网络安全促使下一代防火墙技术的发展

　　随着信息化加速的发展，日益猖獗的计算机黑客经常会在计算机网络上想方设法盗取银行的资产。然而，当今一种专门从事阻止黑客侵入银行计算机系统的防护系统也正在和网络上的这种违法行为进行着斗争。计算机安全杰克·斯坦福（哈里森·福特）便是从事这一行业的人。中小企对网络的信息安全也越来越关心。火墙仍是很多单位重要的安全设备之一。

　　状态检测的问题在于它仅重视端口和IP地址。端口就像电路断路器一样：在重要的流量流过时，用它作为过滤标准显得过于笨拙。而且，IP地址没有与用户绑定，使得用户可以用一种完全不同的设备来逃避策略。

　　解决这个问题的关键在于：要重视用户，要重视用户所使用的应用程序以及用户用每一个应用程序正在做什么，尤其是那些容易被人利用其漏洞的应用程序。当前，80号端口的“阻止/准许”已经不够精细。甚至像“阻止/准许”社交软件（如Facebook）这样的操作也已经远远不够了。相反，防火墙必须支持准许用户从事与业务相关活动的策略，而不管他使用什么样的计算机。

　　当然，新技术绝不应当仅关注社交软件，公司使用的任何其它的web2.0软件，都应当包括其中。

　　下一代防火墙技术

　　防火墙基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。

　　下一代防火墙应当专注于应用程序、用户和活动，而不是端口和IP。它可以控制用户的操作，从而保障Web和电子邮件等的安全，并将其应用于所有应用程序。下一代防火墙还应拥有反恶意软件技术，并在底层完全集成到防火墙中，从而避免单独的组件在扫描同样的内容时所造成的延迟。集成的必要性还由于当今威胁的复杂性。

　　避免延迟至关重要，因为防火墙必须足够快，其目的是在不损失性能的情况下准许所有的网络通信通过防火墙。理想情况下，这种集中化的控制还包括云和移动通信。相比之下，典型的UTM（统一威胁管理）解决方案太慢，因为它并没有完全地集成，只够中小型企业勉强使用。

　　每一个安全组件都应当是的。或者说，一群“平庸之辈”难成大事。下一代防火墙必须能够检测运行在SSL加密通信中的内容，或使用模糊技术，它必须建立在专用的特定硬件基础上。

　　下一代防火墙必须提供出色的透明性。在管理员设置策略之前，必须知道网络上正在发生什么，这对于当今的多数防火墙来说是很难实现的。下一代防火墙还必须拥有极低的总拥有成本，要富有成效。

　　，下一代防火墙还必须能够随着当今网络所面临的威胁的变化不断演化，即公司需要投资于能够解决网络黑手正在和将要触及的诸多方面。

　　如何识别下一代防火墙

　　那么，怎样区分一种防火墙是否是下一代防火墙呢？

　　首先，它应当拥有独立的基于应用程序的策略，而不是拥有“双重”策略（基于应用程序和基于端口/IP）。下一步，你不妨访问一个Web2.0应用程序，要在应用程序水平上测试防火墙，而不是在传统的“位”的基础上测试。

　　其次，如果厂商向你列示了每个安全组件的不同吞吐量或速率，如IPS、DLP、反病毒、防火墙等，而且每个组件的速度是在关闭其它组件的情况下测试的，就可断定，它集成得不太好。真正的下一代防火墙应当拥有一个统一的吞吐量数字。

　　当然，上述标准也许过于苛求，选用与否主要取决于防火墙所适用的信息安全需要和网络环境。