自欺欺人的安防体系

　　但是与飞速发展的互联网相比，防火墙的发展却十分滞后。目前虽然各种网络安全事件层出不穷，但硬件防火墙发展，依旧沿用一套固定模式，先有新的网络攻击行为出现，然后安全厂商对攻击行为进行分析，设立拦截规则进行专门的拦截，整体发展滞后于网络攻击的发展。

　　以著名的ARP欺骗攻击为例，最早提出这种攻击理念的论文形成于1997年，在ARP欺骗攻击被黑客广泛利用，并且逐步发展壮大之后，硬件防火墙才渐渐跟进、拦截，并且导致一些用户不得不额外花钱对防火墙进行软硬件升级。这期间经历了数年时间，ARP欺骗攻击已经造成了大量财产损失。

　　从方式上看，传统防火墙所谓拦截规则也不外乎数据包检测、端口检测等几种固定的手段进行综合使用，这种针对攻击特征和特定网络端口的拦截方式，很容易将一些原本正常的网络应用错误拦截，给用户带来不必要的麻烦。并且一旦攻击行为有所改变，拦截成功率就会大大降低，高价买来的防火墙变得有名无实。如今更是有大量的攻击行为摒弃了从外部进攻的方式，改变为引诱用户安装木马，让网络安全体系从内部被瓦解。

　　前文说过目前网络犯罪的目标十分明确，完全以谋取利益为主，因此也表现的更加隐蔽，甚至是在受害者完全不知情的情况下完成。以此前中关村二小的一个应用案例来说，学校配备了100M互联网出口，用户大约500人。在去年11月部署了来自网康科技的下一代防火墙产品之后，工程师从网络中成功找到了一台受攻击的服务器，而根据相关信息显示，这台服务器在很久之前就已经沦为“肉鸡”，但是运维人员和传统的防护设备能力有限，导致很长时间未被发现，成为潜伏在网络中的巨大隐患。

　　所以说，目前的网络安全领域，就如同《皇帝的新装》中的情形，一方面是制造商宣称自己的防火墙产品有多好，一方面是用户也愿意购买价格昂贵的防火墙产品以保障自己的网络安全，然而现状却是买了防火墙产品的用户本质上与全裸上网没什么区别，却一直没有人揭露这个现状。终于最后有人忍不住揭露了，这个不能忍受现状的人，名字叫做Gartner。

　　下一代防火墙从理论到落实

　　其实转变的契机早已出现。早在2009年，著名的信息技术研究和分析的公司Gartner就提出了一个新的概念，叫做“Defining the Next-Generation Firewall”，中文叫做重新定义下一代防火墙。根据网络安全的现状，Gartner把网络防火墙定义为在线安全控制措施。同时使用了“下一代防火墙(Next-Generation Firewall)”这个术语来进行描述。

　　近两年，互联网、云计算、大数据处理的兴起，在造成网络攻击不断兴起的同时，也为防火墙的发展提供了优势。Gartner描述的“下一代防火墙(Next-Generation Firewall)”正好可以结合云计算与大数据的优势，将高性能硬件系统与云端的数据分析相结合，从多个维度对网络中的数据进行分析判断，而不再机械性的依赖于一些固定规则，这样就提升了网络的安全性，同时对于正常的网络使用不但不会造成拥堵，还可以动态的进行分配和调节网络资源，优化网络结构。

▲基于Gartner的理论，厂商根据当前实际环境自主完善了下一代防火墙体系

　　当然Gartner的理念以现在来看也有不足的地方，比如目前移动终端的兴起让网络攻击蔓延到了一些新的设备上，这是那个时代难以预料的。不过下一代防火墙的制造商会在产品端进行完善，以弥补规则方面的不足。比如几个下一代防火墙制造商之一的网康，就在传统防护、新型防护机制相融合的基础上，进一步增加了对各种移动终端的支持，将能够联网的设备全部纳入到下一代防火墙的监控体系内，这样就能够最大程度确保企业网络环境的安全。

　　根据Gartner的预测，在2014年，60%用户所购买的防火墙产品都将是下一代防火墙，可见下一代防火墙产品有巨大的发展潜力，并且用户也很乐于接受下一代防火墙产品，经历多年沉寂之后，网络安全市场终于要迎来一个新的时代。