安全形勢每天都在發(fā)生變化。例如，企業(yè)內(nèi)部的變化就包括應用程序如何安全使用和通信。雖然從可用性的角度來看，這種變化在很多情況下是一個好處。但如果處理不當，它也有可能成為信息安全人員的災難。

為應對這種變化，企業(yè)防火墻的廠商們已經(jīng)生產(chǎn)出了新的一代的防火墻設(shè)備，即下一代防火墻。這些設(shè)備在多個不同的方面都與傳統(tǒng)的防火墻不一樣。下面看一下這些不同點，并且看看其如何影響企業(yè)的網(wǎng)絡(luò)安全。

什么是傳統(tǒng)防火墻

傳統(tǒng)防火墻是一種能夠控制通信進出網(wǎng)絡(luò)內(nèi)部某個點的設(shè)備。這種防火墻根據(jù)運行的協(xié)議類型，一般是通過使用一種無狀態(tài)方法或是有狀態(tài)方法來進行工作。

使用無狀態(tài)進行監(jiān)視的通信只是簡單地檢查每個數(shù)據(jù)包，并不能夠理解數(shù)據(jù)流。而使用有狀態(tài)方法進行監(jiān)視的通信能夠在一定程度上使用監(jiān)視協(xié)議跟蹤通信流，并且能夠在數(shù)據(jù)流的生命周期內(nèi)記錄其位置。

很明顯，能夠跟蹤狀態(tài)的防火墻要比不能跟蹤狀態(tài)的防火墻更高效。但是，許多傳統(tǒng)的防火墻僅限于工作在2層到4層，并且只能根據(jù)這些信息跟蹤通信。

傳統(tǒng)防火墻的其它特征還包括支持網(wǎng)絡(luò)地址轉(zhuǎn)換、端口地址轉(zhuǎn)換、虛擬私有網(wǎng)絡(luò)(即VPN)，還能夠提供高級的可用性和性能。

什么是下一代防火墻

很多安全廠商都將自己的新防火墻稱為“下一代防火墻”，但每家廠商產(chǎn)品的特征可能與其它廠商有些不同。一般而言，下一代防火墻產(chǎn)品應當包含如下特性：應用程序感知、狀態(tài)檢測、集成入侵防御系統(tǒng)、身份感知(用戶和組的控制)、橋接模式和路由模式、能夠利用外部的情報源，等等。

下面詳細地看看下一代防火墻的這些特性：

1.應用程序感知

傳統(tǒng)防火墻與下一代防火墻的最大不同是：下一代防火墻可以感知應用程序。傳統(tǒng)的防火墻依賴常見的應用程序端口來決定正在運行的應用程序以及攻擊類型。而下一代防火墻設(shè)備并不是認為特定的應用程序運行在特定的端口上。防火墻必須能夠在第二層到第七層上監(jiān)視通信，并且決定發(fā)送和接收哪類通信。

最常見的例子是當前對HTTP和80號端口的使用。傳統(tǒng)上，這個端口僅用于HTTP的通信，但如今的情況不同了，而且有大量的不同應用程序都使用這個端口在終端設(shè)備和中央服務(wù)器之間傳送通信。常見端口用于不同類型通信的方法有很多種，其中最常見的方法之一就是隧道技術(shù)。借助于隧道技術(shù)，通信在傳統(tǒng)的HTTP數(shù)據(jù)字段內(nèi)部建立隧道，并在目的結(jié)點解開封裝。從傳統(tǒng)的防火墻的觀點看，這看起來就是簡單的HTTP Web通信，但對于下一代防火墻來說，它真正的目的在其能夠到達目的結(jié)點之前就在防火墻上被發(fā)現(xiàn)了。如果這種通信是由下一代防火墻的策略所允許的，就放行;否則，防火墻將阻止通信。

2.身份感知

傳統(tǒng)防火墻和下一代防火墻之間的另一個很大的不同點是，后者能夠跟蹤本地通信設(shè)備和用戶的身份，它一般使用的是現(xiàn)有的企業(yè)認證系統(tǒng)(即活動目錄、輕量目錄訪問協(xié)議，等)。信息安全人員通過這種方法就不僅能夠控制允許進出網(wǎng)絡(luò)的通信類型，還可以控制哪個特定用戶可以發(fā)送和接收數(shù)據(jù)。

3.狀態(tài)檢測

雖然從狀態(tài)檢測的一般定義上來看，下一代防火墻并無不同，但它不是僅跟蹤第二層到第四層的通信狀態(tài)，而是要能夠跟蹤第二層到第七層的通信狀態(tài)。這種不同可以使安全人員實施更多控制，而且可以使管理員能夠制定更精細的策略。

