2014年已經在不經意之間悄悄來臨，回望2013，防火墻的市場又經過了競爭激烈的一年。各大廠商在Gartner定義的“下一代防火墻”基礎上，追加廠商自身對這一概念的理解，推出了各有特點的“下一代防火墻”產品。在2013年，有哪些精品防火墻值得我們去關注呢？下面，就讓我們對2013年各大廠商的下一代防火墻進行一個小盤點。

Gartner定義下一代防火墻

在2009年，Gartner定義了下一代防火墻，此后在世界的網絡安全市場上掀起了一股巨浪，各大網絡安全廠商紛紛加緊推出了自己品牌的下一代防火墻產品。那么何為下一代防火墻？根據Gartner公司的定義，下一代防火墻英文為“NextGenerationFirewall”，簡稱“NGFW”。

下一代防火墻應該有以下特點：

1．支持聯機“bump-in-the-wire”配置，不中斷網絡運行。

2．發揮網絡傳輸流檢查和網絡安全政策執行平臺的作用，至少具有以下特性：

（1）標準的第一代防火墻能力：包過濾、網絡地址轉換(NAT)、狀態性協議檢測、VPN等等。

（2）集成的而非僅僅共處一個位置的網絡入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應當大于這兩部分 效果的總和。例如提供防火墻規則來阻止某個地址不斷向IPS加載惡意傳輸流。這個例子說明，在NGFW中，應該由防火墻建立關聯，而不是操作人員去跨控制臺部署解決方案。集成具有高質量的IPS引擎和特征碼，是NGFW的一個主要特征。

防護黑客襲擊

（3）應用意識和全棧可見性：識別應用和在應用層上執行獨立于端口和協議，而不是根據純端口、純協議和純服務的網絡安全政策。例子包括允許使用Skype，但關閉Skype中的文件共享或始終阻止GoToMyPC。

（4）額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優化的阻止規則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

網絡安全

3．支持新信息饋送和新技術集成的升級路徑來應對未來的威脅。舉個例子，NGFW可以阻止細粒度的網絡安全政策違規或發出報警。如使用Web郵件、匿名服務器、對等網絡技術或PC遠程控制，只簡單地根據目的IP地址來阻止對提供這些服務的已知源地址的訪問是不夠的。政策的顆粒度要求僅阻止某些類型的應用與目的IP地址的通信，而允許其他類型的應用與這些目的IP地址通信。轉向器使確定的黑名單不可能實現，這意味著有許多NGFW可以識別和阻止不受歡迎的應用，即使這些應用被設計為逃避檢查或用SSL加密。應用識別的一個額外好處是帶寬控制。因為，消除了不受歡迎的對等網絡傳輸流可以大大減少帶寬的使用。

由上述介紹我們可以看到，下一代防火墻對網絡安全的保護至關重要。但是經過了四年的發展，這套定義或多或少存在一些跟不上時代的地方。這就給了各廠商進行創新提供了豐富的空間，接下來我們就來看看各大廠商在2013年又推出了哪些加入了自己創新的下一代防火墻精品。