约在与星际迷航电视剧开始的同一时间，防火墙开始进入到下一代防火墙时代。虽然防火墙产品变得更加先进，但很多IT安全专家仍然坚持使用原来的使用端口和协议的防火墙。

现代企业需要对在其网络运行的应用有更深入的了解。新一代防火墙提供深度数据包检测、细粒度控制和应用感知，来帮助企业监管其网络外围。尽管这些新平台这么具有吸引力， “下一代”的标签并没有很好的描述如何解决当企业迁移到现代防火墙时所涉及的技术、功能和支持问题。

“大多数现代防火墙都有一些‘下一代’功能，包括集成入侵防御（IPS）以及更好的应用控制，”Gartner研究主管Eric Maiwald表示，“这是现在的防火墙的标准，所有主要安全厂商都声称拥有下一代产品。”但是这些说法并不总是很准确，知道如何评估和迁移到下一代平台才是至关重要的。

应用感知

当然，细粒度应用控制是迁移到下一代防火墙的一个很大的原因。“在我们迁移到Palo Alto的防火墙后，给我们的网络业务带来了明显的优势，”Neohapsis实验室安全顾问Andy Hubbard说道，他此前担任某加州医院的IT经理时参与了该技术的部署，“在我们部署Palo Alto后，我们很快在网络上发现四个僵尸网络和几个流氓服务器。在我们正确部署后，我们能够轻松地保护我们的特殊医疗设备。”

让应用感知“锦上添花”的是，添加域或IP声誉管理到防火墙活动中。这是通过在互联网放置传感器，以及对域名或IP源地址进行白名单以及黑名单处理来完成的。“域名声誉工具并不完美，”硅谷AVOA公司前任首席信息官，现任战略顾问Tim Crawford表示，“说真的，这只是整个威胁预防的一个方面。”

难以淘汰和更换

现有防火墙如何被使用（或者更准确地说，被误用）可能导致迁移问题。在某些情况下，企业过于依赖其防火墙，通常是将防火墙作为其唯一的网络路由基础设施--没有边缘路由器。Hubbard表示：“这导致我们难以淘汰和替换它们。”

部署下一代防火墙可能带来技术更换、网络设置变更和安全政策的问题。迁移整个企业防火墙是一个复杂的过程，因为涉及很多移动部件，Hubbard说道，“还有一些有悖常理的事情，并且这两个系统间存在差异，例如网络地址转换设计和服务质量规则。”传统防火墙管理员习惯于阻止入站威胁，而对于下一代管理员，你需要更密切地关注出站接口。

统一平台替代品

迁移到下一代防火墙的替代方案之一就是部署统一威胁管理（UTM）工具，该工具结合了防火墙和IPS以及防病毒保护。在近几年，来自瞻博网络、Check Point、和其他供应商的UTM已经有所改进，整合了曾经只在最昂贵的UTM产品中才有的相同的安全功能。

然而，UTM有其自身的缺陷，包括吞吐量问题，特别是在较大的网络中。Maiwald表示：“当UTM的防毒组件打开时，设备的整体吞吐量会明显下降。”

Hubbard表示同意：“UTM可能会提高延迟性，并让企业更难以解决错误配置的组件，而且，它们还有复杂的许可步骤。”

而有些下一代防火墙则可以提供出乎意料的高吞吐量。BYU的Moss惊讶的看到当他升级防火墙后，性能明显提高。“即使运行着防火墙和反恶意软件检查，我们的新防火墙仍然惊人的快，”他表示，“这个升级很值得。”

LaBleu还发现，调整其思科ASA CX单元的大小来处理互联网流量水平是保持低延迟性的关键。他建议说：“如果你有很多互联网流量的话，确保不要使用太小的设备。”

迁移到下一代防火墙的最大障碍是对未知的恐惧。Hubbard表示：“习惯可能是为什么人们还没有升级其防火墙的最大症结点。”

LaBleu表示同意：“当你部署任何新的技术时，总是很紧张，但下一代防火墙是一个值得的投资。”

源自：TechTarget中国原创内容