Gartner報告顯示，從2005年開始，全球防火墻市場已開始呈逐年遞減趨勢。市場的增長源自用戶的需求，而衰落，正恰好說明用戶的需求在發生改變。為應對當前與未來的網絡安全威脅，Gartner 認為傳統防火墻必須要升級為“下一代防火墻”，并預言，到2014年，全球35%的企業將會全面部署下一代防火墻，并且它會集成入侵防護、應用可視性和控制功能。

防火墻是一類防范措施的總稱，它使得內部網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。防火墻簡單的可以只用路由器實現，復雜的可以用主機甚至一個子網來實現。設置防火墻目的都是為了在內部網與外部網之間設立唯一的通道，簡化網絡的安全管理。

傳統防火墻可以分為四種類型：包過濾、應用級網關、代理服務器和狀態檢測。總體的功能是：過濾掉不安全服務、非法用戶和控制對特殊站點的訪問、提供監視Internet安全和預警的方便端點。

但由于互連網的開放性，有許多防范功能的防火墻也有一些防范不到的地方：

1、防火墻不能防范不經由防火墻的攻擊。例如，如果允許從受保護網內部不受限制的向外撥號，一些用戶可以形成與Internet的直接的連接，從而繞過防火墻，造成一個潛在的后門攻擊渠道。

2、防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。

3、防火墻不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Internet主機上并被執行而發起攻擊時，就會發生數據驅動攻擊。

因此，防火墻只是一種整體安全防范政策的一部分。這種安全政策必須包括公開的、以便用戶知道自身責任的安全準則、職員培訓計劃以及與網絡訪問、當地和遠程用戶認證、撥出撥入呼叫、磁盤和數據加密以及病毒防護的有關政策。

雖然下一代防火墻目前沒有一個明確的定義，但是不并妨礙由市場需求推動技術產品的發展。梭子魚網絡有限公司在Gartner的基礎上對下一代防火墻做了一個更為明確的定義，即是集成了虛擬化軟件和硬件架構的智能網絡平臺，可對各種流量實施深層探測并阻止各類攻擊。下一代防火墻需具備下列最低屬性：

◆支持在線BITW(線纜中的塊)配置，同時不會干擾網絡運行。

◆可作為網絡流量檢測與網絡安全策略執行的平臺，并具有下列最低特性：

1)標準的第一代防火墻功能：具有數據包過濾、網絡地址轉換(NAT)、協議狀態檢查以及VPN功能等。

2)集成式而非托管式網絡入侵防御：支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協作所獲得的性能要遠高于部件的疊加，如：提供推薦防火墻規則，以阻止持續某一載入IPS及有害流量的地址。這就證明，在下一代防火墻中，互相關聯作用的是防火墻而非由操作人員在控制臺制定與執行各種解決方案。高質量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起，如：根據針對注入惡意軟件網站的IPS檢測向防火墻提供推薦阻止的地址。

3)業務識別與全棧可視性：采用非端口與協議vs僅端口、協議與服務的方式，識別應用程序并在應用層執行網絡安全策略。范例中包括允許使用Skype但禁用Skype內部共享或一直阻止GoToMyPC。

4)超級智能的防火墻: 可收集防火墻外的各類信息，用于改進阻止決策，或作為優化阻止規則的基礎。范例中還包括利用目錄集成來強化根據用戶身份實施的阻止或根據地址編制黑名單與白名單。

傳統防火墻和下一代防火墻的對比

現在，許多防火墻與IPS供應商都已升級了其產品，以提供業務識別與部分下一代防火墻特性，且有許多新興公司都十分關注下一代防火墻功能。大型企業都將隨著正常的防火墻與IPS更新循環的到來逐漸采用下一代防火墻代替其現有的防火墻，或因帶寬需求的增高或遭受了攻擊而進行防火墻升級。

Gartner認為隨著威脅情況的變化以及業務與IT程序的改變都促使網絡安全經理在其下一輪防火墻/IPS更新循環中尋求具有下一代防火墻功能的產品。而下一代防火墻的供應商們成功占有市場的關鍵則在于需要證明第一代防火墻與IPS特性既可與當前的第一代功能相匹配，又能同時兼具下一代防火墻功能，或具有一定價格優勢。

Gartner認為目前僅有不到1%的互聯網連接采用了下一代防火墻保護。因此，有理由相信到2014年年末使用這一產品進行保護的比例將上升至35%，同時，其中將有60%都為重新購買下一代防火墻。

更多下一代防火墻咨詢，可登錄梭子魚官方主頁：www.barracudanetworks.com.cn