新知

作者：清水 編譯

對於通過常用的80端口和443端口來訪問的互聯網應用來說，基於端口的傳統企業防火牆與其說像警衛，還不如說是應用的中轉地，傳統防火牆此時所起的安全作用正在減弱，它也逐步讓位於功能強大的新一代高速智能防火牆（Next-Generation FireWall， NGFW）。

何謂下一代防火牆

所謂的下一代防火牆是指：它能夠對數據流高效地完成入侵防護，同時還能識別出應用類型，以便根據使用者的身份執行相應的策略。它還足夠聰明，可使用基於互聯網的聲譽分析等信息幫助過濾惡意軟件，或者與活動目錄集成。現在的問題是，我們多久後才能真正實現向下一代防火牆轉型？

新興公司Palo Alto Networks被認為是最先打出下一代防火牆旗號的廠商，它早在2007年就推出了可識別應用的多用途安全設備係列，今天已有2200多家客戶。同時，Fortinet、思科、Check Point、McAfee等其他廠商同樣一直在擴充或改造防火牆產品，以便其產品符合下一代防火牆的定義。此外，入侵防護係統（IPS）廠商Sourcefire也表示會在今年推出帶IPS功能的可識別應用的防火牆。

不過，過去幾年一直大力倡導新一代防火牆的Gartner認為，雖然廠商們在大力推廣下一代防火牆，但目前這種防火牆的實際使用率還是非常低。Gartner的分析師Greg Young說：“我們認為，如今用新一代防火牆來保護的網絡連接還不到1％。”但他預測，到2014年，這個比例會達到35％。

目前，關於如何定義下一代防火牆並沒有定論，也還沒有哪個獨立的第三方實驗室對所謂的下一代防火牆產品進行過測試，其困難就在於給下一代防火牆下一個明確、清晰的定義並不容易。即使對這種設備有自己定義的Gartner也承認“定義很混亂，一些廠商推出的這種設備具有應用控製功能，而另一些廠商在IPS方麵比較先進。總體上，大多數企業防火牆廠商在這方麵處於早期階段。”

同時，統一威脅管理（UTM）這個術語讓下一代防火牆術語規範問題變得更混亂了。IDC的分析師Charles Kolodgy是第一個提出UTM的人。他表示，UTM與下一代防火牆的意思大致一樣。但Gartner認為，UTM應該是適用於中小型企業使用的安全設備，而下一代防火牆應該適合員工數量不少於1000人的大企業。

安全設備流行融合

目前，盡管對下一代防火牆在叫法上存在不一致，又隻有極少用戶在使用所謂的下一代防火牆，但安全廠商們的確認識到：對於綜合多用途企業安全設備的需求可能會增長。

Fortinet 公司產品營銷副總裁Patrick Bedwell 說：“市場正朝這個方向發展。”該公司在不久前宣布，為其5000係列設備家族添加處理速度高達40Gbps的Fortigate-5001B安全刀片，這比之前產品的最高速度8Gbps有了大幅上升。他說：“由於安全威脅變得更加複雜，現在重點需要放在應用控製方麵，而老的防火牆跟不上步伐。”