大約在與星際迷航電視劇開始的同一時間，防火墻開始進入到下一代防火墻時代。雖然防火墻產品變得更加先進，但很多IT安全專家仍然堅持使用原來的使用端口和協議的防火墻。

現代企業需要對在其網絡運行的應用有更深入的了解。新一代防火墻提供深度數據包檢測、細粒度控制和應用感知，來幫助企業監管其網絡外圍。盡管這些新平臺這么具有吸引力， “下一代”的標簽并沒有很好的描述如何解決當企業遷移到現代防火墻時所涉及的技術、功能和支持問題。現在很多供應商都提供這些設備，包括Check Point、思科、戴爾、Fortinet、瞻博網絡、Palo Alto Networks、Sourcefire(7月被思科收購)、Stonesoft(5月被McAfee收購)以及WatchGuard。F5 Networks在2012年也進入了這個領域，當時其Big IP產品系列應用交付控制器獲得了ISCA實驗室認證。

“大多數現代防火墻都有一些‘下一代’功能，包括集成入侵防御(IPS)以及更好的應用控制，”Gartner研究主管Eric Maiwald表示，“這是現在的防火墻的標準，所有主要安全廠商都聲稱擁有下一代產品。”但是這些說法并不總是很準確，知道如何評估和遷移到下一代平臺才是至關重要的。

應用感知

當然，細粒度應用控制是遷移到下一代防火墻的一個很大的原因。“在我們遷移到Palo Alto的防火墻后，給我們的網絡業務帶來了明顯的優勢，”Neohapsis實驗室安全顧問Andy Hubbard說道，他此前擔任某加州醫院的IT經理時參與了該技術的部署，“在我們部署Palo Alto后，我們很快在網絡上發現四個僵尸網絡和幾個流氓服務器。在我們正確部署后，我們能夠輕松地保護我們的特殊醫療設備。”

雖然更好的應用感知和智能是下一代防火墻的很大的優勢，但這需要付出一些努力。“你需要充分了解何時在防火墻規則集中使用應用ID，”Hubbard表示，“你需要知道哪些應用使用了哪些協議，以及何時使用經典的端口/協議方法更合適，何時不合適。”

這并不是一個輕松的過程，在遷移過程中，Hubbard較舊的Check Point防火墻帶來了麻煩。“我們花了四個月的時間來進行遷移，大部分的工作圍繞讓一大群人協調其工作，因為每個人都負責網絡不同部分的工作，”他表示，“我們還有過時的網絡文檔影響著遷移。與很多企業一樣，隨著時間的推移企業不斷壯大，我們的文檔已經落后。所以在你開始任何遷移工作之前，請確保你更新了這些文件，并確保你的網絡井然有序。”

應用感知的能力也是楊百翰大學(BYU)夏威夷分校升級防火墻的主要原因。該學校有些應用只在一年的特定時間運行，例如用于招生的應用。負責該項目的系統和網絡IT分析師Neal Moss希望對這些招生系統配備進行適當的保護。他花了幾個月同時運行其較舊的思科ASA 5500自適應安全設備以及Palo Alto防火墻平臺，以確保新防火墻的可用性。這是他們的第三次防火墻遷移，所以他知道該期待什么。他說道：“我只是花時間確保正確配置了各種規則集，并逐漸開放舊的防火墻，直到我們能夠完全拋棄它。”

讓應用感知“錦上添花”的是，添加域或IP聲譽管理到防火墻活動中。這是通過在互聯網放置傳感器，以及對域名或IP源地址進行白名單以及黑名單處理來完成的。“域名聲譽工具并不完美，”硅谷AVOA公司前任首席信息官，現任戰略顧問Tim Crawford表示，“說真的，這只是整個威脅預防的一個方面。”

楊百翰大學夏威夷分校對域名聲譽有不同的看法。在今年遭受嚴重攻擊后，該大學希望能夠隔離其服務器到獨立的安全區，當時他們對幾個下一代防火墻進行了評估。Moss表示：“我們希望確保數據庫服務器和應用服務器位于不同的安全區域，并且它們只能與對方通信，如果我們的服務器受到攻擊，我們的數據庫仍然完好無損。”

