如何比较和选择下一代防火墙

企业防火墙的厂商们已经生产出了新的一代的防火墙设备，即下一代防火墙。这些设备在多个不同的方面都与传统的防火墙不一样。下面看一下这些不同点，并且看看其如何影响企业的网络安全。

什么是传统防火墙

传统防火墙是一种能够控制通信进出网络内部某个点的设备。这种防火墙根据运行的协议类型，一般是通过使用一种无状态方法或是有状态方法来进行工作。

使用无状态进行监视的通信只是简单地检查每个数据包，并不能够理解数据流。而使用有状态方法进行监视的通信能够在一定程度上使用监视协议跟踪通信流，并且能够在数据流的生命周期内记录其位置。

很明显，能够跟踪状态的防火墙要比不能跟踪状态的防火墙更高效。但是，许多传统的防火墙仅限于工作在2层到4层，并且只能根据这些信息跟踪通信。

传统防火墙的其它特征还包括支持网络地址转换、端口地址转换、虚拟私有网络（即VPN），还能够提供高级的可用性和性能。

什么是下一代防火墙

很多安全厂商都将自己的新防火墙称为“下一代防火墙”，但每家厂商产品的特征可能与其它厂商有些不同。一般而言，下一代防火墙产品应当包含如下特性：应用程序感知、状态检测、集成入侵防御系统、身份感知（用户和组的控制）、桥接模式和路由模式、能够利用外部的情报源，等等。

下面详细地看看下一代防火墙的这些特性：

1.应用程序感知

传统防火墙与下一代防火墙的最大不同是：下一代防火墙可以感知应用程序。传统的防火墙依赖常见的应用程序端口来决定正在运行的应用程序以及攻击类型。而下一代防火墙设备并不是认为特定的应用程序运行在特定的端口上。防火墙必须能够在第二层到第七层上监视通信，并且决定发送和接收哪类通信。

最常见的例子是当前对HTTP和80号端口的使用。传统上，这个端口仅用于HTTP的通信，但如今的情况不同了，而且有大量的不同应用程序都使用这个端口在终端设备和中央服务器之间传送通信。常见端口用于不同类型通信的方法有很多种，其中最常见的方法之一就是隧道技术。借助于隧道技术，通信在传统的HTTP数据字段内部建立隧道，并在目的结点解开封装。从传统的防火墙的观点看，这看起来就是简单的HTTP Web通信，但对于下一代防火墙来说，它真正的目的在其能够到达目的结点之前就在防火墙上被发现了。如果这种通信是由下一代防火墙的策略所允许的，就放行；否则，防火墙将阻止通信。

2．身份感知

传统防火墙和下一代防火墙之间的另一个很大的不同点是，后者能够跟踪本地通信设备和用户的身份，它一般使用的是现有的企业认证系统（即活动目录、轻量目录访问协议，等）。信息安全人员通过这种方法就不仅能够控制允许进出网络的通信类型，还可以控制哪个特定用户可以发送和接收数据。

3.状态检测

虽然从状态检测的一般定义上来看，下一代防火墙并无不同，但它不是仅跟踪第二层到第四层的通信状态，而是要能够跟踪第二层到第七层的通信状态。这种不同可以使安全人员实施更多控制，而且可以使管理员能够制定更精细的策略。

4．集成IPS

入侵防御系统（IPS）能够根据几种不同的技术来检测攻击，其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等。

在部署了传统防火墙的环境中，入侵检测系统或入侵防御系统是经常部署的设备。通常，这种设备的部署是通过独立的设备部署的，或是通过一个设备内部在逻辑上独立的设备来部署的。而在下一代防火墙中，入侵防御或入侵检测设备应当完全地集成。入侵防御系统本身的功能与其在独立部署时并无不同，下一代防火墙中此功能的主要不同在于性能，以及通信的所有层如何实现对信息的访问。

5.桥接和路由模式

桥接或路由模式虽不是全新的特征，但下一代防火墙的这种功能仍很重要。在当今的网络中部署了许多传统的防火墙，但其中的多数并非下一代防火墙。为更容易地过渡下一代防火墙，下一代防火墙必须能够以桥接模式（也称为透明模式）连接，设备本身并不显示为路由路径的一部分。对任何一家特定的企业来说，在合适的时间，下一代防火墙应逐渐地替换传统防火墙，从而使用路由模式。

结语

如今，各种新威胁层出不穷，对任何企业而言，时刻关注最新的攻击至关重要。下一代防火墙的实施应当成为企业安全部署计划的关键一步。

下一代防火墙日渐成熟，基本上都能够提供完整功能。因而，导致购买者选择此产品而不选另一产品的原因往往就是个别的规格和特性。由于将来企业对这类产品的需要将日渐增加，下一代防火墙的竞争也将更激烈，而产品的成本也会逐步降低。

在众多的下一代防火墙产品中，既有适应中小企业的类型，也有满足大型企业的品牌。此领域的领导者在不远的将来必然出现，因为所有的防火墙厂商都将从传统的防火墙转移到下一代防火墙的产品阵线中。

上网行为管理首选，大连上网行为管理，大连上网行为管理软件，内网管理，大连上网行为，上网行为管理，上网行为管理软件，上网行为首选，大连网络监控，网络监控，上网监控，局域网监控，电脑监控，邮件监控，大连深信服，网域，深信服，大连网域，网域大连，业绩，大连VPN，大连流控，大连防火墙，大连路由器，存储，磁盘阵列，备份，安全，产品，大连容灾，大连文档加密，文档，加密，文件，分析，外包，网络安全，服务，网站，网页安全，大连网站安全，布线，集成，弱电，大连监控，录像，桌面，屏幕，流量监控，流量控制，邮件审计，企业上网行为管理，公司上网行为管理，大连公司上网行为管理，内网管理，大连dlink，D-link，D-Link，DLINK，DLINK大连，D-LINK DI8，大连D-Link DI8，dlinkdi8，DLINKDI8，信息防泄漏，数据防泄密，图纸加密，防泄密软件，防电脑丢失泄密，文档安全管，CAD加密，WORD加密，PDF加密，绿盾加密，大连绿盾，绿盾金牌代理

更多详情请来电咨询：客服Q：1370105587

大连航远科技 0411-39555755 15604110302

公司网站：www.muchlab.com