2014年已經(jīng)在不經(jīng)意之間悄悄來臨，回望2013，防火墻的市場(chǎng)又經(jīng)過了競爭激烈的一年。各大廠商在Gartner定義的“下一代防火墻”基礎(chǔ)上，追加廠商自身對(duì)這一概念的理解，推出了各有特點(diǎn)的“下一代防火墻”產(chǎn)品。在2013年，有哪些精品防火墻值得我們?nèi)リP(guān)注呢？下面，就讓我們對(duì)2013年各大廠商的下一代防火墻進(jìn)行一個(gè)小盤點(diǎn)。

Gartner定義下一代防火墻

在2009年，Gartner定義了下一代防火墻，此后在世界的網(wǎng)絡(luò)安全市場(chǎng)上掀起了一股巨浪，各大網(wǎng)絡(luò)安全廠商紛紛加緊推出了自己品牌的下一代防火墻產(chǎn)品。那么何為下一代防火墻？根據(jù)Gartner公司的定義，下一代防火墻英文為“NextGenerationFirewall”，簡稱“NGFW”。

下一代防火墻應(yīng)該有以下特點(diǎn)：

1．支持聯(lián)機(jī)“bump-in-the-wire”配置，不中斷網(wǎng)絡(luò)運(yùn)行。

2．發(fā)揮網(wǎng)絡(luò)傳輸流檢查和網(wǎng)絡(luò)安全政策執(zhí)行平臺(tái)的作用，至少具有以下特性：

（1）標(biāo)準(zhǔn)的第一代防火墻能力：包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測(cè)、VPN等等。

（2）集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)入侵檢測(cè)：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動(dòng)效果應(yīng)當(dāng)大于這兩部分 效果的總和。例如提供防火墻規(guī)則來阻止某個(gè)地址不斷向IPS加載惡意傳輸流。這個(gè)例子說明，在NGFW中，應(yīng)該由防火墻建立關(guān)聯(lián)，而不是操作人員去跨控制臺(tái)部署解決方案。集成具有高質(zhì)量的IPS引擎和特征碼，是NGFW的一個(gè)主要特征。

防護(hù)黑客襲擊

（3）應(yīng)用意識(shí)和全?？梢娦裕鹤R(shí)別應(yīng)用和在應(yīng)用層上執(zhí)行獨(dú)立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。例子包括允許使用Skype，但關(guān)閉Skype中的文件共享或始終阻止GoToMyPC。

（4）額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

網(wǎng)絡(luò)安全

3．支持新信息饋送和新技術(shù)集成的升級(jí)路徑來應(yīng)對(duì)未來的威脅。舉個(gè)例子，NGFW可以阻止細(xì)粒度的網(wǎng)絡(luò)安全政策違規(guī)或發(fā)出報(bào)警。如使用Web郵件、匿名服務(wù)器、對(duì)等網(wǎng)絡(luò)技術(shù)或PC遠(yuǎn)程控制，只簡單地根據(jù)目的IP地址來阻止對(duì)提供這些服務(wù)的已知源地址的訪問是不夠的。政策的顆粒度要求僅阻止某些類型的應(yīng)用與目的IP地址的通信，而允許其他類型的應(yīng)用與這些目的IP地址通信。轉(zhuǎn)向器使確定的黑名單不可能實(shí)現(xiàn)，這意味著有許多NGFW可以識(shí)別和阻止不受歡迎的應(yīng)用，即使這些應(yīng)用被設(shè)計(jì)為逃避檢查或用SSL加密。應(yīng)用識(shí)別的一個(gè)額外好處是帶寬控制。因?yàn)?，消除了不受歡迎的對(duì)等網(wǎng)絡(luò)傳輸流可以大大減少帶寬的使用。

由上述介紹我們可以看到，下一代防火墻對(duì)網(wǎng)絡(luò)安全的保護(hù)至關(guān)重要。但是經(jīng)過了四年的發(fā)展，這套定義或多或少存在一些跟不上時(shí)代的地方。這就給了各廠商進(jìn)行創(chuàng)新提供了豐富的空間，接下來我們就來看看各大廠商在2013年又推出了哪些加入了自己創(chuàng)新的下一代防火墻精品。