對于防火墻，大家并不陌生，它與防病毒、入侵檢測系統(tǒng)一起被稱為安全產(chǎn)品的“老三樣”，在安全防護(hù)的過程中，幫我們擋住了無數(shù)的攻擊。然而，在應(yīng)用日漸復(fù)雜、威脅愈演愈烈的今天，傳統(tǒng)的防火墻能否依然堅固？呼聲越來越高的“下一代防火墻”是否能夠帶給我們新的驚喜？市場對此眾說紛紜。

傳統(tǒng)防火墻尚能飯否？

早在設(shè)計之初，傳統(tǒng)防火墻其實就存在明顯缺陷，只是在幾年前沒有明顯地表現(xiàn)出來，但在應(yīng)用日漸豐富的今天卻表現(xiàn)得越發(fā)明顯：首先是安全方面的缺陷。傳統(tǒng)防火墻無法對應(yīng)用層進(jìn)行控制和識別，無法確定是哪種應(yīng)用通過了防火墻，自然就談不上對各類網(wǎng)絡(luò)威脅進(jìn)行有效防御了。

其次是流控方面的缺陷。在用戶只有一條鏈路時，當(dāng)不同的應(yīng)用在使用不同的帶寬時，重要的應(yīng)用如何識別并進(jìn)行保障？這是傳統(tǒng)防火墻無法兼顧的。第三就是運(yùn)維管理方面的缺陷。尤其是當(dāng)公司的分支機(jī)構(gòu)遍布全國時，因為沒有完善的策略管理，無論是部署還是管理傳統(tǒng)的防火墻，都需要消耗大量的人力和物力，最終導(dǎo)致管理和維護(hù)成本居高不下。

“裱糊匠”的縫補(bǔ)方案不可取

很多人都會想，既然傳統(tǒng)防火墻有這么多缺陷，那可不可以部署一臺IPS，或者其他安全設(shè)備，甚至用UTM來替代？事實上，改良雖然可以暫時彌補(bǔ)一些缺陷，但所做的畢竟是“修修補(bǔ)補(bǔ)”的裱糊匠工作，是不可能從根本上解決問題的。此外這種做法還會帶來其他的安全隱患，可謂既不治標(biāo)又不治本。（最好加一些這種縫補(bǔ)方案其實不僅不省錢還會加重企業(yè)的運(yùn)營成本和負(fù)擔(dān)的話）

因此，我們必須要改革，將防火墻進(jìn)行更新?lián)Q代，以滿足現(xiàn)代網(wǎng)絡(luò)發(fā)展的需要，這也是“下一代防火墻”產(chǎn)品出現(xiàn)的根本??因。那么，下一代的防火墻要增加哪些內(nèi)容呢？首先，應(yīng)該能識別出某個行為是視頻還是游戲，要做到對應(yīng)用層的識別，識別之后還要對應(yīng)用層能進(jìn)行控制。其次，還要做到基于用戶的識別與控制，包括對用戶當(dāng)前的環(huán)境、使用的電腦或操作系統(tǒng)、是否感染病毒等，一旦違反安全規(guī)范就拒絕訪問，以免感染整個企業(yè)網(wǎng)絡(luò)。

Firewall＠the Speed of Cloud

不過，梭子魚認(rèn)為做到這些還不夠，因為傳統(tǒng)防火墻在運(yùn)維管理方面還存在缺陷，因此需要對廣域網(wǎng)進(jìn)行分析和優(yōu)化。例如，能夠支持路由，可以做到對帶寬的優(yōu)化和控制，可以實現(xiàn)遠(yuǎn)程訪問以便維護(hù)，并具備足夠的擴(kuò)展性，還能夠進(jìn)行集中管理。這樣的下一代防火墻，才是真正的革新,才能在高速的云計算時代為企業(yè)網(wǎng)絡(luò)應(yīng)用安全覓得一席之地。

梭子魚推出的下一代防火墻NG Firewall是一款安全、低成本、可集中性管理的私有安全云的防護(hù)產(chǎn)品，具備傳統(tǒng)防火墻所沒有的智能化流量管理、帶寬優(yōu)化和集中管理能力。該產(chǎn)品除了使用狀態(tài)包過濾技術(shù)之外，還提供七層的應(yīng)用控制技術(shù)，可以對應(yīng)用層的業(yè)務(wù)加以識別、過濾和控制。

需要強(qiáng)調(diào)的是，梭子魚的下一代防火墻在集中管理上也能滿足用戶提出的苛刻要求。舉個簡單的實例，德國郵政銀行部署了超過2500臺梭子魚下一代防火墻，但管理這些防火墻卻僅僅只有三名網(wǎng)絡(luò)工程師，通過集中化配置、政策發(fā)布和報表反饋，工程師在總部就能進(jìn)行WAN接入優(yōu)化，加強(qiáng)了點對點流量管理性。

作為傳統(tǒng)防火墻的技術(shù)演進(jìn)，梭子魚下一代防火墻可以說是一種七層的防火墻，它不同于UTM僅僅是一種功能的簡單拼湊，而是多層防御技術(shù)的有機(jī)結(jié)合體。