安全形勢每天都在發生變化。例如，企業內部的變化就包括應用程序如何安全使用和通信。雖然從可用性的角度來看，這種變化在很多情況下是一個好處。但如果處理不當，它也有可能成為信息安全人員的災難。

[[133008]]

為應對這種變化，企業防火墻的廠商們已經生產出了新的一代的防火墻設備，即下一代防火墻。這些設備在多個不同的方面都與傳統的防火墻不一樣。下面看一下這些不同點，并且看看其如何影響企業的網絡安全。

什么是傳統防火墻

傳統防火墻是一種能夠控制通信進出網絡內部某個點的設備。這種防火墻根據運行的協議類型，一般是通過使用一種無狀態方法或是有狀態方法來進行工作。

使用無狀態進行監視的通信只是簡單地檢查每個數據包，并不能夠理解數據流。而使用有狀態方法進行監視的通信能夠在一定程度上使用監視協議跟蹤通信流，并且能夠在數據流的生命周期內記錄其位置。

很明顯，能夠跟蹤狀態的防火墻要比不能跟蹤狀態的防火墻更高效。但是，許多傳統的防火墻僅限于工作在2層到4層，并且只能根據這些信息跟蹤通信。

傳統防火墻的其它特征還包括支持網絡地址轉換、端口地址轉換、虛擬私有網絡(即VPN)，還能夠提供高級的可用性和性能。

什么是下一代防火墻

很多安全廠商都將自己的新防火墻稱為“下一代防火墻”，但每家廠商產品的特征可能與其它廠商有些不同。一般而言，下一代防火墻產品應當包含如下特性：應用程序感知、狀態檢測、集成入侵防御系統、身份感知(用戶和組的控制)、橋接模式和路由模式、能夠利用外部的情報源，等等。

下面詳細地看看下一代防火墻的這些特性：

1.應用程序感知

傳統防火墻與下一代防火墻的最大不同是：下一代防火墻可以感知應用程序。傳統的防火墻依賴常見的應用程序端口來決定正在運行的應用程序以及攻擊類型。而下一代防火墻設備并不是認為特定的應用程序運行在特定的端口上。防火墻必須能夠在第二層到第七層上監視通信，并且決定發送和接收哪類通信。

最常見的例子是當前對HTTP和80號端口的使用。傳統上，這個端口僅用于HTTP的通信，但如今的情況不同了，而且有大量的不同應用程序都使用這個端口在終端設備和中央服務器之間傳送通信。常見端口用于不同類型通信的方法有很多種，其中最常見的方法之一就是隧道技術。借助于隧道技術，通信在傳統的 HTTP數據字段內部建立隧道，并在目的結點解開封裝。從傳統的防火墻的觀點看，這看起來就是簡單的HTTP Web通信，但對于下一代防火墻來說，它真正的目的在其能夠到達目的結點之前就在防火墻上被發現了。如果這種通信是由下一代防火墻的策略所允許的，就放行;否則，防火墻將阻止通信。

2.身份感知

傳統防火墻和下一代防火墻之間的另一個很大的不同點是，后者能夠跟蹤本地通信設備和用戶的身份，它一般使用的是現有的企業認證系統(即活動目錄、輕量目錄訪問協議，等)。信息安全人員通過這種方法就不僅能夠控制允許進出網絡的通信類型，還可以控制哪個特定用戶可以發送和接收數據。

3.狀態檢測

雖然從狀態檢測的一般定義上來看，下一代防火墻并無不同，但它不是僅跟蹤第二層到第四層的通信狀態，而是要能夠跟蹤第二層到第七層的通信狀態。這種不同可以使安全人員實施更多控制，而且可以使管理員能夠制定更精細的策略。

4.集成IPS

入侵防御系統(IPS)能夠根據幾種不同的技術來檢測攻擊，其中包括使用威脅特征、已知的漏洞利用攻擊、異常活動和通信行為的分析等。

在部署了傳統防火墻的環境中，入侵檢測系統或入侵防御系統是經常部署的設備。通常，這種設備的部署是通過獨立的設備部署的，或是通過一個設備內部在邏輯上獨立的設備來部署的。而在下一代防火墻中，入侵防御或入侵檢測設備應當完全地集成。入侵防御系統本身的功能與其在獨立部署時并無不同，下一代防火墻中此功能的主要不同在于性能，以及通信的所有層如何實現對信息的訪問。

5.橋接和路由模式

橋接或路由模式雖不是全新的特征，但下一代防火墻的這種功能仍很重要。在當今的網絡中部署了許多傳統的防火墻，但其中的多數并非下一代防火墻。為更容易地過渡下一代防火墻，下一代防火墻必須能夠以橋接模式(也稱為透明模式)連接，設備本身并不顯示為路由路徑的一部分。對任何一家特定的企業來說，在合適的時間，下一代防火墻應逐漸地替換傳統防火墻，從而使用路由模式。

比較下一代防火墻

如今的市場上有不少信息安全方案都宣稱自己是下一代防火墻。如何發現其差異并?下面談幾個審查和比較下一代防火墻的標準：

1.下一代防火墻是否可以防御針對服務器應用和客戶端應用的攻擊?其防御程度如何?

2.是否能被規避或逃脫?

3.它是否穩定和可靠?

4.該方案是否能夠強化入站和出站的應用策略?

5.該方案是否能夠強化入站和出站的身份策略?

6.其性能如何?

進一步講，企業選擇部署哪種防火墻設備取決于幾個有限的因素。這是因為多數設備都滿足下一代防火墻的范疇，并能執行同樣的任務。所以，為什么要選擇這個而不選那個?安全管理者最初可能是憑個人的喜愛和直覺來選擇，有時是根據一些事實或道聽途說的證據，但這些畢竟已經成為選擇標準的一部分。

在選擇具體的方案時，我們應考慮設備的功效問題。其中一個主要方面在發生了針對服務器和客戶端應用的攻擊時，具體的方案可以阻止攻擊的比例有多大。雖然不同的方案之間的差異可能很小，但正是這小小的不同就可能成為發生嚴重安全事件和挫敗攻擊的分水嶺。

另一個需要考慮的因素是可通過設備的總吞吐量。由于這些設備在總吞吐量方面并不能直接比較，那如何更好地使用此標準呢?方法之一就是衡量每個受保護的比特所花費的成本。如果企業沒有經過審查而優先選擇了一家廠商，那么機會成本是什么呢?那就是還有一個更小巧或更強大的版本滿足企業環境的要求。

企業需要考慮的最后一個因素是該方案利用的電能和空間。還是那個問題，不同的設備并不能直接比較，一個簡單的比較和決定方法是，將設備的消耗量除以設備的規模(或除以設備的總吞吐量)，并比較不同設備的計算結果。

結語

如今，各種新威脅層出不窮，對任何企業而言，時刻關注最新的攻擊至關重要。下一代防火墻的實施應當成為企業安全部署計劃的關鍵一步。

下一代防火墻日漸成熟，基本上都能夠提供完整功能。因而，導致購買者選擇此產品而不選另一產品的原因往往就是個別的規格和特性。由于將來企業對這類產品的需要將日漸增加，下一代防火墻的競爭也將更激烈，而產品的成本也會逐步降低。

在眾多的下一代防火墻產品中，既有適應中小企業的類型，也有滿足大型企業的品牌。此領域的領導者在不遠的將來必然出現，因為所有的防火墻廠商都將從傳統的防火墻轉移到下一代防火墻的產品陣線中。