下一代防火墙必备的四大特征

　　近日，Check Point 宣布推出三款新品：Check Point 61000的安全系统、基于软件刀片架构的R75.20 方案和适用于数据中心的Check Point 21400 安全设备。

　　Check Point 创始人、董事长兼CEO GilShwed 表示：“ Check Point 61000 整合了先进的安全技术，在提供超强安全性能的同时，可控制网络访问并抵御复杂的攻击和基于Web 的威胁，或阻挡受感染的移动设备。客户可受益于多硬件刀片和多软件刀片网关，它们可随软硬件的创新发展而扩展，协助网络安全提速。”Gil Shwed认为，在某种程度上，这个产品树立了下一代防火墙的新标杆。

　　如今，市场上的防火墙产品都在从各方面提高性能。伴随移动互联网与云计算的发展，网络安全面临更严峻的挑战，当网络的边界不断被超越之时，防火墙应立于何地？以“下一代防火墙”之名诞生的新品们又该具有怎样的特征？

　　第一，数据处理速度更快。据了解，Check Point 61000 采用了多刀片硬件平台，令单一防火墙具备每秒可处理超过1Tb 数据的超强能力，其吞吐量已经达到200 Gbps。新系统支持7000万个并发连接和每秒60万个会话，能为多元数据传输环境带来更好的安全保护。而深信服最新发布的产品，最高也能够达到万兆级别。

　　第二，安全性能更全面。防火墙已经成为网络安全的基石，随着网络应用的丰富，防火墙需要兼顾更多的安全任务。传统防火墙无法对应用层进行控制和识别，无法确定是哪种应用通过了防火墙，自然就谈不上对各类网络威胁进行有效防御。

　　因此Check Point 倡导一种新的

　　SecurityPower 标准，它是衡量防火墙在真实流量条件下执行多种高级安全功能的能力和性能的新基准，如IPS、应用控制、反病毒和DLP 等。而深信服的下一代防火墙NGAF，不仅能提供如状态检测、VPN、抗DDoS、NAT 等基础网络安全功能，还能实现统一的应用安全防护，针对入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web 入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。梭子鱼的下一代防火墙NG Firewall则宣称是一种七层的防火墙，是多层防御技术的有机结合体。

　　第三，从独立的产品到智能的方案。从技术角度来说，一个完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次的方法，如果将这些威胁割裂开进行防护，各种防护设备之间缺乏智能的联动，很容易出现“三不管”的灰色地带。因此，如果防火墙只能提供基于应用层的安全防护方案，它就不是一个完整的安全方案。对于用户来说，他们还需要采购基础网络层的安全设备（FW、VPN）作为补充，既增加了成本，也增加了组网复杂度，还提升了运维难度。深信服NGAF涵盖传统防火墙、IPS的主要功能，内部能够实现内核级联动，是一个“L2-L7完整的安全防护产品”。这也是Gartner定义的“额外的防火墙智能”实现的前提，做到真正的内核级联动，才能为用户的业务系统提供一个安全防护的铜墙铁壁。

　　第四，匹配云的技术与应用。智能的安全方案，也是云计算时代的网络所需要的。

　　下一代防火墙要能够支持路由，做到对带宽的优化和控制，实现远程访问并具备足够的扩展性，以便于维护及进行集中管理。这样的下一代防火墙，才能在高速的云计算时代赢得企业网络安全的一席之地。梭子鱼推出的下一代防火墙NG Firewall是一款私有云的安全防护产品，具备传统防火墙所没有的智能化流量管理、带宽优化和集中管理能力。该产品除了使用状态包过滤技术之外，还提供七层的应用控制技术，可以对应用层的业务加以识别、过滤和控制。