下一代防火墙必须具备的五大要素

众所周之，扼守网络咽喉的防火墙设备，主要通过隔离、限制等手段对网络流量中的越权访问以及恶意连接进行识别和阻断，防火墙产品的历次演进均是围绕着这两大核心目标而展开的。下面是小编跟大家分享的是下一代防火墙必须具备的五大要素，欢迎大家来阅读学习~

下一代防火墙必须具备的五大要素

工具/原料

下一代防火墙

1)针对应用、用户、终端及内容的高精度管控

1访问控制始终是防火墙类产品的核心功能，面对应用爆炸式发展、用户接入手段多样化、信息泄密问题突出等多重挑战，当今的下一代防火墙应持续增强其访问控制的精细度。

2白皮书特别强调，应用控制绝非传统意义的阻断应用，出于精细化控制的需求，下一代防火墙应该能够控制各类平台化应用的子功能，如QQ的文件传输等，同时还要能够基于用户和终端进行控制，而非传统的IP地址，并且能够对某些特定文件的内容进行深入过滤，以削减信息泄密的风险。

3应用识别技术无疑成为满足上述需求的本质，下一代防火墙在未来仍将持续提升对应用、用户、终端和内容的识别能力，并对加密流量、隧道封装的数据进行识别，随着应用识别技术在广泛度和精细度等方面的提升，企业将逐步由目前的黑名单访问控制过渡至安全级别更高的白名单模式。

2)一体化引擎多安全模块智能数据联动

1上述攻击案例已充分证明，当今网络威胁均为采用多种手段的复合式攻击，无论是事中的防御还是事后的溯源，都要求下一代防火墙能够将多种安全检测技术融合。为此，白皮书中首度提出了下一代防火墙应采用“一体化引擎”架构，使其能够全方位的防护安全威胁并实现智能的数据联动。

2产品专家认为，采用一体化引擎的优越性诸多，除了提升自身的防御能力外，还体现在其他两个方面。首先，一体化引擎实现了数据的单路径匹配，数据包仅需一次解码即可匹配所有威胁特征，有助于设备性能的大幅提升，让所有安全功能模块能够真正的开启并发挥作用。

3第二，对于隐蔽性极强的新型威胁，单维的分析散落多处的信息对于尽早感知威胁已毫无帮助。多安全模块的融合，使得各个安全模块在对数据检测过程中产生的信息能够充分关联，彻底改变传统安全设备信息割裂的诟病，用户无需进行人工挖掘和分析即可全面掌握威胁全貌。

3)外部的安全智能

1防火墙本地的运算性能和检测能力始终是有限的，下一代防火墙应该具备联动外部安全智能系统的能力。尽管这项要求早在2009年的定义中便有提及，但在当时的技术背景下，除了与用户认证系统联动之外，并未明确描述与其他系统的联动。

2随着云计算、大数据技术的不断成熟，将云端的海量资源及大数据的高度智能用于判别日趋复杂的威胁，已成为业界公认的技术发展方向。近年来市场上也已经涌现出了不少以云沙箱检测、病毒云查杀、威胁情报分析等为核心的新技术产品。

3鉴于这样的技术环境，白皮书明确指出，下一代防火墙应当具有与外部云计算联动的能力，并且能够利用大数据分析技术应对威胁特征库中并未收录的未知威胁。

4)可视化智能管理

1防火墙设备的洞察力往往是厂商和用户长期忽视的一项能力，然而在更复杂的威胁面前，用户需要更加及时的掌握网络现状、风险、威胁、事件以及防御效果等用于支撑安全决策，下一代防火墙的可视化技术尤为重要。

2“智能”一词对于下一代防火墙而言同样是一项新的要求，专家认为，下一代防火墙要实现的可视化智能管理，绝非传统意义上的日志呈现和TOP 10排名，真正的“智能”应该是在多维统计的基础上加以深入的分析，并将结果呈现出来，以帮助用户更加快速的了解网络风险并及时部署防御措施。

3白皮书同时指出，安全产品的有效性取决于操作安全产品的人员，在信息安全专业人才紧缺以及安全设备用户范围日趋广泛的大环境下，下一代防火墙应当简化配置难度、降低技术门槛并持续提升产品易用性。

5)高性能处理架构

性能是历代防火墙产品永恒的话题，IDC研究数据表明，当前国内传统防火墙的市场份额在整体安全硬件中仍占比最高。究其根因，并非用户对下一代防火墙特有的功能缺乏需求，而是由于很多大型网络、数据中心出口出于性能的考虑无法开启所谓的“下一代”安全功能。由此可见，性能的高低决定了下一代防火墙能够部署的场景和位置，以及能否为更多的网络和系统提供保护。

白皮书特别强调，今后的网络安全是应用层安全，所有的流量都要进行应用层的深入分析，因此下一代防火墙已将深度包检测(DPI，用于应用识别及其它应用层安全功能)作为其架构中的基础部件，设备开机即处于启动状态，并且鼓励用户打开全部安全功能。对于下一代防火墙用户而言，真正有价值的参数是其应用层性能以及开启全部安全功能后的性能。

因此，IDC认为下一代防火墙要满足大型数据中心、运营商网络环境的性能要求，必须持续提高应用层性能及多威胁安全检测性能。