有些技術流行語并不會消失，例如下一代防火墻就已經存在了至少十年，它給我們帶來了很多革命性的的功能，包括狀態數據包過濾、用戶身份識別控件、入侵檢測/防御和應用可視性/控制等。

 [[164205]]

整合所有這些功能到一個產品很重要，但其中應用控制是非常重要的進步，因為這讓這類型的防火墻首次可以檢測和阻止通過企業網絡的web應用流量。

這些早期的下一代防火墻(NGFW)構建于不同的時代，早在8到10年前，企業仍然主要依靠圍繞網絡構建外圍來阻止惡意軟件。Frost & Sullivan高級行業分析師Chris Rodriguez表示，但這已經不再是全方位的戰略。

“防火墻只是企業部署的眾多傳感器之一，”他表示，“防火墻不再是全方位的戰略，它需要結合端點管理和威脅分析，這也是大數據和安全分析變得重要的原因。”

健身公司Beachbody網絡工程高級經理William Dugger表示，在他們公司，安全非常重要，因為他們需要確保安全的網絡交易，保護合作伙伴以及保護靈活開發環境。

Dugger管理者跨兩個西海岸數據中心和五個企業網站中約1700名用戶，該公司部署了思科的ASA 5585-X SSP-60防火墻及其采用FirePower模塊的ASA 585-X SSP-10防火墻。

在Beachbody公司，SSP-60集中在數據中心核心，每個數據中心有兩個，SSP-10則部署在每個數據中心的邊緣。

“在我們選擇防火墻平臺時，我們剛剛部署了新的思科數據中心，并且，思科是唯一提供集群功能的公司之一，他們的集群符合我們的設計，”Duggers解釋說，“通過集群功能，我們可以將負載分散在不同的防火墻，每個防火墻可知道其他防火墻在做什么。思科的架構讓我們可以利用下一代安全功能的優勢。”

例如，ASA現在提供整合思科Sourcefire選項，其中包括URL過濾和高級惡意軟件緩解。ASA還整合了思科的身份服務引擎，該公司的安全訪問控制系統。

Duggers補充說：“我們還在準備使用其他新的創新技術，例如SSL解密和增強應用感知。”

下一代威脅防御

現在，企業在物理和虛擬環境運行網絡，而數據則運行在云端，員工也更加移動化，所以圍繞外圍構建保護的概念不再可行。員工遍布在世界各地工作，他們遠遠超出數據中心傳統類型防火墻的范圍。

Palo Alto Networks公司網絡安全產品營銷負責人Samantha Madrid表示，“網絡正在迅速變化，你的安全需要保持跟進。”

Check Point公司數據中心產品營銷負責人Don Meyer表示，移動惡意軟件受到越來越多的關注。該公司的移動威脅防御平臺可檢測iOS和Android設備中的惡意應用，當該平臺構建到NGFW時，同樣構建了相同的對移動設備的威脅檢測和防御功能。

Meyer同意稱，雖然NGFW仍然具有相關性，但它們如何與其他威脅檢測和端點管理功能整合帶來很大差異性。該公司的SandBlast零日保護軟件(與其防火墻整合)可在惡意軟件編寫者部署逃避技術前檢測和修復零日攻擊以及CPU層面的高級持續性威脅，或者漏洞利用階段。

傳統沙箱很容易受到攻擊，因為惡意軟件代碼編寫者已經非常精明。現在新的惡意軟件可在它啟動之前尋找人類元素并開始運行其代碼。

“如果沒有CPU級檢測，傳統沙盒解決方案無法發現和阻止惡意軟件感染，因為現在惡意軟件越來越復雜，”Meyer表示，“我們想要從最開始檢測和防止惡意軟件。”

雖然公司仍然需要可檢查、檢測和阻止受感染應用的防火墻類型，但Palo Alto公司的Madrid表示，企業現在真正需要的是整合NGFW功能與基于云的威脅分析和端點管理的安全平臺。

Palo Alto公司的做法是同時利用Palo Alto的PA和VM系列防火墻;WildFire--基于云的威脅分析引擎;以及Traps--端點安全產品，所有一起來保護企業網絡。例如，當 Wildfire企業受到惡意軟件攻擊時，它會通知全世界Palo Alto用戶網絡。WildFire網絡的防火墻和端點都會自動更新。

IT人員也想要確保他們選擇的防火墻類型支持所有主要的軟件定義網絡環境，并可在公共云環境良好運行，例如亞馬遜云技術網絡以及微軟Azure。

Check Point公司的防火墻支持VMware的NSX平臺以及OpenStack，還有公共云環境;該公司正在整合思科的應用為中心的基礎設施。Palo Alto公司的產品也可在AWS運行，并可通過該公司的管理平臺Panorama進行管理。

“自動化和整合是這里的關鍵，”Madrid表示，“從防火墻的角度來看，企業需要確保他們的防火墻可同時在私有和公共云環境進行運行。”

采取更全面的方法

Fortinet公司產品與解決方案副總裁John Maddison認為，對于可預測什么以及可提供的保護水平，行業存在太多的炒作。

他表示：“我們的方法是將企業網絡作為一個整體，并且將防火墻部署在最適合的位置。”

Fortinet公司采用了單一政策的方法，該政策會傳遞到網絡中所有安全設備。該公司建議客戶在園區邊緣部署中端邊緣防火墻;在分支機構部署統一威脅管理設備;內部分段網絡--可根據用戶或應用來分離流量;在中央設備部署數據中心防火墻;在亞馬遜云技術服務或微軟Azure部署云防火墻;以及在互聯網服務提供商部署運營商級的防火墻。

“十年前，我們在分支機構和主要數據中心部署防火墻，”Maddison表示，“現在IT人員需要關注更多的配置，我們試圖讓人們從企業范圍的方法來考慮防火墻部署。”

思科公司網絡安全產品營銷主管Dave Stuart表示，防火墻不能只是作為基礎設施采購清單中的勾選項目，它們需要提供有關潛在感染的背景感知--不只是提醒IT人員它們發現威脅，還需要告訴他們這些威脅是否有害。

Stuart表示：“這個行業一直善于抵御已知威脅，我們現在需要的是可發現未知威脅的產品。”

思科的ASA與FirePower服務包含三個不同的自動化功能。首先，該系統可監測進入網絡的威脅，分配一個響應優先級，轉移它們進行隔離并修復它們。然后，當惡意軟件被檢測和修復后，系統會自動創建新的簽名，以便在未來可隔離或黑名單化該惡意軟件。最后，管理軟件可對看似無關的惡意軟件進行關聯，并在未來隔離它們。

思科的端點安全軟件被稱為高級惡意軟件保護或者AMP，它被設計用于沙箱化、分析和修復可疑惡意軟件。它會警告IT人員該惡意軟件可對網絡造成多么嚴重的影響。

“人們需要明白典型的狀態防火墻仍然有用，”Stuart表示，“但現在企業可在一臺設備中得到所有功能。”

現在的網絡很復雜，在端點的NGFW和防病毒軟件不再可行，所以保護網絡需要企業付出更多努力。

盡管行業分析師仍然將這些類型的防火墻視為獨立的類別，但企業在評估沒有基于云的威脅分析和端點戰略的NGFW時需要進一步深入分析。