大約在與星際迷航電視劇開始的同一時間，防火墻開始進入到下一代防火墻時代。雖然防火墻產(chǎn)品變得更加先進，但很多IT安全專家仍然堅持使用原來的使用端口和協(xié)議的防火墻。

現(xiàn)代企業(yè)需要對在其網(wǎng)絡運行的應用有更深入的了解。新一代防火墻提供深度數(shù)據(jù)包檢測、細粒度控制和應用感知，來幫助企業(yè)監(jiān)管其網(wǎng)絡外圍。盡管這些新平臺這么具有吸引力， “下一代”的標簽并沒有很好的描述如何解決當企業(yè)遷移到現(xiàn)代防火墻時所涉及的技術、功能和支持問題?，F(xiàn)在很多供應商都提供這些設備，包括Check Point、思科、戴爾、Fortinet、瞻博網(wǎng)絡、Palo Alto Networks、Sourcefire(7月被思科收購)、Stonesoft(5月被McAfee收購)以及WatchGuard。F5 Networks在2012年也進入了這個領域，當時其Big IP產(chǎn)品系列應用交付控制器獲得了ISCA實驗室認證。

“大多數(shù)現(xiàn)代防火墻都有一些‘下一代’功能，包括集成入侵防御(IPS)以及更好的應用控制，”Gartner研究主管Eric Maiwald表示，“這是現(xiàn)在的防火墻的標準，所有主要安全廠商都聲稱擁有下一代產(chǎn)品。”但是這些說法并不總是很準確，知道如何評估和遷移到下一代平臺才是至關重要的。

應用感知

當然，細粒度應用控制是遷移到下一代防火墻的一個很大的原因。“在我們遷移到Palo Alto的防火墻后，給我們的網(wǎng)絡業(yè)務帶來了明顯的優(yōu)勢，”Neohapsis實驗室安全顧問Andy Hubbard說道，他此前擔任某加州醫(yī)院的IT經(jīng)理時參與了該技術的部署，“在我們部署Palo Alto后，我們很快在網(wǎng)絡上發(fā)現(xiàn)四個僵尸網(wǎng)絡和幾個流氓服務器。在我們正確部署后，我們能夠輕松地保護我們的特殊醫(yī)療設備。”

雖然更好的應用感知和智能是下一代防火墻的很大的優(yōu)勢，但這需要付出一些努力。“你需要充分了解何時在防火墻規(guī)則集中使用應用ID，”Hubbard表示，“你需要知道哪些應用使用了哪些協(xié)議，以及何時使用經(jīng)典的端口/協(xié)議方法更合適，何時不合適。”

這并不是一個輕松的過程，在遷移過程中，Hubbard較舊的Check Point防火墻帶來了麻煩。“我們花了四個月的時間來進行遷移，大部分的工作圍繞讓一大群人協(xié)調其工作，因為每個人都負責網(wǎng)絡不同部分的工作，”他表示，“我們還有過時的網(wǎng)絡文檔影響著遷移。與很多企業(yè)一樣，隨著時間的推移企業(yè)不斷壯大，我們的文檔已經(jīng)落后。所以在你開始任何遷移工作之前，請確保你更新了這些文件，并確保你的網(wǎng)絡井然有序。”

應用感知的能力也是楊百翰大學(BYU)夏威夷分校升級防火墻的主要原因。該學校有些應用只在一年的特定時間運行，例如用于招生的應用。負責該項目的系統(tǒng)和網(wǎng)絡IT分析師Neal Moss希望對這些招生系統(tǒng)配備進行適當?shù)谋Ｗo。他花了幾個月同時運行其較舊的思科ASA 5500自適應安全設備以及Palo Alto防火墻平臺，以確保新防火墻的可用性。這是他們的第三次防火墻遷移，所以他知道該期待什么。他說道：“我只是花時間確保正確配置了各種規(guī)則集，并逐漸開放舊的防火墻，直到我們能夠完全拋棄它。”

讓應用感知“錦上添花”的是，添加域或IP聲譽管理到防火墻活動中。這是通過在互聯(lián)網(wǎng)放置傳感器，以及對域名或IP源地址進行白名單以及黑名單處理來完成的。“域名聲譽工具并不完美，”硅谷AVOA公司前任首席信息官，現(xiàn)任戰(zhàn)略顧問Tim Crawford表示，“說真的，這只是整個威脅預防的一個方面。”

