下一代防火墻功能強(qiáng)大，你是不是對它們感到有點(diǎn)迷惑。

所謂的下一代防火墻(NGFW)是什么?

下一代防火墻縮寫為NGFW，目前被多數(shù)廠商描述為擁有多功能安全防御和基于身份的應(yīng)用控制在內(nèi)的新型防火墻。這一描述得到了市場研究機(jī)構(gòu)Gartner的認(rèn)可。

NGFW的現(xiàn)狀是什么?

由于NGFW并不是一個科學(xué)術(shù)語，因此在市場營銷中其內(nèi)容有很大的彈性，不過目前這一概念還沒有并過度宣傳。Gartner支持NGFW概念已有多年時間，在任何安全設(shè)備NGFW都將自身包裝為NGFW的潮流中，Gartner一直保持中立。Gartner對NGFW最基本的定義正在給那些決定研發(fā)更為精巧的防火墻帶來影響，新防火墻不同于傳統(tǒng)基于端口的檢查與控制。

Gartner對NGFW的定義是什么?

Gartner對NGFW的定義可概括為以下幾點(diǎn)：

-必須具備網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢查、VPN等標(biāo)準(zhǔn)防火墻功能，并且適合大型企業(yè)。

-入侵防止系統(tǒng)被“真正集成”在防火墻中。

-有認(rèn)識應(yīng)用和設(shè)置控制的“應(yīng)用意識”

-“外防火墻”智能能夠提供幫助決策的信息;具有值得信賴的分析，與ActiveDirectory、有效的拒止或漏洞列表進(jìn)行整合。

如果一個廠商自稱他們提供的是NGFW，我是否應(yīng)該認(rèn)為他們的設(shè)備具有這些功能?

當(dāng)然不是。在營銷中，使用NGFW這個詞進(jìn)行宣傳只是聽起來感覺很不錯。許多知名的防火墻廠商正在改造他們的防火墻生產(chǎn)線，以符合NGFW這個概念。成立于2007年的新興公司PaloAltoNetworks被認(rèn)為是首家推出下一代防火墻安全設(shè)備的廠商。該公司的舉措迫使傳統(tǒng)防火墻廠商做出改變。目前PaloAlto正在為他們的設(shè)備添加新的功能。

NGFW設(shè)備正在被廣泛使用嗎?

不是。Gartner估計目前NGFW支持的安全互聯(lián)支持低于1%的，不過到2014年將增至35%

統(tǒng)一威脅管理(UTM)是什么?

這一術(shù)語是IDC最先使用的，其概念與NGFW相似，都是經(jīng)整合的多用途安全設(shè)備。與NGFW一樣，UTM也不是一個科學(xué)術(shù)語，并且同樣沒有被過度宣傳。Gartner認(rèn)為IDC創(chuàng)造的UTM一詞指用于小型和中型市場的設(shè)備。相反，IDC則認(rèn)為NGFW才是指用于小型和中型市場的設(shè)備。

NGFW設(shè)備是否有可供購買時做參考的獨(dú)立測試?

目前還沒有。目前NGFW的定義還沒有完全確定下來，獨(dú)立的實(shí)驗(yàn)室無法進(jìn)行獨(dú)立的對比測試。

購買帶集成安全功能的NGFW是否比單獨(dú)購買針對某一功能的設(shè)備更為便宜?

或許是這樣。不過一些早期使用者認(rèn)為NGFW的優(yōu)勢在于可以簡化管理和操作。與此同時，一些用戶表示他們不希望完全放棄使用傳統(tǒng)防火墻或獨(dú)立的IPS(入侵防護(hù)系統(tǒng))，因此他們對完全依靠一個廠商和一個設(shè)備感到不放心。

基于身份的應(yīng)用控制背后的理念是什么?

大多數(shù)廠商表示，他們的NGFW將允許對1000多個應(yīng)用進(jìn)行基于策略的控制，并且可以與微軟ActiveDirectory進(jìn)行整合。其目標(biāo)是將決定哪些與互聯(lián)網(wǎng)連接的應(yīng)用允許被企業(yè)用戶使用。目前哪些不能使用已經(jīng)很明確了，如P2P或一些社交網(wǎng)絡(luò)。現(xiàn)在有一個問題，那就是當(dāng)用戶在防火墻外使用移動設(shè)備時如何保護(hù)用戶。

我的公司是否現(xiàn)在就應(yīng)該使用整合有IPS、基于身份的應(yīng)用控制等功能的防火墻?

在遷移中會在規(guī)定、策略和培訓(xùn)上遇到很大的問題。Gartner建議至少要關(guān)注廠商正在做什么，他們在什么場合公布了他們的路線圖，這樣才能在防火墻談判來到時對情況有個正確評估。

【編輯推薦】

1. 更快更智能 下一代防火墻新技術(shù)初探
2. 企業(yè)需要帶有入侵防御系統(tǒng)及應(yīng)用可見的下一代防火墻