防火墙技术发展呈现两种方式

　　下一代防火墙——比端口扫描更深入的能识别应用的智能防火墙。关于这种说法，你应该有所耳闻了。虽然大多数供应商已经推迟了防火墙的发布，但是 Gartner 的魔术象限报告认为市场风向正在转变，曾经沉睡的市场开始复苏。

　　所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。现在看来这样的概念解释已经被用户所接受，而2010年的防火墙市场则从概念上呈现两大派，一派是向更加细粒度方向的定义，以Web应用防火墙为主的安全厂商，另一派则是热心于提下一代防火墙的厂商。2009年对于防火墙来说似乎充满了质疑，来自各方的批评之声络绎不绝，难道防火墙真的来到了生死边缘了吗?答案当然不是了，09年防火墙市场看似有些沉闷，被UTM打压的抬不起头来，但事实确是防火墙技术在孕育着下一次的全面爆发!让我们来看看在09年防火墙市场有着怎样的改变!

　　传统防火墙跟不上时代脚步

　　熟悉网络安全的人都知道，防火墙凭借其成熟的访问控制技术，已占据了IT硬件安全市场的半壁江山，凡是需要接入、访问控制的网络就必然有防火墙的身影。

　　随着互联网的发展，各类网络应用层出不穷，用户的网络业务需求渐渐由最初单纯的浏览网页、收发电邮向更复杂的应用转变，如视频会议、即时通讯、网络社交、在线视频、网上银行等。网络规模也逐渐由百兆过渡到千兆。需求带来变革，然而市场上的防火墙产品在这场变革中并没有带来令人期许的卓越表现。虽然宣称的性能吞吐指标与日俱增，5G、8G、甚至10G、20G......但是，令用户不解的是实际使用效果往往与宣称的吞吐性能相差甚远，甚至在大流量下出现死机或断网现象，给用户带来诸多不便。

　　不必要的投资：百兆网络往往需要购买千兆防火墙，千兆网络动辄需要高端甚至万兆防火墙，这在实际的用户采购中频频出现。在没有高性能作为保障前提下，防火墙越来越像多层次防御部署中的“鸡肋”。

　　下一代防火墙成为用户新宠

　　只有用户不断地提出需求，信息安全产业才能实现快速发展，作为存在已久的防火墙产品更是要因需而变。业界对于防火墙的抨击和质疑，多是因为传统防火墙2～4层工作原理的局限。如今，防火墙这一“先天劣势”在新一代防火墙设计和生产中已经发生了本质的改变。

　　纵观信息安全产业发展历程，我们发现十几年中防火墙技术经历了多次重大的变革。与路由器同时出现的第一代防火墙技术，采用了包过滤技术，实现了简单的ACL功能;进入90年代，第二、三代防火墙面世，在用户需求的基础上防火墙发生了改变，应用层防火墙(代理防火墙)的雏形建立;随后第四代防火墙基于动态包过滤(Dynamic packet filter)技术，为状态监控技术奠定了基础;到1998年第五代防火墙更新了安全代理(Proxy)技术，给防火墙赋予了全新意义;如今随着安全网关性能瓶颈的打破，UTM(统一威胁管理)等新一代防火墙产品迅速推出市场，拉开了安全网关激烈竞争的序幕。防火墙这一系列的变革都与用户更高的要求有着不可分割的关系。

　　美国超级计算机中心的安全专家曾指出指出，新一代防火墙必须克服先天的缺陷，首先是解决单点故障问题，其次要实现统一的策略管理，最后对于来自企业内部人员的安全威胁也必须形成有效的管控。

　　越来越多的证据显示，安全体系的建设绝不仅依赖于一款产品，整合安全已是大势所趋。只有让用户的安全策略形成有效的统一和流程化管理，实现网络各节点的安全联动，才能让用户的信息安全得到最大限度的保障。新一代防火墙拥有“按需定制”的特性，正好满足了用户新形势下的安全需求，为实现网络的统一安全管理调度提供了保证。