解惑下一代防火墙.docxVIP

解惑下一代防火墙 　　前言：下一代防火墙方兴未艾 　　随着下一代防火墙概今的提出，目前很多国内外的安全厂商竞相推出自己的下一代防火墙产品。为了解国内下一代防火墙产品发展的最新动向，《网络世界》评测实验室分别向梭子鱼、Check Point、思科、Dell SonicWALL、Fortinet、华为、H3C、杭州迪普、Juniper、绿盟、PaloAlto、启明星辰、深信服、山石网科、天融信、网康、网神(厂商按字母排序，不分先后)等十几家国内外网络安全厂商发出了下一代防火墙产品公开对比评测的邀请。然而反回的结果确由衷的令人感到失望。国外厂商中除梭子鱼外，均无法在国内提供相关的测试产品，国内有的安全厂商虽然在大力进行产品宣传，但实际产品还未真正成熟。最终仅有梭子鱼、网康、网神三家产品送测，并且在合作伙伴的协助下，对PaloAlto下一代防火墙功能进行了深入了解。由此可见，下一代防火墙这种全新的网络应用防护技术在国内的大部分厂商中广泛应用依然尚待时日。因此我们转变了公开对比评测的角度，对这几家厂商的下一代防火墙产品进行了深入的技术分析。 　　那么下一代防火墙与新一代的多功能安全网关有什么区别?随着评测的惑生、惑析、惑明、惑媚逐渐的，我们对下一代防火墙有了更深入的了解，同时在惑评中对如何评估网关应用安全产品进行了一次深入分析。总体上讲，下一代防火墙虽然方兴未艾，但依然不能否定其技术的先进性。尤其是在其对网络应用及应用威胁的深度解析处理上，有着很广泛的发展前景。因此我们期望，经过一段时间的发展之后，下一代防火墙技术可以真正的蓬勃发展，为网络用户提供更加全面的网络安全服务。 　　惑生——下一代防火墙 　　自从Gartner推出下一个防火墙定义之后，各大安全厂商积极响应，均在极力的宣传自身的下一代防火墙产品。那么下一代防火墙具备了什么神奇的功能，可以今众多网络安全厂商竞相追捧呢?在对下一代防火墙产品进行深入了解之前，作者心中始终存有疑问：什么是下一代防火墙?什么样的产品才可能称得上是下一代的防火墙产品? 　　近年来，在作者对网关安全产品的间接接触与实际了解中发现：无论是防火墙、IPS还是功能集成度更高的UTM产品，在功能设计时，或多或少都加入一些应用层管理控制功能，并且随着网络安全设备应用层处理能力的飞速提升，不同安全功能模块同时开启后对网络应用性能的影响也在急速减少，很多UTM产品在开启所有安全功能后，也并未对其网络处理性能产生过高的影响。至于应用识别的可视性，在许多上网行为管理以及流量管理产品中这已经是比较成熟的功能了，在网关安全产品中加入此类管理功能的安全产品目前也十分常见。难道说所谓下一代防火墙就是一个集成度更高的UTM吗?! 　　基于上面安全产品的分析，不由始人产生一种疑惑，下一代防火墙的先进性究竟在哪里?难道说“下一代”仅是Gartner的一种市场宣传手段吗?为此《网络世界》评测实验室展开了本次下一代防火墙技术公开对比评测活动。希望可以通过对不同厂商下一代防火墙产品的技术分析，更深入的了解下一代防火墙到底可以为用户带来什么样的新安全体验。 　　惑起——网络安全 　　为了对下一代防火墙产品有一个正确的评估，我们首先需要将下一代防火墙产品在网络安全中进行一个准确定位。从而进一步分析下一代防火墙产品可以解决用户哪些方面的网络安全问题。然而在进行这方面的工作时，却让我们产生出了更多的困惑，主要体现在以下三个方面： 　　惑一：网络安全定义与产品功能的迷茫 　　首先，我们试着从网络安全定义的角度去对下一代防火墙的功能特点进行分析。但在分析过程中却发现网络安全定义的概念与下一代防火墙所定义的功能特点很难进行匹配。 　　从网络安全的定义中我们了解到：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全本质上来讲是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 　　然而在目前已知的下一代防火墙功能定义中，仅把下一代防火墙定义成具备第一代防火墙功能、具有集成式网络入侵防御能力、业务识别的应用可视性以及智能联动功能。 　　我们试着将网络安全的定义与下一代防火墙的功能定义进行对比分析，可是发现网络安全定义比较宽泛，很难与下一代防火墙的具体功能进行匹配分析。 　　可是，没有一个准确的定义，我们应当如何将下一代防火墙的安全防护功能进行分析?没有理论分析的话，应用性评估就更加无从谈起了。因此，对这个问题我们决定转换一个角度，从网络安全的应用需求来对下一代防火墙产品进行分析。 　　惑二：网络安全的应用需求 　　《网络世界》评测实验室在对厂商网络安全产品测试过程中，积累了大批网