分支机构的下一代防火墙：Palo Alto & SonicWall

　　Palo Alto和SonicWall推出了适合分支机构价格的下一代防火墙。

　　Palo Alto这周发布PA-200，它是价值2000美金，具有100Mbps吞吐量的下一代防火墙。SonicWall上周发布了2款针对分支机构的下一代防火墙：NSA220和NSA250M，它们的起始价格分别是1095美金和1495美金。下一代防火墙所包含的应用智能和控制功能在SonicWall设备上是可选的，它需要额外的授权费，但这在发布会中没有详细说明。使用下一代防火墙模式，SonicWall设备大概可以达到110Mbps的速度。

　　传统的状态防火墙检验端口和协议是为了判断，例如是否经过TCP 80端口的流量确实是合法的HTTP流量。下一代防火墙超越了端口和协议安全的做法，应用深层报文检测来识别用HTTP协议的请求和用80端口接入的应用程序。这项功能在今天尤为重要，特别是当企业的应用程序愈来愈多的基于网页，而且客户网页应用程序可以在企业中合法使用。

　　根据ZK Research首席分析员Zeus Kerravala所言，今天企业正在它们的中心位置部署大型且昂贵的下一代防火墙。为了使它们的分支机构能够感知应用安全，企业为了检测要么回程分支机构网络流量到中央防火墙，要么在分支机构部署轻量级安全设备，比如统一威胁管理设备。

　　而在分支机构直接部署下一代防火墙，企业可以将广域网的安全问题降入分支机构，节省回程流量消耗的带宽。

　　Kerravala说：“其实没必要在核心跑所有因特网流量，但是如果你转到一个分离的隧道模式，并且希望分支机构的用户能直接访问因特网，那么和核心位置一样，你需要在分支机构使用相同的应用感知防火墙。想要分支机构的下一代防火墙价格便宜，并且吞吐量尽可能高。显然你的分支机构的技术不能昂贵到超过了回程因特网流量的费用。”

　　根据信息技术总监Michael Giorgio介绍：“ SonicWall客户Connex信用合作社使用中央SonicWall NSA 3500 统一威胁管理防火墙，将流量从银行分支回程到网络核心。从用户的观点看，我更愿意把流量分散，它可以减轻网络的负荷，通过取消回程流量到WAN上的hub，每个分支机构的下一代防火墙可以减少分支机构的WAN链路。”

　　分支机构下一代防火墙功能：选择还是必须?

　　Current Analysis研究总监Andrew Braunberg说：“这仍然有待观察，我们不知道分部很多的企业，它们对下一代防火墙应用智能技术有多大需求。在分支机构使用状态防火墙很不明智。但是小型分支机构可能不需要下一代防火墙的精细应用控制功能。如果你想在每个设备上安装这个功能，它会在哪里开启，会到什么程度?你知道一旦你开启了额外的深层报文检测，你会进行性能检测。我认为分支机构会使用该功能，但是我好奇它的使用情况以及使用方式。”

　　如果将来证实确有必要，他相信许多企业将部署SonicWall设备，因为将来状态防火墙可以升级为下一代防火墙。

　　Palo Alto产品市场总监Chris King 提到，Palo Alto的PA-200“天生”就可以在下一代防火墙模式中工作。PA-200根据对应用程序的识别来决定允许或拒绝流量。他提到了其他厂家，也包括SonicWall在内，是根据端口来决定的。他们在流量中应用一个单独的深层报文检测引擎来识别应用程序，做出不同的策略决定。哪种做法更优现在还无定论。