下一代防火墙已经到来

传统的基于端口的企业防火墙，看上去不像是一个后卫，更像是Web应用程序的中途停车点，在新一代更强大、快速和智能的防火墙面前，它正慢慢失去话语权。

所谓的下一代防火墙(NGFW)指的是一种能有效执行入侵防御保护，能智能感知应用程序，强制实施基于身份控制的企业级防火墙/VPN，它可以利用互联网信誉分析信息帮助过滤恶意软件或与活动目录(AD)集成实施更细粒度的控制。

NGFW什么时候才能真正到来?

PaloAlto网络公司被认为是业界第一家真正能提供NGFW产品的厂商，早在2007年，PaloAlto就推出了多用途应用程序感知安全设备，截至目前已经发展了2200家客户，其它如FORTINET，思科，CheckPoint，McAfee和BarracudaNetworks等厂商都扩展或重新设计了现有防火墙产品，以符合NGFW定义的规格。此外，IPS厂商，如Sourcefire已经明确表示明年将会推出一款带有应用程序感知防火墙功能的IPS，尽管如此，目前使用这些高级防火墙的客户还很少。

Gartner分析师GregYoung说："截至目前，据我们掌握的数据来看，只有不到1%的安全连接使用了NGFW，但这一数字到2014年预计会上升到35%"。

NGFW还是UTM?

NGFW并不是科学术语，也不只是市场营销使用的一个词，有太多不确定因素，也没有任何独立的第三方实验室测试这些NGFW产品，Fortinet公司表示，ICSA实验室正在讨论测试各种NGFW产品，但眼下最大的挑战是明确NGFW的定义，Gartner对此给出了自己的定义，Young说："有些厂商在应用程序控制方面做得很好，有些厂商在IPS方面更先进，大多数企业防火墙厂商仍处于早期阶段，总的来说，PaloAlto处于领先地位"。

IDC分析师CharlesKolodgy创造了另一个术语UTM(统一威胁管理)，很快便有了NGFW和UTM术语之争，Kolodgy说UTM和NGFW的含义大致相同，但Gartner却不这么认为，它指出UTM安全设备只适合中小型企业使用，而NGFW才适合员工大于1000的大型企业使用。

厂商已经开始行动

尽管存在术语之争，安全厂商也清醒地认识到，整合多用途的企业级安全设备需求会急剧上升。Fortinet产品营销副总裁PatrickBedwell说："市场正朝这个方向倾斜，传统防火墙已不能满足客户的需求，重点是对应用程序的控制，并且威胁也变得越来越复杂"，Fortinet上周推出了Fortigate-5001B安全刀片，最高可达40Gbps，上一代产品最大只能达到8Gbps，可谓有一个质的飞跃。

FortiGate防火墙/VPN安全刀片可感知约1300种应用程序，可以根据应用程序对用户行为实施细粒度的控制，如时段限制和带宽管理。其它厂商也不甘落后，McAfee去年6月发布的EnterpriseFirewallv8就声称是NGFW产品。McAfee网络防御产品营销总监GregBrown说："我们改造了应用程序引擎，现在它可以检测和全面检查1000多种应用程序，我们还设计了引擎扩展功能，每周都会有应用程序更新"。

McAfeeEnterpriseFirewallv8可达到10Gbps，但这并不是最高速度，McAfee和CrossbeamSystems合作，在他们的平台上实现了40Gbps的速度，McAfee正在努力提高在自己设备上的速度。

全功能防火墙带有的IPS功能是否比得上独立的IPS产品?Brown表示这是个未知数，目前还没有独立测试报告出现。他说："和传统控制IP网络的防火墙比较，NGFW代表了更先进的技术，因为它控制的是应用程序，和微软的活动目录集成后，还可以设置用户组授权，到目前为止，已经有一部分McAfee用户在尝试高级防火墙带来的应用程序控制功能"。

本文转载自企业级IT信息服务平台-网界网-CNW.com.cn
原文地址：http://www.cnw.com.cn/security-10g-firewall/htm2011/20110405_220738.shtml

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]