傳統防火牆 VS 下一代防火牆

2011年06月28日23:15 it168網站原創 作者：it168.com 編輯： 王冠 評論： 0條 本文Tag： 防火牆

　　Gartner報告顯示，從2005年開始，全球防火牆市場已開始呈逐年遞減趨勢。市場的增長源自使用者的需求，而衰落，正恰好說明使用者的需求在發生改變。為應對目前與未來的網絡安全威脅，Gartner 認為傳統防火牆必須要更新為“下一代防火牆”，并預言，到2014年，全球35%的企業将會全面部署下一代防火牆，并且它會內建***防護、應用可視性和控制功能。

　　防火牆是一類防範措施的總稱，它使得内部網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護内部網絡。防火牆簡單的可以隻用路由器實作，複雜的可以用主機甚至一個子網來實作。設定防火牆目的都是為了在内部網與外部網之間設立唯一的通道，簡化網絡的安全管理。

　　傳統防火牆可以分為四種類型：包過濾、應用級網關、代理伺服器和狀态檢測。總體的功能是：過濾掉不安全服務、非法使用者和控制對特殊站點的通路、提供監視Internet安全和預警的友善端點。

　　但由于互連網的開放性，有許多防範功能的防火牆也有一些防範不到的地方：

　　1、防火牆不能防範不經由防火牆的***。例如，如果允許從受保護網内部不受限制的向外撥号，一些使用者可以形成與Internet的直接的連接配接，進而繞過防火牆，造成一個潛在的後門***管道。

　　2、防火牆不能防止感染了病毒的軟體或檔案的傳輸。這隻能在每台主機上裝反病毒軟體。

　　3、防火牆不能防止資料驅動式***。當有些表面看來無害的資料被郵寄或複制到Internet主機上并被執行而發起***時，就會發生資料驅動***。

　　是以，防火牆隻是一種整體安全防範政策的一部分。這種安全政策必須包括公開的、以便使用者知道自身責任的安全準則、職員教育訓練計劃以及與網絡通路、當地和遠端使用者認證、撥出撥入呼叫、磁盤和資料加密以及病毒防護的有關政策。

　　雖然下一代防火牆目前沒有一個明确的定義，但是不并妨礙由市場需求推動技術産品的發展。梭子魚網絡有限公司在Gartner的基礎上對下一代防火牆做了一個更為明确的定義，即是內建了虛拟化軟體和硬體架構的智能網絡平台，可對各種流量實施深層探測并阻止各類***。下一代防火牆需具備下列最低屬性：

　　· 支援線上BITW(線纜中的塊)配置，同時不會幹擾網絡運作。

　　· 可作為網絡流量檢測與網絡安全政策執行的平台，并具有下列最低特性：

　　1)标準的第一代防火牆功能：具有資料包過濾、網絡位址轉換(NAT)、協定狀态檢查以及×××功能等。

　　2)內建式而非托管式網絡***防禦：支援基于漏洞的簽名與基于威脅的簽名。IPS與防火牆間的協作所獲得的性能要遠高于部件的疊加，如：提供推薦防火牆規則，以阻止持續某一載入IPS及有害流量的位址。這就證明，在下一代防火牆中，互相關聯作用的是防火牆而非由操作人員在控制台制定與執行各種解決方案。高品質的內建式IPS引擎與簽名也是下一代防火牆的主要特性。所謂內建可将諸多特性集合在一起，如：根據針對注入惡意軟體網站的IPS檢測向防火牆提供推薦阻止的位址。

　　3)業務識别與全棧可視性：采用非端口與協定vs僅端口、協定與服務的方式，識别應用程式并在應用層執行網絡安全政策。範例中包括允許使用Skype但禁用Skype内部共享或一直阻止GoToMyPC。

　　4)超級智能的防火牆: 可收集防火牆外的各類資訊，用于改進阻止決策，或作為優化阻止規則的基礎。範例中還包括利用目錄內建來強化根據使用者身份實施的阻止或根據位址編制黑名單與白名單。

▲　　傳統防火牆和下一代防火牆的對比

　　現在，許多防火牆與IPS供應商都已更新了其産品，以提供業務識别與部分下一代防火牆特性，且有許多新興公司都十分關注下一代防火牆功能。大型企業都将随着正常的防火牆與IPS更新循環的到來逐漸采用下一代防火牆代替其現有的防火牆，或因帶寬需求的增高或遭受了***而進行防火牆更新。

　　Gartner認為随着威脅情況的變化以及業務與IT程式的改變都促使網絡安全經理在其下一輪防火牆/IPS更新循環中尋求具有下一代防火牆功能的産品。而下一代防火牆的供應商們成功占有市場的關鍵則在于需要證明第一代防火牆與IPS特性既可與目前的第一代功能相比對，又能同時兼具下一代防火牆功能，或具有一定價格優勢。

　　Gartner認為目前僅有不到1%的網際網路連接配接采用了下一代防火牆保護。是以，有理由相信到2014年年末使用這一産品進行保護的比例将上升至35%，同時，其中将有60%都為重新購買下一代防火牆。

轉載于:https://blog.51cto.com/oldtian/645965