竞相布局 下一代防火墙产品应用特点解析

下一代防火墙是什么

　　一、"下一代"是技术发展趋势？

　　人们对于利用信息技术改善工作和生活体验的追求是永无止境的，互联网及相关产品的更新也是业界人士永不停歇的前进动力。下一代互联网、下一代防火墙、下一代CPU……，已经在我们身边悄无声息的开展并且取得成果：在下一代互联网的建设中，我国开创性地建成了世界第一个纯IPv6网，加速了世界下一代互联网发展的步伐；在下一代防火墙领域，国内多个信息安全厂商已经纷纷涉足，不断推陈出新……企业用户在面对这些"新生"事物的选择时难免力不从心，本文将重点解析保障企业内网安全的"下一代防火墙"。

　　下一代防火墙，即"Next Generation Firewall"（简称NG Firewall）。基于现阶段不断升级的网络安全威胁，防火墙面临着全面升级为"下一代防火墙"的需求。比如目前，第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁；深层数据包检查入侵防御系统已经不能有效的识别与阻止应用程序的滥用……在传统防火墙应对威胁能力不够强的情况下，更具针对性、能防御各种攻击的"下一代防火墙"便应运而生了。

　　虽然目前学术界对于"下一代"还没有真正完全统一的定义，但对"下一代防火墙"的最低属性已基本达成共识：

　　1、 支持在线BITW（线缆中的块）配置，同时不会干扰网络运行；

　　2、 可作为网络流量检测与网络安全策略执行的平台，并具有下列最低特性：1）标准的第一代防火墙功能：具有数据包过滤、网络地址转换（NAT）、协议状态检查以及VPN功能等。 2）集成式而非托管式网络入侵防御：支持基于漏洞的签名与基于威胁的签名。3）业务识别与安全可视性：识别应用程序并在应用层执行网络安全策略。　

　　3、 支持新信息流与新技术的集成路径升级，以应对未来可能出现的各种威胁。

　　二、“下一代防火墙”是什么？

　　回顾防火墙的发展史，其实质就是一种"隔离技术。" 计算机输入和输出的所有网络数据都要经过这个位于计算机和它所连接的网络之间的软件或硬件，这道将内部网络和外部网络分开的防线可以由用户自主设置成不同保护级别，而入侵者必须首先穿越防火墙的安全防线，才能接触到目标计算机。

　　下一代防火墙的技术与服务特性

　　与上一代网站相比，现阶段网站的最大特点是开放性和交互性，这在为企业用户带来便利的同时，也为黑客的恶意攻击开启了方便之门。

下一代防火墙技术特点

　　下一代防火墙首先应具备阻断客户端服务器的功能，从源头上阻断黑客与受保护服务器的连接；其次，不但要能够检测并拦截复杂攻击，还要在应用层(包括端口和协议)执行细化安全策略；最后，由于企业内网用户可执行的应用操作越来越多，如何控制的保护内部用户访问安全也成为焦点，这就要求下一代防火墙产品具有对所有进、出网络的常规的及密集流量进行监控、识别并检查应用行为的能力，以便企业安全管理人员可以及时查看网络中应用程序和用户相关信息及整个企业网络流量内容，从而进行相应的控制。

　　以上的要求意味着下一代防火墙必须采用更高性能的架构才能完成既定工作需求，在性能和效率上找到平衡的契合点。而"多核架构"、借助"云"的力量、"虚拟化"、"可视化"、"绿色环保"、"解决方案"等技术与服务，已经成为目前业界瞩目的"主流"。

　　三、主流厂商的下一代防火墙产品

　　防火墙的重要作用不言而喻，而与时俱进的下一代防火墙，也已经进入防火墙市场的。目前各大信息安全厂商已经推出下一代防火墙产品，其各自的功能特点也各不相同。

　　梭子鱼

　　记者在此前采访梭子鱼中国区技术总监谷新时得知，下一代防火墙是梭子鱼2011年产品线的部署重点之一。

　　据了解，梭子鱼下一代防火墙可以通过中央平台统一管理，无论企业信息管理人员身处何地都可以对整个企业的网络系统进行管理。

梭子鱼下一代防火墙产品

　　集中化的防火墙管理，可以使整个企业贯彻统一的安全态势和政策执行，其多重网关的即时报告、网络的配置和政策改变的综合历史和回顾、反垃圾邮件、病毒防护、安全网关和网络接入管理更新的统一视图都丰富了梭子鱼包括了7层应用防护的防火墙功能。

