大中型企業(yè)的IT經(jīng)理需要在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全之間進行權(quán)衡。雖然安全性對于企業(yè)至關(guān)重要，但企業(yè)不應(yīng)該因為安全性而降低產(chǎn)量和生產(chǎn)力。下一代防火墻(NGFW)應(yīng)運而生，用于解決這一棘手問題。

前幾代防火墻給當今企業(yè)帶來了嚴重的安全隱患。它們的技術(shù)已經(jīng)過時，無法應(yīng)對當前互聯(lián)網(wǎng)罪犯投放的網(wǎng)絡(luò)封包的數(shù)據(jù)負載。許多供應(yīng)商只能以狀態(tài)封包檢測(SPI)速度吸引客戶，但安全和性能的真正衡量標準是深度包檢測的吞吐量和有效性。為了解決這一缺陷，許多防火墻供應(yīng)商采用傳統(tǒng)桌面反病毒解決方案使用的惡意軟件檢查方式：緩沖下載的文件，然后檢查惡意軟件。該方法的負面影響是不僅顯著增加了延遲，而且會造成嚴重的安全隱患，因為臨時存儲器會限制文件大小。

定義下一代防火墻

從本質(zhì)上講，下一代防火墻通過集成入侵防御系統(tǒng)(IPS)以及應(yīng)用智能和控制，應(yīng)用了深度包檢測(DPI)防火墻技術(shù)，以實現(xiàn)正在訪問和處理的數(shù)據(jù)內(nèi)容的可視Gartner公司將NGFW 定義為“一種執(zhí)行深度流量檢測以及阻止攻擊的線速(wire-speed)綜合網(wǎng)絡(luò)平臺”。Gartner認為NGFW至少應(yīng)當提供：
 . 非破壞性線內(nèi)嵌入式配置
 . 第一代防火墻的標準功能，例如，網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)協(xié)議檢測(SPI)和虛擬專用網(wǎng)絡(luò)(VPN)
 . 集成式基于特征碼的IPS引擎
 . 應(yīng)用程序識別、全堆�？梢娦院途毧刂�
 . 合并來自防火墻外部信息（例如，基于目錄的策略、黑名單、白名單）的能力。
 . 升級路徑以包括未來信息源和安全威脅
 . SSL解密以啟用對不受歡迎的加密應(yīng)用程序的識別

下一代防火墻的演變

使用狀態(tài)檢測技術(shù)的防火墻僅適用于惡意軟件尚未大范圍流行且網(wǎng)頁只是供閱讀文檔的時代。當時，端口、IP地址和協(xié)議是需要管理的關(guān)鍵因素。但是隨著互聯(lián)網(wǎng)的發(fā)展，服務(wù)器和客戶端瀏覽器能夠提供動態(tài)內(nèi)容，從而引入了大量豐富的應(yīng)用，我們現(xiàn)在稱之為Web 2.0時代。

現(xiàn)在，從Salesforce.com、SharePoint到Farmville的應(yīng)用都運行在TCP 80端口以及加密SSL（TCP 443端口）上。下一代防火墻檢查大量的數(shù)據(jù)包，并即時匹配惡意活動的特征，例如已知漏洞、漏洞利用攻擊、病毒和惡意軟件。此外，深度包檢測也意味著管理員可以創(chuàng)建非常精細的許可，以及控制特定應(yīng)用和網(wǎng)站的拒絕規(guī)則。由于數(shù)據(jù)包內(nèi)容經(jīng)過檢查，因此可以導(dǎo)出所有類型的統(tǒng)計信息，這意味著管理員現(xiàn)在可以輕松地分析數(shù)據(jù)流，以執(zhí)行容量規(guī)劃、進行故障排除或監(jiān)控每個員工的工作。當前的防火墻在網(wǎng)絡(luò)應(yīng)用模型的第2、3、4、5、6和7層運行。

企業(yè)的需求

企業(yè)面臨應(yīng)用程序混亂的困境。網(wǎng)絡(luò)通信不再僅僅依靠電子郵件等存儲轉(zhuǎn)發(fā)應(yīng)用，現(xiàn)在已擴展至包括實時協(xié)作工具、Web 2.0應(yīng)用、即時通訊(IM)和p2p應(yīng)用、基于IP的語音傳輸(VoIP)、流媒體和電話會議，每種應(yīng)用程序都有被攻擊的潛在風(fēng)險。許多企業(yè)無法區(qū)分網(wǎng)絡(luò)上的合法商業(yè)應(yīng)用程序以及非業(yè)務(wù)關(guān)鍵性應(yīng)用程序，而后者消耗企業(yè)帶寬或?qū)ζ髽I(yè)造成危險。

