對于防火墻，大家并不陌生，它與防病毒、入侵檢測系統(tǒng)一起被稱為安全產(chǎn)品的“老三樣”，在安全防護的過程中，幫我們擋住了無數(shù)的攻擊。然而，在應用日漸復雜、威脅愈演愈烈的今天，傳統(tǒng)的防火墻能否依然堅固？呼聲越來越高的“下一代防火墻”是否能夠帶給我們新的驚喜？市場對此眾說紛紜。

傳統(tǒng)防火墻尚能飯否？

早在設(shè)計之初，傳統(tǒng)防火墻其實就存在明顯缺陷，只是在幾年前沒有明顯地表現(xiàn)出來，但在應用日漸豐富的今天卻表現(xiàn)得越發(fā)明顯：首先是安全方面的缺陷。傳統(tǒng)防火墻無法對應用層進行控制和識別，無法確定是哪種應用通過了防火墻，自然就談不上對各類網(wǎng)絡(luò)威脅進行有效防御了。

其次是流控方面的缺陷。在用戶只有一條鏈路時，當不同的應用在使用不同的帶寬時，重要的應用如何識別并進行保障？這是傳統(tǒng)防火墻無法兼顧的。第三就是運維管理方面的缺陷。尤其是當公司的分支機構(gòu)遍布全國時，因為沒有完善的策略管理，無論是部署還是管理傳統(tǒng)的防火墻，都需要消耗大量的人力和物力，最終導致管理和維護成本居高不下。

“裱糊匠”的縫補方案不可取

很多人都會想，既然傳統(tǒng)防火墻有這么多缺陷，那可不可以部署一臺IPS，或者其他安全設(shè)備，甚至用UTM來替代？事實上，改良雖然可以暫時彌補一些缺陷，但所做的畢竟是“修修補補”的裱糊匠工作，是不可能從根本上解決問題的。此外這種做法還會帶來其他的安全隱患，可謂既不治標又不治本。（最好加一些這種縫補方案其實不僅不省錢還會加重企業(yè)的運營成本和負擔的話）

因此，我們必須要改革，將防火墻進行更新?lián)Q代，以滿足現(xiàn)代網(wǎng)絡(luò)發(fā)展的需要，這也是“下一代防火墻”產(chǎn)品出現(xiàn)的根本??因。那么，下一代的防火墻要增加哪些內(nèi)容呢？首先，應該能識別出某個行為是視頻還是游戲，要做到對應用層的識別，識別之后還要對應用層能進行控制。其次，還要做到基于用戶的識別與控制，包括對用戶當前的環(huán)境、使用的電腦或操作系統(tǒng)、是否感染病毒等，一旦違反安全規(guī)范就拒絕訪問，以免感染整個企業(yè)網(wǎng)絡(luò)。

Firewall＠the Speed of Cloud

不過，梭子魚認為做到這些還不夠，因為傳統(tǒng)防火墻在運維管理方面還存在缺陷，因此需要對廣域網(wǎng)進行分析和優(yōu)化。例如，能夠支持路由，可以做到對帶寬的優(yōu)化和控制，可以實現(xiàn)遠程訪問以便維護，并具備足夠的擴展性，還能夠進行集中管理。這樣的下一代防火墻，才是真正的革新,才能在高速的云計算時代為企業(yè)網(wǎng)絡(luò)應用安全覓得一席之地。

梭子魚推出的下一代防火墻NG Firewall是一款安全、低成本、可集中性管理的私有安全云的防護產(chǎn)品，具備傳統(tǒng)防火墻所沒有的智能化流量管理、帶寬優(yōu)化和集中管理能力。該產(chǎn)品除了使用狀態(tài)包過濾技術(shù)之外，還提供七層的應用控制技術(shù)，可以對應用層的業(yè)務加以識別、過濾和控制。

需要強調(diào)的是，梭子魚的下一代防火墻在集中管理上也能滿足用戶提出的苛刻要求。舉個簡單的實例，德國郵政銀行部署了超過2500臺梭子魚下一代防火墻，但管理這些防火墻卻僅僅只有三名網(wǎng)絡(luò)工程師，通過集中化配置、政策發(fā)布和報表反饋，工程師在總部就能進行WAN接入優(yōu)化，加強了點對點流量管理性。

作為傳統(tǒng)防火墻的技術(shù)演進，梭子魚下一代防火墻可以說是一種七層的防火墻，它不同于UTM僅僅是一種功能的簡單拼湊，而是多層防御技術(shù)的有機結(jié)合體。