防火墻產(chǎn)品從上世紀(jì)九十年代至今，雖然歷經(jīng)系統(tǒng)架構(gòu)和軟件形態(tài)的多次革新，但在技術(shù)發(fā)展和用戶、帶寬不斷增長的今天，卻愈發(fā)難以滿足多方面的挑戰(zhàn)。尤其是在當(dāng)前最熱門的數(shù)據(jù)中心和云計算環(huán)境下，以太網(wǎng)標(biāo)準(zhǔn)由萬兆開始向40G/100G邁進(jìn)，我國各類數(shù)據(jù)中心和機(jī)房總量已經(jīng)達(dá)到50余萬個。業(yè)務(wù)低延遲、高可靠保證和智能化安全管理，都對網(wǎng)關(guān)安全產(chǎn)品的性能和功能提出了新的要求。

今年以來，銳捷網(wǎng)絡(luò)、梭子魚、深信服陸續(xù)在國內(nèi)發(fā)布下一代防火墻(Next Generation Firewall，以下簡稱NGFW)產(chǎn)品，加上已經(jīng)在市場上耕耘的SonicWALL、juniper、Check Point等廠商，這個在2009年Gartner定義的來形容防火墻進(jìn)化發(fā)展的產(chǎn)品似乎迎來了春天。

傳統(tǒng)的安全架構(gòu)，如今在面對數(shù)據(jù)中心帶來的大規(guī)模整合和互聯(lián)、云計算和移動計算更為分散和全方位的安全需求時，正在經(jīng)受考驗和CIO的質(zhì)疑，NGFW的出世是否為安全“老三樣”注入“興奮劑”。經(jīng)過我們走訪和接觸數(shù)家安全及NGFW廠商發(fā)現(xiàn)，各家對NGFW的定義雖不盡相同，但發(fā)展訴求是一致的。在提到NGFW能否替代網(wǎng)絡(luò)防火墻、IPS、UTM時，各家也是眾說紛紜，有斬釘截鐵說是的，有認(rèn)為應(yīng)根據(jù)網(wǎng)絡(luò)環(huán)境來區(qū)別對待的，有認(rèn)為對某產(chǎn)品來說是可以完全替代的，還有提到會對其他網(wǎng)安產(chǎn)品形成沖擊的，相信您在猶豫或面臨抉擇時能找到一份答案。對于用戶而言，要的不僅是高性能、多功能的安全產(chǎn)品，在面對威脅時，一款定位于邊界防御的安全產(chǎn)品能否表現(xiàn)出穩(wěn)定和高可靠性至關(guān)重要，對此，我們發(fā)現(xiàn)各家廠商的回答也是不一，但終究是要經(jīng)過市場應(yīng)用考驗。其實，很多CIO也發(fā)現(xiàn)在面對網(wǎng)絡(luò)架構(gòu)的演進(jìn)和更復(fù)雜的終端設(shè)備和用戶應(yīng)用，對傳統(tǒng)防御造成挑戰(zhàn)，然而作為應(yīng)運而生的一款全新產(chǎn)品NGFW能否挑起大梁，值得和討論。

與傳統(tǒng)的網(wǎng)絡(luò)防火墻和UTM產(chǎn)品相比，NGFW的不同之處在哪里?硬件架構(gòu)做了哪些改變?NGFW相對傳統(tǒng)獨立的網(wǎng)絡(luò)安全架構(gòu)是否具有穩(wěn)定和可靠性?企業(yè)部署應(yīng)該做哪些準(zhǔn)備，如何選型?近日，ZDNET安全頻道采訪國內(nèi)外數(shù)十家主流安全及NGFW廠商，帶您撥開云霧。同時，并策劃一期專題“應(yīng)運而生，看下一代防火墻能否笑傲江湖”，敬請大家。

目前不管是網(wǎng)絡(luò)廠商、專業(yè)防火墻廠商、IPS或應(yīng)用控制網(wǎng)關(guān)等廠商都在圖謀這一領(lǐng)域，在Gartner定義的產(chǎn)品特性基礎(chǔ)上，各家廠商也根據(jù)自己的傳統(tǒng)優(yōu)勢詮釋著自己對NGFW的理解。