難以淘汰和更換

現有防火墻如何被使用(或者更準確地說，被誤用)可能導致遷移問題。在某些情況下，企業過于依賴其防火墻，通常是將防火墻作為其唯一的網絡路由基礎設施--沒有邊緣路由器。Hubbard表示：“這導致我們難以淘汰和替換它們。”

部署下一代防火墻可能帶來技術更換、網絡設置變更和安全政策的問題。遷移整個企業防火墻是一個復雜的過程，因為涉及很多移動部件，Hubbard說道，“還有一些有悖常理的事情，并且這兩個系統間存在差異，例如網絡地址轉換設計和服務質量規則。”傳統防火墻管理員習慣于阻止入站威脅，而對于下一代管理員，你需要更密切地關注出站接口。

根據Gartner的Maiwald表示，這里的例子就是，一些公司使用IPS作為監控其防火墻的狀況的工具，這樣他們就可以培養獨立的人員來處理每個設備。最終，整合它們也不會是太困難的事情。

堅持你現有的供應商，并升級到最新的下一代防火墻，可疑避免復雜性問題。這正是Heart研究所IT主管Chris LaBlew對其思科ASA防火墻的做法。他遷移到思科ASA CX內容感知安全模型，因為他相信思科，不想要任何停機時間，另外，他表示，“我們沒有添加新設備到我們現有的思科基礎設施，例如交換機和VPN，而且，我們已經有工作人員知道如何使用它們。這里并不需要太多的學習曲線來使用CX下一代功能。”

但是，這種復雜性有時候與實際技術無關。“應用控制的問題并不是技術問題，但IT經理需要了解其影響和后果，”Maiwald表示，“你可能會無意中阻止你員工訪問Facebook游戲。在理想情況下，IT應該密切與人力資源及管理層協調，以確保政策的正確部署。”

再有就是整體成本。“有些企業不能解釋這些功能增加的費用，并且，現在網絡更虛擬化的環境增加了其信息安全結構的復雜性，”Crawford表示，“傳統的防火墻技術根本不能擴展到云計算。”

然而，根據你的許可證要求的不同，這實際上可以花費更少：在楊百翰大學夏威夷分校，替代其舊的防火墻和反惡意軟件最終的花費更便宜。Moss表示：“我們現在節省了維護費用。”

統一平臺替代品

遷移到下一代防火墻的替代方案之一就是部署統一威脅管理(UTM)工具，該工具結合了防火墻和IPS以及防病毒保護。在近幾年，來自瞻博網絡、Check Point、和其他供應商的UTM已經有所改進，整合了曾經只在最昂貴的UTM產品中才有的相同的安全功能。

然而，UTM有其自身的缺陷，包括吞吐量問題，特別是在較大的網絡中。Maiwald表示：“當UTM的防毒組件打開時，設備的整體吞吐量會明顯下降。”

Hubbard表示同意：“UTM可能會提高延遲性，并讓企業更難以解決錯誤配置的組件，而且，它們還有復雜的許可步驟。”

而有些下一代防火墻則可以提供出乎意料的高吞吐量。BYU的Moss驚訝的看到當他升級防火墻后，性能明顯提高。“即使運行著防火墻和反惡意軟件檢查，我們的新防火墻仍然驚人的快，”他表示，“這個升級很值得。”

LaBleu還發現，調整其思科ASA CX單元的大小來處理互聯網流量水平是保持低延遲性的關鍵。他建議說：“如果你有很多互聯網流量的話，確保不要使用太小的設備。”

遷移到下一代防火墻的最大障礙是對未知的恐懼。Hubbard表示：“習慣可能是為什么人們還沒有升級其防火墻的最大癥結點。”

LaBleu表示同意：“當你部署任何新的技術時，總是很緊張，但下一代防火墻是一個值得的投資。”