竞速下一代防火墙

　　链接一

　　防火墙技术发展简介

　　从技术发展角度看，到目前为止，防火墙大致经历了4代变革。

　　首先出现在市场上的是包过滤防火墙，这类产品可以根据IP数据包的五元组(源地址、目的地址、源端口、目的端口、协议类型)做访问控制，代表性的产品是具备ACL能力的路由器。因为处理逻辑比较简单，包过滤防火墙可以做到相对较高的性能。

　　包过滤防火墙的缺点是处理不够智能，不能很好地适应网络应用发展的需要，所以逐步被使用状态检测技术(Stateful Packet Inspextion,SPI)的防火墙所取代。状态检测机制在基于五元组执行包过滤的基础上引入了会话的概念，维护一个全局的连接状态表，使访问控制功能更加完善、易用。即便在今天，它仍然是绝大多数防火墙或UTM产品中最基础的处理模块，其地位不可动摇。

　　应用代理防火墙则采用了与状态检测完全不同的处理机制，改由透明代理中断连接、重组数据。虽然这种技术可以做到非常细粒度的访问控制，但仅支持有限的应用协议，只适用于非常特殊的应用场景。并且该机制注定了相对较低的执行效率，不易于性能的提升(用过ISA的朋友可以仔细体会)。也许是时间比较久远，我们并不记得曾经测试过这类硬件产品，只是在一些使用状态检测机制的防火墙上看到它以功能模块的形式出现。如果您在正在使用的防火墙上看到了针对HTTP、FTP、SMTP等常见协议的指令级或字符串级的过滤功能，不妨尝试开启一下，看看是不是会对性能造成很大影响。截至目前为止，可能只有国标中所定义的安全审计产品仍然在使用应用代理机制。

　　而深度包检测技术(Deep Packet Inspection，DPI)则可以看做是性能与功能平衡的产物，它在状态检测技术的基础上，尝试对数据流中更多的内容进行检测，以在资源消耗较少的情况下提供部分应用代理级别的安全性。正如名称中强调的那样，大部分采用深度包检测的设备依然不会去做太多的重组工作，仅依靠特征比对的方式执行更复杂的访问控制策略。IDS与IPS就是使用这种技术的标志性产品，它们表现出来的性能虽然比起使用状态检测机制的传统防火墙还有一定的差距，却远高于使用应用代理机制的产品。近年来，DPI在不断改进中又衍生出深度流检测技术(Deep Flow Inspection，DFI)，以更好地实现各类安全特性。

　　链接二

　　NGFW产品选购指南

　　用户在选购NGFW产品时肯定会感到更多的困惑。一方面，UTM和NGFW短期内不存在取代关系，经过包装推广的产品在形态上会越来越相似。另一方面，NGFW必然还会加入更多的安全特性，从著名信息安全培训机构SANS的专家结合现有产品和用户需求给出的未来NGFW产品将需集成的功能列表来看，目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼，用户(尤其是中小企业用户)难免会像几年前刚接触UTM那样，产生一种不理智的选购心态。

　　所以，用户在选型前必须先明确自己的需求是什么，再利用NGFW体系结构上的集成化优势对未来部署做出合理性的规划，否则必将带来过犹不及的负面效果。途牛旅游网的资深网络工程师吴康就谈到这样的体会：该公司在明确自身安全需求后，选择了NGFW产品取代UTM搭配上网行为管理的方案，保护包括订单系统在内的在线OA平台。经过长达半年的细致测试，途牛旅游网的IT团队在用户身份关联的基础上逐步实现了策略的统一配置，成功地在满足需求的同时大幅提升了管理效率。

　　由此可见，充分的测试也是必不可少的环节，鉴于大部分用户都会同时启用NGFW产品提供的多种功能，我们建议无论是否进行实验室级别的测试，都要做至少3个月以上的、结合自身业务需求的上线测试，尽可能地与原有信息系统磨合，排除潜在隐患。