面对现在网络复杂的应用情况，传统防火墙已经显得力不从心，下一代火墙应运而生。作为国内规模最大、创新能力最强的前沿网络设备供应商深信服科技推出下一代应用防火墙(ngaf)产品，也是中国首家推出下一代防火墙的本土厂商。

前世

防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。防火墙就像城墙，对进出防火墙的一切数据包进行检查，保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁，曾经如城墙般稳固的传统防火墙已黯然失色，失去了它原有的防御能力。面对网络的高速发展、应用不断增多的时代，逐渐被新的继任者重新定义了“防火墙”。

曾经在ip/端口的网络时代发挥了巨大作用的“传统防火墙”为什么会被历史所淘汰?最主要的原因还在于“对网络应用快速发展的3大不适应症状”。

1. 安全不适症

传统防火墙基于ip/端口无法对应用层进行识别与控制，无法确定哪些应用经过了防火墙。面对应用层的攻击，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。

2. 管理不适症

传统防火墙的网络访问控制需要配置大量的策略，并且这些基于ip/端口策略可读性非常之差，经常会造成错配、漏配的情况，留下的这些隐患，往往给黑客们以可乘之机。

3. 维护不适症

由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案，在一定程度上能弥补防火墙功能单一的缺陷。但在这种环境中， 同一数据包经过串联的各类设备，被重复拆包，重复解析，使整个网络的效率变得低下，运行速度缓慢。而独立设备、管理复杂，需要培养熟悉各类设备、各厂商设备的高级管理人员。无法进行统一的安全风险分析，以及无法提供足够的空间和环境支持，大大提高了维护成本。

今生

2009年10月gartner提出“defining the next-generation firewall(ngfw)”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。目前仅有不到1%的internet连接采用ngfw来保护。gartner认为，到2014年底，这个比例将增加到占安装量的35%，60%新购买的防火墙将是下一代防火墙(ngfw)。

在这个全新领域，国内规模最大的前沿网络设备厂商，同时也是全球网络设备领域发展最快的厂商之一的“深信服公司”在10年网络安全技术和6年应用安全技术的沉淀之后，于2011年正式发布了下一代应用防火墙(ngaf)产品(next-generation applications firewall)。

它面向应用层设计，能够识别用户、应用和内容，重新定义了防火墙产品，加速了传统防火墙解决方案推出历史舞台的步伐。

1. 更精细的应用层安全策略

深信服下一代应用防火墙(ngaf)产品具备了精确的用户和应用的识别能力，可以针对每个数据包找出相对应的用户角色和应用的访问权限，可制定出2-7层一体化的访问控制策略，从而恢复了对网络资源的有效管控。

2. 更全面的内容级安全防护

深信服下一代应用防火墙(ngaf)产品不但具备了传统应用层设备的防护功能(如: 防扫描、信息隐藏、弱口令保护、漏洞防护、防web攻击、防止网页挂马等)，还可以基于应用的内容做安全检查，包括扫描所有应用内容，过滤有风险的内容，甚至让用户自定义哪些内容可以进出，哪些内容不能进出，从而有效的去除各类安全短板，实现多层次完整的安全防护，同时节约了投资成本，提高了性价比。

3. 更高性能的应用层处理能力

深信服下一代应用防火墙(ngaf)产品采用单次解析架构，结合多核并行处理技术，对数据包进行一次拆包、一次解析，极大提高了ngaf的应用层性能，相对于多数utm仅有几百兆到1g的应用层性能来说，ngaf实现10g的应用层吞吐能力更能满足用户对高性能场景的需求。

【责任编辑：张暕 tel：（010）68476606】

原文：深信服和您一起解析防火墙的前世今生 返回网络频道首页