4.集成IPS

入侵防御系統(tǒng)(IPS)能夠根據(jù)幾種不同的技術(shù)來檢測攻擊，其中包括使用威脅特征、已知的漏洞利用攻擊、異常活動和通信行為的分析等。

在部署了傳統(tǒng)防火墻的環(huán)境中，入侵檢測系統(tǒng)或入侵防御系統(tǒng)是經(jīng)常部署的設(shè)備。通常，這種設(shè)備的部署是通過獨立的設(shè)備部署的，或是通過一個設(shè)備內(nèi)部在邏輯上獨立的設(shè)備來部署的。而在下一代防火墻中，入侵防御或入侵檢測設(shè)備應當完全地集成。入侵防御系統(tǒng)本身的功能與其在獨立部署時并無不同，下一代防火墻中此功能的主要不同在于性能，以及通信的所有層如何實現(xiàn)對信息的訪問。

5.橋接和路由模式

橋接或路由模式雖不是全新的特征，但下一代防火墻的這種功能仍很重要。在當今的網(wǎng)絡(luò)中部署了許多傳統(tǒng)的防火墻，但其中的多數(shù)并非下一代防火墻。為更容易地過渡下一代防火墻，下一代防火墻必須能夠以橋接模式(也稱為透明模式)連接，設(shè)備本身并不顯示為路由路徑的一部分。對任何一家特定的企業(yè)來說，在合適的時間，下一代防火墻應逐漸地替換傳統(tǒng)防火墻，從而使用路由模式。

比較下一代防火墻

如今的市場上有不少信息安全方案都宣稱自己是下一代防火墻。如何發(fā)現(xiàn)其差異并?下面談幾個審查和比較下一代防火墻的標準：

1.下一代防火墻是否可以防御針對服務(wù)器應用和客戶端應用的攻擊?其防御程度如何?

2.是否能被規(guī)避或逃脫?

3.它是否穩(wěn)定和可靠?

4.該方案是否能夠強化入站和出站的應用策略?

5.該方案是否能夠強化入站和出站的身份策略?

6.其性能如何?

進一步講，企業(yè)選擇部署哪種防火墻設(shè)備取決于幾個有限的因素。這是因為多數(shù)設(shè)備都滿足下一代防火墻的范疇，并能執(zhí)行同樣的任務(wù)。所以，為什么要選擇這個而不選那個?安全管理者最初可能是憑個人的喜愛和直覺來選擇，有時是根據(jù)一些事實或道聽途說的證據(jù)，但這些畢竟已經(jīng)成為選擇標準的一部分。

在選擇具體的方案時，我們應考慮設(shè)備的功效問題。其中一個主要方面在發(fā)生了針對服務(wù)器和客戶端應用的攻擊時，具體的方案可以阻止攻擊的比例有多大。雖然不同的方案之間的差異可能很小，但正是這小小的不同就可能成為發(fā)生嚴重安全事件和挫敗攻擊的分水嶺。

另一個需要考慮的因素是可通過設(shè)備的總吞吐量。由于這些設(shè)備在總吞吐量方面并不能直接比較，那如何更好地使用此標準呢?方法之一就是衡量每個受保護的比特所花費的成本。如果企業(yè)沒有經(jīng)過審查而優(yōu)先選擇了一家廠商，那么機會成本是什么呢?那就是還有一個更小巧或更強大的版本滿足企業(yè)環(huán)境的要求。

企業(yè)需要考慮的最后一個因素是該方案利用的電能和空間。還是那個問題，不同的設(shè)備并不能直接比較，一個簡單的比較和決定方法是，將設(shè)備的消耗量除以設(shè)備的規(guī)模(或除以設(shè)備的總吞吐量)，并比較不同設(shè)備的計算結(jié)果。

結(jié)語

如今，各種新威脅層出不窮，對任何企業(yè)而言，時刻關(guān)注最新的攻擊至關(guān)重要。下一代防火墻的實施應當成為企業(yè)安全部署計劃的關(guān)鍵一步。

下一代防火墻日漸成熟，基本上都能夠提供完整功能。因而，導致購買者選擇此產(chǎn)品而不選另一產(chǎn)品的原因往往就是個別的規(guī)格和特性。由于將來企業(yè)對這類產(chǎn)品的需要將日漸增加，下一代防火墻的競爭也將更激烈，而產(chǎn)品的成本也會逐步降低。

在眾多的下一代防火墻產(chǎn)品中，既有適應中小企業(yè)的類型，也有滿足大型企業(yè)的品牌。此領(lǐng)域的領(lǐng)導者在不遠的將來必然出現(xiàn)，因為所有的防火墻廠商都將從傳統(tǒng)的防火墻轉(zhuǎn)移到下一代防火墻的產(chǎn)品陣線中。