下一代防火牆：在不降低性能的前提下保障安全

　　大中型企業的IT經理需要在網絡性能和網絡安全之間進行權衡。雖然安全性對於企業至關重要，但企業不應該因為安全性而降低產量和生產力。下一代防火牆(NGFW)應運而生，用於解決這一棘手問題。

　　前幾代防火牆給當今企業帶來了嚴重的安全隱患。它們的技術已經過時，無法應對當前互聯網罪犯投放的網絡封包的數據負載。許多供應商只能以狀態封包檢測(SPI)速度吸引客戶，但安全和性能的真正衡量標准是深度包檢測的吞吐量和有效性。為了解決這一缺陷，許多防火牆供應商采用傳統桌面反病毒解決方案使用的惡意軟件檢查方式：緩沖下載的文件，然後檢查惡意軟件。該方法的負面影響是不僅顯著增加了延遲，而且會造成嚴重的安全隱患，因為臨時存儲器會限制文件大小。

　　定義下一代防火牆

　　從本質上講，下一代防火牆通過集成入侵防御系統(IPS)以及應用智能和控制，應用了深度包檢測(DPI)防火牆技術，以實現正在訪問和處理的數據內容的可視化。

　　Gartner公司將NGFW定義為“一種執行深度流量檢測以及阻止攻擊的線速(wire-speed)綜合網絡平台。”1Gartner認為NGFW至少應當提供：

.

　　@ 非破壞性線內嵌入式配置

　　@ 第一代防火牆的標准功能，例如，網絡地址轉換(NAT)、狀態協議檢測(SPI)和虛擬專用網絡(VPN)

　　@ 集成式基於特征碼的IPS引擎

　　@ 應用程序識別、全堆棧可見性和精細控制

　　@ 合並來自防火牆外部信息（例如，基於目錄的策略、黑名單、白名單）的能力。

　　@ 升級路徑以包括未來信息源和安全威脅

　　@ SSL解密以啟用對不受歡迎的加密應用程序的識別

　　下一代防火牆的演變

　　使用狀態檢測技術的防火牆僅適用於惡意軟件尚未大范圍流行且網頁只是供閱讀文檔的時代。當時，端口、IP地址和協議是需要管理的關鍵因素。但是隨著互聯網的發展，服務器和客戶端浏覽器能夠提供動態內容，從而引入了大量豐富的應用，我們現在稱之為Web2.0時代。

　　現在，從Salesforce.com、SharePoint到Farmville的應用都運行在TCP80端口以及加密SSL（TCP443端口）上。下一代防火牆檢查大量的數據包，並即時匹配惡意活動的特征，例如已知漏洞、漏洞利用攻擊、病毒和惡意軟件。此外，深度包檢測也意味著管理員可以創建非常精細的許可，，以及控制特定應用和網站的拒絕規則。由於數據包內容經過檢查，因此可以導出所有類型的統計信息，這意味著管理員現在可以輕松地分析數據流，以執行容量規劃、進行故障排除或監控每個員工的工作。當前的防火牆在網絡應用模型的第2、3、4、5、6和7層運行。