企業(yè)將面臨來自于Internet的病毒、木馬、DDOS攻擊、網(wǎng)絡(luò)釣魚、SQL注入等種類繁多且危害巨大的威脅，H3C網(wǎng)絡(luò)安全產(chǎn)品部安全技術(shù)總監(jiān)李彥賓在接受ZDNet采訪時表示，H3C認(rèn)為在數(shù)據(jù)中心和云計算中下一代防火墻應(yīng)該具備“虛擬化、高性能、高可靠以及智能化”四個特征，會向高性能、高可靠，虛擬化和智能化演進(jìn)。

對于SonicWALL來說，下一代防火墻包括以下元素，第一個是入侵防護(hù)服務(wù)，另外是網(wǎng)關(guān)防病毒服務(wù)，還有防火墻的保護(hù)。同時包括以下特性，如內(nèi)容過濾功能、反垃圾郵件功能，以及通過策略來管理應(yīng)用程序的功能，同樣也包括確保網(wǎng)絡(luò)的可視性，并能對網(wǎng)絡(luò)中的每一個正在進(jìn)行的數(shù)據(jù)流進(jìn)行全面的檢測，SonicWALL中國區(qū)技術(shù)經(jīng)理蔡永生介紹說。

綠盟科技產(chǎn)品市場經(jīng)理段繼平認(rèn)為，NGFW除了對web2.0應(yīng)用的識別管理能力外，還強調(diào)區(qū)分于UTM最重要的指標(biāo)之一的性能。并能夠集成IPS，Gartner認(rèn)為NGFW需要集成IPS功能，但不是像UTM那樣做簡單疊加，而是要將IPS無縫的功能融合入NGFW產(chǎn)品中去。以及用戶集成，強調(diào)用戶身份與NGFW策略的整合。NGFW的這4點特征針對UTM存在的短板做了改進(jìn)，并強調(diào)與目前最新的安全趨勢融合。

雖然NGFW沒有統(tǒng)一的標(biāo)準(zhǔn)，經(jīng)過采訪我們發(fā)現(xiàn)，各家廠商對NGFW的發(fā)展訴求是一致的，把傳統(tǒng)防火墻將訪問控制對象從網(wǎng)絡(luò)層、傳輸層(L3-L4)調(diào)整為應(yīng)用層(L7)協(xié)議，并能夠識別用戶、應(yīng)用和內(nèi)容，具備完整的安全防護(hù)能力的高性能下一代防火墻。

眾所周知，傳統(tǒng)防火墻在上個世紀(jì)90年代就已經(jīng)得到了廣泛應(yīng)用，種類也比較多。而UTM概念是2004年IDC發(fā)表的，NGFW的概念是2009年Gartner發(fā)表的。新的網(wǎng)絡(luò)環(huán)境下，出現(xiàn)了哪些新的安全威脅，用戶安全需求又在如何轉(zhuǎn)變，傳統(tǒng)的安全設(shè)備如何變得愈加無力。

對此，梭子魚產(chǎn)品經(jīng)理潘淵告訴記者，傳統(tǒng)防火墻只能提供一般意義上的數(shù)據(jù)包轉(zhuǎn)發(fā)和攔截功能，以及一些簡單的包檢測機(jī)制。UTM和傳統(tǒng)防火墻相比，確實增加了很多過濾功能，包括應(yīng)用層的識別和過濾。但是UTM的致命缺陷是由于采用串行掃描方式，處理效率低下。即便是增加了單點解決方案，能提供對email業(yè)務(wù)、Web應(yīng)用、遠(yuǎn)程接入、即時通訊軟件等病毒防護(hù)，但運營成本也會大幅度提高。而NGFW采用了高效的并行處理機(jī)制，并集成了網(wǎng)絡(luò)安全、內(nèi)容安全以及基于七層應(yīng)用管理的網(wǎng)絡(luò)接入控制保護(hù)能夠抵御來自應(yīng)用層的攻擊，有效解決UTM的本質(zhì)缺陷。

