就職于大型集團和中型企業的IT管理者們必須面對一個問題，即在網絡性能和網絡安全性之間找到一個折中方案。由于企業對于數據安全性的嚴苛要求，企業不得不以犧牲網絡性能和數據吞吐量為代價換取網絡安全。而下一代防火墻(NGFWs)的出現，解決了這個令人頭疼的問題。

傳統的防火墻將現在的企業至于一個充滿安全風險的境地。因為傳統防火墻的安全防護技術相比現代網絡犯罪分子制造的危險數據包來說，顯得太過時了。很多廠商宣稱可以高速進行動態封包狀態檢測(Stateful Packet Inspection ，SPI)，但是真正衡量防火墻安全防范水平和效果的方法是進行深度封包檢測(DPI)以及其效率。為了解決這個缺陷，很多防火墻廠商選擇了和傳統桌面反病毒軟件類似的惡意代碼檢測方案，即將下載的文件進行緩存再對其進行惡意代碼深度檢測。這種方法的弊端不僅僅是造成了網絡數據的極大延遲，而且防火墻內存容量的限制也制約了可供緩存的網絡文件的大小。

定義下一代防火墻

從最基礎的角度講，下一代防火墻應該通過集成入侵檢測系統實現深度數據包檢測(DPI)防火墻技術，并具備應用層智能性以及對接受和處理的數據進行圖形化控制的能。

Gartner對于下一代防火墻的定義是“一個線速的綜合網絡平臺，具備深度數據包檢測以及阻止網絡攻擊的能力。” Gartner 認為，下一代防火墻應該最少具備以下特征：

· 非破壞性的聯機配置能力

· 擁有第一代防火墻的標準功能，比如網絡地址轉換(NAT)，動態數據包狀態檢測(SPI)，以及虛擬專用網(VPN)等。

· 內置基于簽名的 IPS入侵檢測系統引擎

· 應用程序識別，完整的堆棧能見度和顆粒控制

· 有能力從防火墻外部吸收信息，比如基于目錄的策略、黑名單、白名單等。

· 升級途徑包括未來的信息反饋和安全威脅。

· SSL解密能力，從而識別出不受歡迎的加密應用數據。

下一代防火墻的進化

擁有 SPI功能的防火墻在惡意軟件還不太盛行，網站還主要以文本為主的時代，確實幫助企業解決了不少安全難題。端口、IP地址還有協議，都是防火墻管理的關鍵因素。但是隨著互聯網的進化，服務器開始提供動態的內容，而客戶端瀏覽器也支持了更多的應用，也就是進入了Web 2.0時代。

如今，來自Salesforce.com 、SharePoint 以及 Farmville 等各種網站的網絡應用統統在使用TCP的80端口，加密數據則采用SSL的接口TCP 443。下一代防火墻將能夠實時的檢測數據包的有效載荷，并對有效載荷進行簽名比對，判斷是否為已知的惡意代碼、病毒和惡意軟件。DPI還意味著管理員可以創建足夠詳細的允許和拒絕規則，對特定的應用程序或網站進行訪問控制。由于數據包中的內容可以被深度檢測，由此生成各種統計信息就成為了可能，這意味著管理員可以更輕松的進行流量分析，制定網絡容量計劃，也可以更簡單的查找網絡故障來源，監視企業網絡員工的上網行為。目前的防火墻操作還停留在OSI模型的2至7層。

企業需要什么

企業正在飽受網絡應用程序混亂的痛苦。網絡通信已經遠遠不像從前那種類似于電子郵件的簡單的存儲并轉發模式了，而是已經擴展成了包括實時協作工具、Web 2.0應用、即時消息(IM)、點到點應用、VoIP、流媒體以及遠程視頻會議等多種應用模式了。每種網絡應用自身都存在潛在的安全風險。很多企業在實際工作中甚至無法將企業關鍵應用與那些非關鍵應用或單純的拖累帶寬的應用區分開。

如今，企業需要擁有應對關鍵業務的解決方案，同時還要擁有應對那些浪費網絡帶寬的員工以及他們每天所運行的各式各樣(甚至是危險的)的網絡應用的解決方案。關鍵業務需要以帶寬為優先考慮因素，而社交媒體和游戲類的網絡應用則需要被控制帶寬，甚至是阻止訪問。另一方面，如圖企業的網絡策略無法滿足當地政府的安全管理條例，有可能還會面臨著警告、罰款甚至失去營業資質的危險。

在當代企業中，安全防護和網絡性能應該是齊頭并進的。企業不應該再由于SPI型防火墻所帶來的網絡延遲而忍痛降低安全性換取網絡性能。防火墻或網絡性能的任何延遲，都可能會對那些實時性要求較強的應用造成巨大影響，從而降低這些應用的服務水平和企業的生產效率。 在某些極端情況下，企業甚至會放棄網絡安全解決方案中的某些功能，以避免網絡性能出現明顯的降低或延遲。

企業不論大小，不論是國企還是私企，都面臨著各種新型網絡應用中存在的潛在安全風險。這是我們所面對的豐富而美好的社交網絡中隱藏的陷阱：網絡犯罪分子們制造惡意軟件并時刻搜索著網絡上的獵物。而普通網民不論是在公司還是在家，都在使用博客、社交網站、即時消息、視頻、音樂、游戲、網絡購物和電子郵件等種種網絡應用。一些網絡應用，如視頻流媒體，點到點通信以及托管或基于云的網絡應用，都會將企業至于潛在的黑客入侵、數據泄露以及斷網等風險中。除了增加安全風險，這些網絡應用還會拖累帶寬和企業的生產效率，與企業的關鍵性業務應用爭奪帶寬。這其中的關鍵就在于，企業需要通過某種工具來確保關鍵業務相關的應用能夠獲得足夠的帶寬保障，同時需要這種工具具備應用智能和控制能力，以便保護流入和流出的數據流安全。只有確保網絡的速度和安全性都足夠好，企業才能擁有一個具有良好生產效率的網絡環境。

NGFWS的優勢

下一代防火墻能在千兆級甚至更高的網絡速度下提供應用智能和控制能力、入侵預防能力、惡意軟件保護以及SSL檢測能力。

更強的是 NGFW可以讓管理員分別控制和管理與業務相關的網絡數據流以及與業務無關的網絡數據流，確保企業的網絡生產效率保持高水平。而且下一代防火墻可以掃描各個端口的文件，不限制文件大小，也不會在掃描時影響數據的安全性或網絡的效率。對于高端的下一代防火墻來說，可以同時掃描的文件或網絡數據流的數量是沒有限制的，因此不會出現防火墻負載過重時，被惡意代碼感染的文件有機會漏過掃描進入企業內部網絡的情況。另外，下一代防火墻還可以將所有安全和程序控制技術應用到SSL加密數據流中，確保SSL數據流中沒有惡意代碼。

在選擇具備深度數據包檢測功能的下一代防火墻時，IT管理者需要注意的是，目前市場上的下一代防火墻在處理器架構上存在不同的架構。有些廠商采用的是通用處理器外加安全協處理器的架構，有些廠商采用的則是自己設計的ASIC(專用集成電路)平臺架構。選擇哪種架構并不重要，重要的是要確保所選擇的下一代防火墻能夠完全滿足企業的網絡性能需求，能夠提供最好的穩定性，提供最實用的網絡分析功能和網絡觀察能力，另外還要有方便的部署和管理性。