有了Gartner的新防火墻魔力象限，關于下一代防火墻的爭論終將結束。現在，隨著更多的企業部署了這項新技術，所有的問題都將迎刃而解。

　　Gartner的研究結果表明，基于端口和協議作出決策的有狀態防火墻現在已經變成一種落后技術，企業正在大規模評估和安裝下一代防火墻。

　　新罕布什爾州首都地區醫療和協和醫院的CTO Mark Starry說：“我認為傳統防火墻并沒能防御攻擊公司網絡的大多數威脅。每個月我都會接到電話通知，告訴我醫院網絡感染一些病毒，而他們只使用了一個有某種IPS(入侵防御系統)的標準防火墻。”

　　兩年前，Starry將原來的Check Point Software和Juniper防火墻更換為Palo Alto Networks的下一代防火墻。今年，他發現新罕布什爾州所有大型醫院都轉而采用Palo Alto的產品。他說：“有一家醫院曾經因為病毒感染而停止營業三天，現在這家醫院正在考慮用Palo Alto的產品。”

　　防火墻魔力象限：下一代防火墻規則

　　下一代防火墻，也稱為感知應用程序的防火墻，通常也具備有狀態防火墻傳統的端口和協議分析功能，但是它們還能夠根據產生網絡數據包的應用程序進行流量檢測。在最近幾年，Web應用程序呈現爆炸性增長，這個功能也因此變得至關重要，因為大多數有狀態防火墻只能夠識別80端口的HTTP流量。

　　多年來，分析公司Gartner一直認為下一代防火墻是防火墻行業的未來，而在它最新發布的企業防火墻魔力象限中，它認為這個趨勢變得比以前更為清晰。Gartner推薦了Palo Alto網絡公司，這家公司的技術在過去幾年獲得行業認可，與Check Point Software一起成為市場領跑者。

　　同時，作為長期占據Gartner魔力象限領軍位置的Juniper，仍然位列于傳統的有狀態防火墻，現在也已經落入挑戰者象限，與思科、McAfee和Fortinet處于相同的狀態。思科的防火墻也只有有限的下一代功能。魔力象限定義的挑戰者，是指那些擁有執行解決方案的銷售與支持團隊、但缺乏強有力技術計劃的公司。

　　Gartner公司的研究副總裁Greg Young說：“我們一直在等待防火墻供應商進入下一代防火墻市場。但是他們繼續迷信IPS。而這些IPSec的質量卻非常差。它們無法與這些獨立的下一代防火墻競爭。這些獨立產品越來越多，而傳統防火墻供應商仍然忽視這部分市場。最終，客戶需求超過了這個領域所有供應商所能夠提供的產品。因此，我們調整了魔力象限的標準，規定領導市場的必須是那些擁有下一代防火墻產品的公司。”

　　Young指出，在他接到Gartner咨詢客戶關于防火墻的所有咨詢電話中，大多數是關于下一代防火墻的。他們或者希望購買這些產品，或者多了解相關的信息。“我認為，幾年前客戶對下一代防火墻持懷疑態度是合理的，但是現在市場上已經出現了可用產品和大量競爭。客戶的想法已經開始轉變。”

　　下一代防火墻：潛在的實現問題

　　根據Gartner公司Young的觀點，下一代防火墻執行的應用層分析極耗費計算能力，所以企業在部署這些新型設備時必須仔細斟酌。例如，許多統一威脅管理(UTM)供應商將他們的設備稱為下一代防火墻，但是企業很快發現這些設備更適合小型公司使用。當他們開啟全部特性，包括應用程序檢測，UTM設備就會成為嚴重的瓶頸。

　　Young說：“我們已經發現規模問題，大多數都是因為開啟了那些不是面向企業設計的特性。我們急需面向企業的UTM。下一代防火墻還有許多其他的性能問題未得到解決。如果只是硬件整合，將大量的元件強加到一個設備上，那么這就是問題的根源，它的性能會很差。”

　　但是，Young強調，許多防火墻供應商現在已經有強大的企業級下一代防火墻產品。各個供應商相互爭論，認為的產品是最好的，但防火墻用戶必須自己評估這些產品，尋找最適合他們環境的產品。

　　下一代防火墻還給運營團隊帶來一個文化轉變。防火墻管理員長年都在規定處理端口和IP地址的規則，下一代防火墻將迫使他們離開自己經營多年的樂土。

　　首都地區醫院的Starry說：“它植入了防火墻概念。您編寫的是基于應用程序的規則，而非基于端口和IP地址的。防火墻管理員適應基于應用程序的規則有一定的難度。但是，您能夠掌握這兩種方法，也必須掌握這兩種方法。”

　　下一代防火墻：不要局限于精細應用程序管理

　　加州大學歐文分校的系統管理員Steve Gilmer指出，應用程序可見性是很重要的，但是在選擇下一代防火墻時，這并非是他唯一的關注點。

　　Gilmer在大學安裝WatchGuard防火墻，以保護課堂網絡。他介紹說，他曾經認真地研究每個下一代防火墻是如何進行HTTPS流量解密和檢測。他認為HTTPS是一個重要的惡意軟件威脅目標，但是大多數防火墻供應商不推薦對HTTPS進行解密和檢測。相反，他們認為他們的產品能夠檢測出所有在網絡內部發起攻擊的惡意軟件，允許網絡安全管理員在網絡中隔離感染病毒的機器。

　　Gilmer說：“顯然，惡意軟件已經進入網絡，這就是問題所在。”所以Gilmer研究了各個防火墻供應商是如何檢測惡意軟件的。許多供應商都通過第三方供應商產品來實現這個功能，但是很難評估每一個供應商的優劣。

　　TechTarget中國原創內容，原文鏈接：http://www.searchnetworking.com.cn/showcontent_57602.htm?lg=t