【51CTO.com綜合報道】

前世

防火墻自誕生以來，在網絡安全防御系統中就建立了不可替代的地位。防火墻就像城墻，對進出防火墻的一切數據包進行檢查，保證合法數據包能夠進入網絡訪問合法資源同時防止非法人員通過非法手段進入網絡或干擾網絡的正常運行。隨著時代的變遷，曾經如城墻般穩固的傳統防火墻已黯然失色，失去了它原有的防御能力。面對網絡的高速發展、應用不斷增多的時代，逐漸被新的繼任者重新定義了"防火墻"。

我們不禁要問：曾經在IP/端口的網絡時代發揮了巨大作用的"傳統防火墻"為什么會被歷史所淘汰？最主要的原因還在于"對網絡應用快速發展的3大不適應癥狀"

1.安全不適癥

傳統防火墻基于IP/端口無法對應用層進行識別與控制，無法確定哪些應用經過了防火墻。面對應用層的攻擊，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如病毒、蠕蟲、木馬等。

2.管理不適癥

傳統防火墻的網絡訪問控制需要配置大量的策略，并且這些基于IP/端口策略可讀性非常之差，經常會造成錯配、漏配的情況，留下的這些隱患，往往給黑客們以可乘之機。

3.維護不適癥

由于防火墻功能上的缺失使得企業在網絡安全建設的時候針對現有多樣化的攻擊類型采取了打補丁式的設備疊加方案，在一定程度上能彌補防火墻功能單一的缺陷。但在這種環境中，同一數據包經過串聯的各類設備，被重復拆包，重復解析，使整個網絡的效率變得低下，運行速度緩慢。而獨立設備、管理復雜，需要培養熟悉各類設備、各廠商設備的高級管理人員。無法進行統一的安全風險分析，以及無法提供足夠的空間和環境支持，大大提高了維護成本。

今生

2009年10月Gartner提出"Defining the Next-Generation Firewall(NGFW)"一文，重新定義下一代防火墻，下一代防火墻的概念在業內便得到了普遍的認可。目前僅有不到1%的Internet連接采用NGFW來保護。Gartner認為，到2014年底，這個比例將增加到占安裝量的35%，60%新購買的防火墻將是下一代防火墻(NGFW)。

在這個全新領域，國內規模最大的前沿網絡設備廠商，同時也是全球網絡設備領域發展最快的廠商之一的"深信服公司"在10年網絡安全技術和6年應用安全技術的沉淀之后，于2011年正式發布了下一代應用防火墻（NGAF）產品（Next-Generation Applications Firewall）。

它面向應用層設計，能夠識別用戶、應用和內容，重新定義了防火墻產品，加速了傳統防火墻解決方案推出歷史舞臺的步伐。

1.更精細的應用層安全策略

深信服下一代應用防火墻（NGAF）產品具備了精確的用戶和應用的識別能力，可以針對每個數據包找出相對應的用戶角色和應用的訪問權限，可制定出2-7層一體化的訪問控制策略，從而恢復了對網絡資源的有效管控。

2.更全面的內容級安全防護

深信服下一代應用防火墻（NGAF）產品不但具備了傳統應用層設備的防護功能（如: 防掃描、信息隱藏、弱口令保護、漏洞防護、防web攻擊、防止網頁掛馬等），還可以基于應用的內容做安全檢查，包括掃描所有應用內容，過濾有風險的內容，甚至讓用戶自定義哪些內容可以進出，哪些內容不能進出，從而有效的去除各類安全短板，實現多層次完整的安全防護，同時節約了投資成本，提高了性價比。

3.更高性能的應用層處理能力

深信服下一代應用防火墻（NGAF）產品采用單次解析架構，結合多核并行處理技術，對數據包進行一次拆包、一次解析，極大提高了NGAF的應用層性能，相對于多數UTM僅有幾百兆到1G的應用層性能來說，NGAF實現10G的應用層吞吐能力更能滿足用戶對高性能場景的需求。