UTM誕生是因為早期的網(wǎng)絡(luò)防火墻在IPS、反病毒、防惡意代碼、反垃圾郵件等功能的缺失，而在其基礎(chǔ)上堆砌了這些功能，邁克菲中國區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉強調(diào)說，UTM產(chǎn)品的本質(zhì)仍然是基于傳統(tǒng)網(wǎng)絡(luò)防火墻架構(gòu)的過渡性產(chǎn)品，其底層架構(gòu)與傳統(tǒng)網(wǎng)絡(luò)防火墻無異。

“NGFW更注重在Web2.0時代的客戶體驗，比如采用客戶化的GUI，多核CPU并發(fā)處理等。隨著企業(yè)的發(fā)展，需要更主動，更直觀，更定制化，性能更高的安全產(chǎn)品，這是NGFW的特點。對于企業(yè)來說，NGFW更貼合現(xiàn)有網(wǎng)絡(luò)環(huán)境，對企業(yè)業(yè)務(wù)保護(hù)更加全面�！碧烊谛欧桨概c推廣副總裁劉輝說。

各大廠商幾乎不約而同的說到，不論是傳統(tǒng)防火墻還是UTM，已無力應(yīng)對Web2.0交換式多種應(yīng)用場景下的實時變化的安全威脅。在記者問到NGFW將是網(wǎng)絡(luò)防火墻、IPS、UTM的替代品嗎的問題時。瞻博網(wǎng)絡(luò)大中國區(qū)產(chǎn)品市場經(jīng)理譚俊直言道，“是的，這是一個基于新一代架構(gòu)和理念不斷創(chuàng)新和演進(jìn)的過程�！� 深信服市場行銷部技術(shù)總監(jiān)殷浩表示，傳統(tǒng)防火墻、UTM由于低廉的采購成本，在少數(shù)簡單網(wǎng)絡(luò)環(huán)境還是會成為用戶的一種選擇。但最終面對用戶的應(yīng)用層安全需求，F(xiàn)W、UTM終將不斷演進(jìn)到NGFW的產(chǎn)品形態(tài)。邁克菲中國區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉的回答更為保守，他認(rèn)為，對于一些安全要求比較低的網(wǎng)絡(luò)環(huán)境比如企業(yè)的訪客網(wǎng)絡(luò)，非核心業(yè)務(wù)網(wǎng)絡(luò)等，傳統(tǒng)網(wǎng)絡(luò)防火墻還是有其應(yīng)用需求的，并且可以和NGFW實現(xiàn)梯次配置，實現(xiàn)差異化分層防護(hù)。IPS產(chǎn)品的優(yōu)勢在于利用簽名技術(shù)對網(wǎng)絡(luò)流量進(jìn)行快速、無時延的檢索，要求其有高轉(zhuǎn)發(fā)率特性，擅長檢索已知網(wǎng)絡(luò)威脅，防止DDos攻擊等，因而與NGFW相比有各自不同的重點。但在談到UTM時，郭偉認(rèn)為，凡是UTM能夠部署的地方， NGFW都可以無縫替換，更加之UTM一直存在性能瓶頸，所以UTM產(chǎn)品最終會為NGFW所取代。啟明星辰邊界安全產(chǎn)品部副經(jīng)理馬駿則特別強調(diào)了NGFW對上網(wǎng)行為管理市場的沖擊，馬駿認(rèn)為，NGFW最終會替代上網(wǎng)行為管理產(chǎn)品，與FW、UTM和IPS產(chǎn)品會形成新的市場布局，并形成相對長期競爭態(tài)勢，相互功能也會不斷融合，與各種形態(tài)的網(wǎng)關(guān)產(chǎn)品市場形成比較理性的布局。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： ddos idc 安全 大數(shù)據(jù) 代碼 防火墻 機(jī)房 推廣 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全產(chǎn)品 網(wǎng)絡(luò)防火墻 云計算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。