現(xiàn)在，企業(yè)需要提供關(guān)鍵業(yè)務(wù)解決方案，同時應(yīng)對員工使用無用并且（從安全角度看）危險的基于Web的應(yīng)用。關(guān)鍵應(yīng)用享有帶寬優(yōu)先權(quán)，而社交媒體和游戲應(yīng)用需要被節(jié)流或完全阻止。此外，如果企業(yè)不符合安全法律和規(guī)定，他們還會面臨罰款、處罰以及業(yè)務(wù)損失。

在當今企業(yè)中，防護和性能是相輔相成的。企業(yè)無法再忍受過時的狀態(tài)檢測防火墻造成的安全性下降，也不能忍受部分下一代防火墻造成的網(wǎng)絡(luò)瓶頸。防火墻或網(wǎng)絡(luò)性能的任何延遲都會降低延遲敏感性協(xié)作應(yīng)用的質(zhì)量，因此會對服務(wù)水平和生產(chǎn)力造成負面影響。更嚴重的是，某些IT企業(yè)甚至禁用網(wǎng)絡(luò)安全解決方案中的功能以避免網(wǎng)絡(luò)性能的下降。

公共部門和私營部門中各種規(guī)模的企業(yè)都面臨常見應(yīng)用中漏洞的新威脅。這是看似美好的社會化網(wǎng)絡(luò)和互聯(lián)帶來的陰暗秘密：它們正在為惡意軟件提供滋生的土壤，互聯(lián)網(wǎng)罪犯搜索每個角落狩獵毫無戒備心的受害者。同時，員工使用公司和家庭辦公電腦發(fā)布博客、從事社交、傳送消息、觀看視頻、收聽音樂、玩游戲、購物和收發(fā)郵件。流媒體視頻、點對點(P2P)和托管或云應(yīng)用使企業(yè)面臨潛在入侵、數(shù)據(jù)泄露和宕機風(fēng)險。除了帶來安全威脅外，這些應(yīng)用消耗帶寬并降低生產(chǎn)力，并與任務(wù)關(guān)鍵性應(yīng)用搶占寶貴的網(wǎng)絡(luò)帶寬。更重要的是，企業(yè)需要使用工具保障關(guān)鍵業(yè)務(wù)相關(guān)的應(yīng)用的帶寬，并且需要應(yīng)用智能和控制保護入站和出站流量，同時確保速度和安全以實現(xiàn)高生產(chǎn)力的工作環(huán)境。

NGFW的優(yōu)勢

下一代防火墻可以數(shù)千兆比特的速度提供應(yīng)用智能和控制、入侵防御、惡意軟件防御和SSL檢查，并且可以擴展以便實現(xiàn)網(wǎng)絡(luò)的最高性能。

固若金湯的NGFW使管理員能夠控制和管理業(yè)務(wù)和非業(yè)務(wù)相關(guān)的應(yīng)用程序，保證網(wǎng)絡(luò)和用戶的生產(chǎn)力，他們可以掃描任何端口的任何大小的文件，不會造成安全或性能下降。并發(fā)文件或網(wǎng)絡(luò)數(shù)據(jù)流的數(shù)量不會對高端NGFW產(chǎn)生限制，因此當防火墻在重負荷下工作時，受感染的文件也不會瞞天過海。此外，NGFW也可以將所有安全和應(yīng)用控制技術(shù)應(yīng)用到SSL加密數(shù)據(jù)流，確保它不會成為惡意軟件進入網(wǎng)絡(luò)的新載體。

選擇深度包檢測的IT管理員需要注意NGFW領(lǐng)域中有多種處理器架構(gòu)方式。一些人選擇通用處理器，使安全協(xié)處理器保持獨立。讓然有其他人選擇設(shè)計和建立專用集成電路 (ASIC)平臺。Dell SonicWALL則使用多核架構(gòu)作為我們的解決方案，以加速網(wǎng)絡(luò)流量的處理。IT管理員務(wù)必確保他們選擇的NGFW解決方案完全能夠根據(jù)預(yù)測的網(wǎng)絡(luò)性能要求進行擴展，提供最穩(wěn)定的性能、最有用的網(wǎng)絡(luò)分析和洞察力，并且便于實施和管理。（DELL SonicWall公司）