如何全面評價下壹代防火墻

全面評價下壹代防火墻(簡稱NG防火墻)，需要從功能和特性兩個方面進行深入研究——這也是我們今天的核心話題。

2009年出現並確立了下壹代防火墻的概念，但其普及速度顯然要慢很多。到2015年底，Gartner發現，只有不到40%的企業使用下壹代防火墻來保護互聯網連接。

Gartner預測，未來幾年，下壹代防火墻的市場需求將呈現爆發式增長，這也意味著企業需要主動為自己的網絡需求更理想的防護手段。預計到2018年底，85%的互聯網連接將受到下壹代防火墻的保護，其中90%將是下壹代防火墻的新客戶。

傳統防火墻與下壹代防火墻

傳統的防火墻檢查和保護端口和協議，以確保企業網絡安全。傳統的防火墻可以分為四種類型:包過濾、應用層網關、代理服務器和狀態檢測。但是由於互聯網的開放性，具有很多防範功能的防火墻也有壹些防不勝防的地方，比如:傳統防火墻無法防範沒有防火墻的攻擊，傳統防火墻無法阻止被感染軟件或文件的傳播等等。

下壹代防火墻完全不擔心這種問題。它可以對網絡中的數據包進行深度檢查，即將數據包解封裝到應用層。通過這種方式，可以確保數據包的所有組成部分都被完全檢測到，以識別異常數據包、錯誤、已知攻擊和其他異常數據。它還可以快速識別和阻止特洛伊木馬、病毒、垃圾郵件、入侵和其他違反正常通信協議的行為。數據包分析通過多種方法實現，包括基於數據流的檢測、漏洞特征、策略配置、協議識別、數據標準化以及明文HTTP和加密HTTPS連接。

下壹代防火墻的核心功能

Gartner在題為《定義下壹代防火墻》的報告中指出:“不斷變化的業務流程、IT技術和網絡威脅正在推動網絡安全的新要求。協議的使用和數據傳輸方式發生了變化，網絡攻擊的目標也從單純的破壞演變為惡意軟件植入。在這種環境下，試圖要求在標準端口上使用合適協議的控制方法已經不夠有效，傳統防火墻必須進化為下壹代防火墻。

可以得出結論，下壹代防火墻有兩個核心特征:應用識別與控制和身份感知。

應該使用標識和控制來允許人們查看自己網絡中的應用程序，並控制相關應用程序的使用。通過識別應用程序並在應用層實施網絡安全策略——獨立於端口和協議——每個人都可以將應用程序列入黑名單或白名單；允許微信但屏蔽開心玩樂等其他應用；允許QQ聊天，但禁止執行文件共享等細節控制功能。

買方提示:在選擇下壹代防火墻時，您需要考慮其策略設置是否與最重要的業務應用兼容。E security認為，下壹代防火墻應該能夠詳細管理幾十個最常用和最有價值的應用，而不是簡單地專註於支持數百個可能根本用不到的冷門應用。

應用控制無疑是壹把利器，可以阻止或允許某類應用的使用。身份識別將這種控制能力與Active Directory和其他業務目錄集成在壹起，從而幫助我們更準確地應用防火墻規則，甚至控制部門和個人用戶。

例如，您可以創建規則，允許銷售和營銷人員使用特定的社交媒體應用程序，同時允許外包商或臨時工訪問其中的壹些應用程序，而董事會成員可以不受限制地隨意訪問互聯網。

買家提示:身份感知功能往往被各類下壹代防火墻廠商反復強調，但在實踐中，這種基於組級別控制用戶或實施保護的能力並未被廣泛采用。除非妳有非常明確的身份認知需求，否則在評估相關方案時無需過分強調這部分功能。

下壹代防火墻的其他重要功能

入侵防禦系統(IPS)

下壹代防火墻供應商正在他們的產品中添加越來越多的IPS功能。但需要強調的是，最初的IPS能力往往是不成熟的，現在不僅更加強大，而且與下壹代防火墻的其他能力緊密相連。在很多下壹代防火墻中，內置的IPS甚至足以挑戰獨立IPS方案。

買家提示:入侵防禦系統是企業防禦體系的重要組成部分，所以壹定要考慮我們所選擇的下壹代防火墻是否具備IPS功能，或者是否有必要選擇自主優秀的IPS產品。如果需要將IPS與下壹代防火墻結合，Gartner建議我們使用第三方測試，通過真實的威脅和網絡負載環境來評估IPS方案的有效性。

網絡沙箱

網絡沙箱可以針對惡意軟件提供保護，包括將可疑文件發送到雲環境中的隔離沙箱。在這裏，每個文件都可以運行，執行結果將被測試，以確定它是否是惡意的。