導(dǎo)語：現(xiàn)如今，安全形勢每天都在發(fā)生變化。例如，企業(yè)內(nèi)部的變化就包括應(yīng)用程序如何安全使用和通信。雖然從可用性的角度來看，這種變化在很多情況下是一個(gè)好處。但如果處理不當(dāng)，它也有可能成為信息安全人員的災(zāi)難。

為應(yīng)對這種變化，企業(yè)防火墻的廠商們已經(jīng)生產(chǎn)出了新的一代的防火墻設(shè)備，即下一代防火墻。。

什么是下一代防火墻

很多安全廠商都將自己的新防火墻稱為“下一代防火墻”，但每家廠商產(chǎn)品的特征可能與其它廠商有些不同。一般而言，下一代防火墻產(chǎn)品應(yīng)當(dāng)包含如下特性：應(yīng)用程序感知、狀態(tài)檢測、集成入侵防御系統(tǒng)、身份感知(用戶和組的控制)、橋接模式和路由模式、能夠利用外部的情報(bào)源，等等。

比較下一代防火墻

如今的市場上有不少信息安全方案都宣稱自己是下一代防火墻。如何發(fā)現(xiàn)其差異并?下面談幾個(gè)審查和比較下一代防火墻的標(biāo)準(zhǔn)：

1.下一代防火墻是否可以防御針對服務(wù)器應(yīng)用和客戶端應(yīng)用的攻擊?其防御程度如何?

2.是否能被規(guī)避或逃脫?

3.它是否穩(wěn)定和可靠?

4.該方案是否能夠強(qiáng)化入站和出站的應(yīng)用策略?

5.該方案是否能夠強(qiáng)化入站和出站的身份策略?

6.其性能如何?

進(jìn)一步講，企業(yè)選擇部署哪種防火墻設(shè)備取決于幾個(gè)有限的因素。這是因?yàn)槎鄶?shù)設(shè)備都滿足下一代防火墻的范疇，并能執(zhí)行同樣的任務(wù)。所以，為什么要選擇這個(gè)而不選那個(gè)?安全管理者最初可能是憑個(gè)人的喜愛和直覺來選擇，有時(shí)是根據(jù)一些事實(shí)或道聽途說的證據(jù)，但這些畢竟已經(jīng)成為選擇標(biāo)準(zhǔn)的一部分。

在選擇具體的方案時(shí)，我們應(yīng)考慮設(shè)備的功效問題。其中一個(gè)主要方面在發(fā)生了針對服務(wù)器和客戶端應(yīng)用的攻擊時(shí)，具體的方案可以阻止攻擊的比例有多大。雖然不同的方案之間的差異可能很小，但正是這小小的不同就可能成為發(fā)生嚴(yán)重安全事件和挫敗攻擊的分水嶺。

另一個(gè)需要考慮的因素是可通過設(shè)備的總吞吐量。由于這些設(shè)備在總吞吐量方面并不能直接比較，那如何更好地使用此標(biāo)準(zhǔn)呢?方法之一就是衡量每個(gè)受保護(hù)的比特所花費(fèi)的成本。如果企業(yè)沒有經(jīng)過審查而優(yōu)先選擇了一家廠商，那么機(jī)會成本是什么呢?那就是還有一個(gè)更小巧或更強(qiáng)大的版本滿足企業(yè)環(huán)境的要求。

企業(yè)需要考慮的最后一個(gè)因素是該方案利用的電能和空間。還是那個(gè)問題，不同的設(shè)備并不能直接比較，一個(gè)簡單的比較和決定方法是，將設(shè)備的消耗量除以設(shè)備的規(guī)模(或除以設(shè)備的總吞吐量)，并比較不同設(shè)備的計(jì)算結(jié)果。

如今，各種新威脅層出不窮，對任何企業(yè)而言，時(shí)刻關(guān)注最新的攻擊至關(guān)重要。下一代防火墻的實(shí)施應(yīng)當(dāng)成為企業(yè)安全部署計(jì)劃的關(guān)鍵一步。

下一代防火墻日漸成熟，基本上都能夠提供完整功能。因而，導(dǎo)致購買者選擇此產(chǎn)品而不選另一產(chǎn)品的原因往往就是個(gè)別的規(guī)格和特性。由于將來企業(yè)對這類產(chǎn)品的需要將日漸增加，下一代防火墻的競爭也將更激烈，而產(chǎn)品的成本也會逐步降低。

D1Net評論：

其實(shí)，在眾多的下一代防火墻產(chǎn)品中，既有適應(yīng)中小企業(yè)的類型，也有滿足大型企業(yè)的品牌。此領(lǐng)域的領(lǐng)導(dǎo)者在不遠(yuǎn)的將來必然出現(xiàn)，因?yàn)樗械姆阑饓S商都將從傳統(tǒng)的防火墻轉(zhuǎn)移到下一代防火墻的產(chǎn)品陣線中。