　　梭子鱼下一代防火墙产品拥有多种硬件型号和相应软件平台，适用于从小型分支机构到大型企业总部或数据中心不等。
 

不同品牌的下一代防火墙技术应用

　　Check Point

　　Check Point也是较早涉足下一代防火墙领域的厂商之一，据悉，在独立安全研究和评测机构NSS Labs的评测中，Check Point下一代防火墙100%通过传统防火墙评测、应用识别和控制评测、用户和组群身份识别评测、"回避式攻击"评测等，此外，其整合的入侵防御安全功能（IPS）的拦截率达到97.3%，基本规格的保护成功率达到86.6%，能够成功地识别并阻止使用回避或模糊手段隐瞒的攻击，还具有低拥有总成本：每个受保护的Mbps仅为49美元。

CPSB-500C-U-World

　　目前，Check Point已经通过独立安全研究和评测机构NSS Labs的评测，成为NSS Labs下一代防火墙（NG Firewall）的"推荐"级别厂商。

　　Cisco思科

　　Cisco思科（下简称思科）的防火墙已经进入"云"时代，思科将其称为"云火墙"。据悉，思科的"云火墙"具备4大特征，包括：防僵尸网络/木马，防止网络内部主机感染；云检测-全球IPS联动；云接入-SSL VPN；云监控。

ASA5510-SEC-BUN-K9
 

思科、山石网科下一代防火墙的技术分析

    思科下一代防火墙还提供全球安全威胁实时视图和电子邮件的"信用报告"服务，还能敏感监控僵尸网络的动态，所更新的信息同步到所有云火墙。

　　据悉，在2011年，思科计划提高其情境感知功能的影响力，之后逐步推出应用感知，对设备型号与用户位置的可视性及用户身份的轻量目录访问协议是下一代防火墙的核心功能。

　　Hillstone山石网科

　　Hillstone山石网科(以下简称山石网科) 针对企业数据中心不断扩张对服务器的需求和承载，将"数据中心防火墙"作为企业"下一代"产品的诉求重点。

SG-6000-G5150

　　高性能、高容量、低延迟、丰富的扩展能力，绿色、节能、环保的数据中心防火墙，提升了企业用户数据中心的运营效率和安全防护能力，在有效的空间获得更高的性能和更多的网络接口，极大地降低了数据中心的运营成本。
 

Juniper 下一代防火墙特点分析

　　Juniper Networks

Juniper NetScreen-5gt

　　Juniper使用一套"App Secure"软件产品，为服务网关提供下一代防火墙能力。其产品平台依据Juniper的特征库和企业管理员建立的通用应用特征来为网络提供可见性，对应用进行策略实施和流量控制，同时具有很好的扩展性，并且交付应用的速度可达100Gpbs。

Palo Alto防火墙特点分析

　　Palo Alto

　　Palo alto networks防火墙产品在本次CeBIT 2011大会上展示了全新的网络安全系统。Palo Alto Networks是第一个推出下一代防火墙的厂商，并且是第一个用应用感知代替端口式流量分类的厂商。其产品是基于一个叫"App-ID"的分类引擎技术，可通过解密、检测、解码、签名及试探技术，用引擎来识别该应用的所有版本以及该应用运行的所有平台，还具有可扩展性，只要新的技术可用，就可以源源不断的加到分类引擎中。

PA-4060

    Palo Alto Networks新一代防火墙的基础是一种单通道平行处理架构，它采用一种独特的软体和硬体整合方法，可以简化管理程序、使处理流程化且最大程度地提高性能。对于给定的一组通信流，单通道软体可以同时执行政策查询、应用程式识别与解码、Active Directory 使用者对映，与内容扫描(病毒、间谍软体及IPS)。此软体运行在一个平行处理硬体平台之上，平台使用特定功能的处理器执行联网、安全、威胁预防及管理等方面的任务，从而获得最大执行效能，并将延迟时间减至最少。

　　近年来，以"更大容量、更快效率、更具安全性、更便于管理"等为特点的下一代防火墙成为业内厂商竞相攻关的课题。据统计，目前仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络等技术的不断演进，下一代防火墙的应用已然是不可抗拒的趋势。

　　目前有多家大型企业都已经意识到将企业现有防火墙升级到"下一代"的重要性，Gartner的研究报告说明，随着威胁情况的变化以及业务与IT程序的改变，都将促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品，而下一代防火墙的提供厂商获取市场份额的关键在于，区别于第一代防火墙的显著功能，并且具有一定的价格优势。