眾所周知，所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻，那新一代防火墻的出現可剔除哪些嚴重的安全隱患呢？

大中型企業的IT經理需要在網絡性能和網絡安全之間進行權衡。雖然安全性對于企業至關重要，但企業不應該因為安全性而降低產量和生產力。下一代防火墻(NGFW)應運而生，用于解決這一棘手問題。

前幾代防火墻給當今企業帶來了嚴重的安全隱患。它們的技術已經過時，無法應對當前互聯網罪犯投放的網絡封包的數據負載。許多供應商只能以狀態封包檢測(SPI)速度吸引客戶，但安全和性能的真正衡量標準是深度包檢測的吞吐量和有效性。為了解決這一缺陷，許多防火墻供應商采用傳統桌面反病毒解決方案使用的惡意軟件檢查方式：緩沖下載的文件，然后檢查惡意軟件。該方法的負面影響是不僅顯著增加了延遲，而且會造成嚴重的安全隱患，因為臨時存儲器會限制文件大小。

定義下一代防火墻

從本質上講，下一代防火墻通過集成入侵防御系統(IPS)以及應用智能和控制，應用了深度包檢測(DPI)防火墻技術，以實現正在訪問和處理的數據內容的可視化。

Gartner公司將NGFW 定義為“一種執行深度流量檢測以及阻止攻擊的線速(wire-speed)綜合網絡平臺。” Gartner認為NGFW 至少應當提供：

· 非破壞性線內嵌入式配置；

· 第一代防火墻的標準功能，例如，網絡地址轉換(NAT)、狀態協議檢測(SPI)和虛擬專用網絡(VPN)；

· 集成式基于特征碼的IPS引擎；

· 應用程序識別、全堆棧可見性和精細控制；

· 合并來自防火墻外部信息(例如，基于目錄的策略、黑名單、白名單)的能力；

· 升級路徑以包括未來信息源和安全威脅；

· SSL解密以啟用對不受歡迎的加密應用程序的識別。#p#

下一代防火墻的演變

使用狀態檢測技術的防火墻僅適用于惡意軟件尚未大范圍流行且網頁只是供閱讀文檔的時代。當時，端口、IP地址和協議是需要管理的關鍵因素。但是隨著互聯網的發展，服務器和客戶端瀏覽器能夠提供動態內容，從而引入了大量豐富的應用，我們現在稱之為Web 2.0時代。

現在，從Salesforce.com、SharePoint到Farmville的應用都運行在TCP 80端口以及加密SSL(TCP 443端口)上。下一代防火墻檢查大量的數據包，并即時匹配惡意活動的特征，例如已知漏洞、漏洞利用攻擊、病毒和惡意軟件。此外，深度包檢測也意味著管理員可以創建非常精細的許可，以及控制特定應用和網站的拒絕規則。由于數據包內容經過檢查，因此可以導出所有類型的統計信息，這意味著管理員現在可以輕松地分析數據流，以執行容量規劃、進行故障排除或監控每個員工的工作。當前的防火墻在網絡應用模型的第2、3、4、5、6和7層運行。

企業的需求

企業面臨應用程序混亂的困境。網絡通信不再僅僅依靠電子郵件等存儲轉發應用，現在已擴展至包括實時協作工具、Web 2.0應用、即時通訊(IM)和p2p應用、基于IP的語音傳輸(VoIP)、流媒體和電話會議，每種應用程序都有被攻擊的潛在風險。許多企業無法區分網絡上的合法商業應用程序以及非業務關鍵性應用程序，而后者消耗企業帶寬或對企業造成危險。

現在，企業需要提供關鍵業務解決方案，同時應對員工使用無用并且(從安全角度看)危險的基于Web的應用。關鍵應用享有帶寬優先權，而社交媒體和游戲應用需要被節流或完全阻止。此外，如果企業不符合安全法律和規定，他們還會面臨罰款、處罰以及業務損失。

在當今企業中，防護和性能是相輔相成的。企業無法再忍受過時的狀態檢測防火墻造成的安全性下降，也不能忍受部分下一代防火墻造成的網絡瓶頸。防火墻或網絡性能的任何延遲都會降低延遲敏感性協作應用的質量，因此會對服務水平和生產力造成負面影響。更嚴重的是，某些IT企業甚至禁用網絡安全解決方案中的功能以避免網絡性能的下降。#p#

公共部門和私營部門中各種規模的企業都面臨常見應用中漏洞的新威脅。這是看似美好的社會化網絡和互聯帶來的陰暗秘密：它們正在為惡意軟件提供滋生的土壤，互聯網罪犯搜索每個角落狩獵毫無戒備心的受害者。同時，員工使用公司和家庭辦公電腦發布博客、從事社交、傳送消息、觀看視頻、收聽音樂、玩游戲、購物和收發郵件。流媒體視頻、點對點(P2P)和托管或云應用使企業面臨潛在入侵、數據泄露和宕機風險。除了帶來安全威脅外，這些應用消耗帶寬并降低生產力，并與任務關鍵性應用搶占寶貴的網絡帶寬。更重要的是，企業需要使用工具保障關鍵業務相關的應用的帶寬，并且需要應用智能和控制保護入站和出站流量，同時確保速度和安全以實現高生產力的工作環境。

NGFW的優勢

下一代防火墻可以數千兆比特的速度提供應用智能和控制、入侵防御、惡意軟件防御和SSL檢查，并且可以擴展以便實現網絡的最高性能。

固若金湯的NGFW使管理員能夠控制和管理業務和非業務相關的應用程序，保證網絡和用戶的生產力，他們可以掃描任何端口的任何大小的文件，不會造成安全或性能下降。并發文件或網絡數據流的數量不會對高端NGFW產生限制，因此當防火墻在重負荷下工作時，受感染的文件也不會瞞天過海。此外，NGFW也可以將所有安全和應用控制技術應用到SSL加密數據流，確保它不會成為惡意軟件進入網絡的新載體。

選擇深度包檢測的IT管理員需要注意NGFW領域中有多種處理器架構方式。一些人選擇通用處理器，使安全協處理器保持獨立。讓然有其他人選擇設計和建立專用集成電路 (ASIC)平臺。Dell SonicWALL則使用多核架構作為我們的解決方案，以加速網絡流量的處理。IT管理員務必確保他們選擇的NGFW解決方案完全能夠根據預測的網絡性能要求進行擴展，提供最穩定的性能、最有用的網絡分析和洞察力，并且便于實施和管理。