络防火墙。”如果对传统防火墙、UTM和下一代防火墙用版本号来形容的话，传统防火墙就是1.0版本，UTM是1.5版本，下一代防火墙则是2.0版本。所以，下一代防火墙在Web2.0时代面对B/S架构大有可为成为必然。

梭子鱼4月底在中国发布下一代防火墙产品，除了基于角色和应用的管理、具有传统防火墙的所有功能、具备智能的流量控制和策略配合三要素外，梭子鱼下一代防火墙加入了链路负载均衡的功能，优化多条链路的带宽使用率，保证企业业务的正常运转。

网络设备供应商深信服6月正式发布下一代防火墙NGAF，宣告深信服正式进入防火墙市场。深信服发布的下一代防火墙提供三大价值点：可视化的业务安全，体现在网络安全策略的可视化以及安全报表的可视化。内容的安全识别，使用户摆脱基于IP、Mac的“黑白”管控维度，为用户带来应用层的安全。完整的安全防护，通过集成传统网络安全模块(身份认证、NAT、抗攻击、科学)以及可视化应用管控、全面应用安全(漏洞防护、web安全防护、服务器防护、病毒防护、灰度威胁识别)、智能风险审计四大功能模块，为用户提供对出入站流量的全面安全防护、管理、风险审计。并且采用单次解析架构，避免传统UTM等多合一安全设备存在的7层分析不足的问题。

WatchGuard也在5月发布下一代防火墙产品XTM 2050，为大型企业和数据中心提供企业级安全防护能力，满足用户对高性能防火墙、应用程序控制和入侵防御系统(IPS)的要求，防范数据盗窃、恶意软件和安全漏洞的侵害。

Web是当今各类组织所面临的各类安全威胁的首要来源，而Web应用程序经常会成为攻击者的主要焦点。据悉，WatchGuard能对1800多项应用程序实施细粒度控制，并能够掌握哪些应用程序正在使用中以及谁在使用这些应用程序。并且集成入侵防御功能，IPS与应用层内容检查功能协同工作，提供了针对各类网络威胁的实时防护能力。

正是由于传统网络防火墙对应用程序可视性和控制的缺乏，传统方法要求在防火墙后面部署其他“辅助防火墙”。这种高成本的做法由于通信流的低可视性、繁琐的管理程序，及包括多层扫描的软体设计、低执行效能而导致的延迟。下一代防火墙顺势而生，满足应用时代企业面临的网络安全威胁新要求。

虽然各网安厂商不遗余力的宣传部署下一代防火墙的必要性，但是否会得到用户的认可还有待时间观察，目前国内企业实践的案例还极低。由于NGFW的众多集成功能，是否会造成网络延迟和性能的降低，同时，是不是易管理也成为企业重要考量。而下一代防火墙供应商同样需要去证明NGFW的部署会对传统网络架构的改变造成多大影响，或是否具有一定价格优惠。

编者按：正如文中所述，下一代防火墙还仅仅是处于宣传阶段，更多的人是希望了解它与传统产品之间的差别，NGFW能否给我们带来不一样的应用呢？有没有必要更换现有的安全产品呢？然而，现在众多厂商所发布的产品各不相同，也有概念上的区别。不少用户都无法区分UTM和下一代防火墙之间的差异，这不禁让大家迷惑，从而对于下一代防火墙这个产品望而却步。