下一代防火墻:更高速 更智能

對于通過常用的80端口和443端口來訪問的互聯網應用來說，基于端口的傳統企業防火墻與其說像警衛，還不如說是應用的中轉地，傳統防火墻此時所起的安全作用正在減弱，它也逐步讓位于功能強大的新一代高速智能防火墻（Next-Generation FireWall， NGFW）。

何謂下一代防火墻

所謂的下一代防火墻是指：它能夠對數據流高效地完成入侵防護，同時還能識別出應用類型，以便根據使用者的身份執行相應的策略。它還足夠聰明，可使用基于互聯網的聲譽分析等信息幫助過濾惡意軟件，或者與活動目錄集成。現在的問題是，我們多久后才能真正實現向下一代防火墻轉型？

新興公司Palo Alto Networks被認為是最先打出下一代防火墻旗號的廠商，它早在2007年就推出了可識別應用的多用途安全設備系列，今天已有2200多家客戶。同時，Fortinet、思科、Check Point、McAfee等其他廠商同樣一直在擴充或改造防火墻產品，以便其產品符合下一代防火墻的定義。此外，入侵防護系統（IPS）廠商Sourcefire也表示會在今年推出帶IPS功能的可識別應用的防火墻。

不過，過去幾年一直大力倡導新一代防火墻的Gartner認為，雖然廠商們在大力推廣下一代防火墻，但目前這種防火墻的實際使用率還是非常低。Gartner的分析師Greg Young說：“我們認為，如今用新一代防火墻來保護的網絡連接還不到1%。”但他預測，到2014年，這個比例會達到35%。

目前，關于如何定義下一代防火墻并沒有定論，也還沒有哪個獨立的第三方實驗室對所謂的下一代防火墻產品進行過測試，其困難就在于給下一代防火墻下一個明確、清晰的定義并不容易。即使對這種設備有自己定義的Gartner也承認“定義很混亂，一些廠商推出的這種設備具有應用控制功能，而另一些廠商在IPS方面比較先進。總體上，大多數企業防火墻廠商在這方面處于早期階段。”

同時，統一威脅管理（UTM）這個術語讓下一代防火墻術語規范問題變得更混亂了。IDC的分析師Charles Kolodgy是第一個提出UTM的人。他表示，UTM與下一代防火墻的意思大致一樣。但Gartner認為，UTM應該是適用于中小型企業使用的安全設備，而下一代防火墻應該適合員工數量不少于1000人的大企業。

安全設備流行融合

目前，盡管對下一代防火墻在叫法上存在不一致，又只有極少用戶在使用所謂的下一代防火墻，但安全廠商們的確認識到：對于綜合多用途企業安全設備的需求可能會增長。

Fortinet 公司產品營銷副總裁Patrick Bedwell 說：“市場正朝這個方向發展。”該公司在不久前宣布，為其5000系列設備家族添加處理速度高達40Gbps的Fortigate-5001B安全刀片，這比之前產品的最高速度8Gbps有了大幅上升。他說：“由于安全威脅變得更加復雜，現在重點需要放在應用控制方面，而老的防火墻跟不上步伐。”

FortiGate防火墻/VPN安全刀片可識別出大約1300個應用類型，還可針對用戶行為實行細粒度控制，另外還有時間限制和帶寬管理功能。

其他廠商也加入了下一代防火墻的陣營。McAfee就通過對其企業防火墻V.8升級版進行了改動，使其成為下一代防火墻產品。McAfee網絡防御部門產品營銷主管Greg Brown說：“我們重新設計了應用引擎，那樣我們就能檢測和全面審查1000多個應用。”

McAfee企業防火墻V.8達到了10Gbps的速度，為了獲得更高的速度，McAfee正在與其他公司合作，力爭達到40Gbps。這種無所不能、無所不知的防火墻果真擁有與獨立IPS一樣高效的IPS功能嗎？Brown承認這很難說，目前還沒有進行這方面的獨立測試，但“出發點是做到與獨立IPS一樣高效。”

Brown表示，與主要關注IP網絡地址的“常規防火墻”相比，下一代防火墻在應用控制方面采用的工作方式對大多數客戶來說確實代表著一種新技術。比如說，集成微軟活動目錄這類功能就很有吸引力，這樣可根據授權的應用建立用戶組。不過到目前為止，McAfee的客戶大多數都很謹慎，通常會在一部分應用上試用看看策略控制會有什么樣的影響，而不是所有應用都嘗試先進的防火墻功能。

健身中心連鎖店24 Hour Fitness在全球經營著400多家俱樂部，它在去年部署了Palo Alto Networks公司可識別應用的防火墻，其IT運營和安全高級主管Justin Kwong表示，改用Palo Alto的綜合架構節省了投資，而且現在使用基于聲譽的過濾等功能可以很清楚地了解發生的情況。該公司正在利用Palo Alto防火墻與活動目錄集成的功能，為員工建立針對應用的策略控制機制。Kwong表示，現在在使用方面還不是很細化，應用控制方面需要不斷摸索了解。而且，到目前為止，公司并沒有完全遷移至下一代防火墻，因為并不是網絡或數據中心的所有部分都需要可識別應用的控制。

雖然下一代防火墻集眾多安全功能于一體，但Kwong對此仍有所保留。他表示，除了Palo Alto IPS功能外，他還準備繼續使用開源的IPS作為“第二雙眼睛”。“我從來不會把所有功能集中在一個設備里，也從來不會只依賴某一家廠商。”他說。

Gartner認為下一代防火墻需有以下特征：

1.有一般防火墻的功能，如VPN、網絡地址轉換等；

2.有入侵防護功能；

3.能識別應用類型；

4.有一定智能，能幫助分析并輔助決策。