楊百翰大學夏威夷分校對域名聲譽有不同的看法。在今年遭受嚴重攻擊后，該大學希望能夠隔離其服務器到獨立的安全區(qū)，當時他們對幾個下一代防火墻進行了評估。Moss表示：“我們希望確保數(shù)據(jù)庫服務器和應用服務器位于不同的安全區(qū)域，并且它們只能與對方通信，如果我們的服務器受到攻擊，我們的數(shù)據(jù)庫仍然完好無損。”

難以淘汰和更換

現(xiàn)有防火墻如何被使用(或者更準確地說，被誤用)可能導致遷移問題。在某些情況下，企業(yè)過于依賴其防火墻，通常是將防火墻作為其唯一的網(wǎng)絡路由基礎設施--沒有邊緣路由器。Hubbard表示：“這導致我們難以淘汰和替換它們。”

部署下一代防火墻可能帶來技術更換、網(wǎng)絡設置變更和安全政策的問題。遷移整個企業(yè)防火墻是一個復雜的過程，因為涉及很多移動部件，Hubbard說道，“還有一些有悖常理的事情，并且這兩個系統(tǒng)間存在差異，例如網(wǎng)絡地址轉換設計和服務質量規(guī)則。”傳統(tǒng)防火墻管理員習慣于阻止入站威脅，而對于下一代管理員，你需要更密切地關注出站接口。

根據(jù)Gartner的Maiwald表示，這里的例子就是，一些公司使用IPS作為監(jiān)控其防火墻的狀況的工具，這樣他們就可以培養(yǎng)獨立的人員來處理每個設備。最終，整合它們也不會是太困難的事情。

堅持你現(xiàn)有的供應商，并升級到最新的下一代防火墻，可疑避免復雜性問題。這正是Heart研究所IT主管Chris LaBlew對其思科ASA防火墻的做法。他遷移到思科ASA CX內容感知安全模型，因為他相信思科，不想要任何停機時間，另外，他表示，“我們沒有添加新設備到我們現(xiàn)有的思科基礎設施，例如交換機和VPN，而且，我們已經(jīng)有工作人員知道如何使用它們。這里并不需要太多的學習曲線來使用CX下一代功能。”

但是，這種復雜性有時候與實際技術無關。“應用控制的問題并不是技術問題，但IT經(jīng)理需要了解其影響和后果，”Maiwald表示，“你可能會無意中阻止你員工訪問Facebook游戲。在理想情況下，IT應該密切與人力資源及管理層協(xié)調，以確保政策的正確部署。”

再有就是整體成本。“有些企業(yè)不能解釋這些功能增加的費用，并且，現(xiàn)在網(wǎng)絡更虛擬化的環(huán)境增加了其信息安全結構的復雜性，”Crawford表示，“傳統(tǒng)的防火墻技術根本不能擴展到云計算。”

然而，根據(jù)你的許可證要求的不同，這實際上可以花費更少：在楊百翰大學夏威夷分校，替代其舊的防火墻和反惡意軟件最終的花費更便宜。Moss表示：“我們現(xiàn)在節(jié)省了維護費用。”

統(tǒng)一平臺替代品

遷移到下一代防火墻的替代方案之一就是部署統(tǒng)一威脅管理(UTM)工具，該工具結合了防火墻和IPS以及防病毒保護。在近幾年，來自瞻博網(wǎng)絡、Check Point、和其他供應商的UTM已經(jīng)有所改進，整合了曾經(jīng)只在最昂貴的UTM產(chǎn)品中才有的相同的安全功能。

然而，UTM有其自身的缺陷，包括吞吐量問題，特別是在較大的網(wǎng)絡中。Maiwald表示：“當UTM的防毒組件打開時，設備的整體吞吐量會明顯下降。”

Hubbard表示同意：“UTM可能會提高延遲性，并讓企業(yè)更難以解決錯誤配置的組件，而且，它們還有復雜的許可步驟。”

而有些下一代防火墻則可以提供出乎意料的高吞吐量。BYU的Moss驚訝的看到當他升級防火墻后，性能明顯提高。“即使運行著防火墻和反惡意軟件檢查，我們的新防火墻仍然驚人的快，”他表示，“這個升級很值得。”

LaBleu還發(fā)現(xiàn)，調整其思科ASA CX單元的大小來處理互聯(lián)網(wǎng)流量水平是保持低延遲性的關鍵。他建議說：“如果你有很多互聯(lián)網(wǎng)流量的話，確保不要使用太小的設備。”

遷移到下一代防火墻的最大障礙是對未知的恐懼。Hubbard表示：“習慣可能是為什么人們還沒有升級其防火墻的最大癥結點。”

LaBleu表示同意：“當你部署任何新的技術時，總是很緊張，但下一代防火墻是一個值得的投資。”