對于防火墻，大家并不陌生，它與防病毒、入侵檢測系統一起被稱為安全產品的“老三樣”，在安全防護的過程中，幫我們擋住了無數的攻擊。然而，在應用日漸復雜、威脅愈演愈烈的今天，傳統的防火墻能否依然堅固？呼聲越來越高的“下一代防火墻”是否能夠帶給我們新的驚喜？市場對此眾說紛紜。

傳統防火墻尚能飯否？

早在設計之初，傳統防火墻其實就存在明顯缺陷，只是在幾年前沒有明顯地表現出來，但在應用日漸豐富的今天卻表現得越發明顯：首先是安全方面的缺陷。傳統防火墻無法對應用層進行控制和識別，無法確定是哪種應用通過了防火墻，自然就談不上對各類網絡威脅進行有效防御了。

其次是流控方面的缺陷。在用戶只有一條鏈路時，當不同的應用在使用不同的帶寬時，重要的應用如何識別并進行保障？這是傳統防火墻無法兼顧的。第三就是運維管理方面的缺陷。尤其是當公司的分支機構遍布全國時，因為沒有完善的策略管理，無論是部署還是管理傳統的防火墻，都需要消耗大量的人力和物力，最終導致管理和維護成本居高不下。

“裱糊匠”的縫補方案不可取

很多人都會想，既然傳統防火墻有這么多缺陷，那可不可以部署一臺IPS，或者其他安全設備，甚至用UTM來替代？事實上，改良雖然可以暫時彌補一些缺陷，但所做的畢竟是“修修補補”的裱糊匠工作，是不可能從根本上解決問題的。此外這種做法還會帶來其他的安全隱患，可謂既不治標又不治本。（最好加一些這種縫補方案其實不僅不省錢還會加重企業的運營成本和負擔的話）

因此，我們必須要改革，將防火墻進行更新換代，以滿足現代網絡發展的需要，這也是“下一代防火墻”產品出現的根本??因。那么，下一代的防火墻要增加哪些內容呢？首先，應該能識別出某個行為是視頻還是游戲，要做到對應用層的識別，識別之后還要對應用層能進行控制。其次，還要做到基于用戶的識別與控制，包括對用戶當前的環境、使用的電腦或操作系統、是否感染病毒等，一旦違反安全規范就拒絕訪問，以免感染整個企業網絡。

Firewall＠the Speed of Cloud

不過，梭子魚認為做到這些還不夠，因為傳統防火墻在運維管理方面還存在缺陷，因此需要對廣域網進行分析和優化。例如，能夠支持路由，可以做到對帶寬的優化和控制，可以實現遠程訪問以便維護，并具備足夠的擴展性，還能夠進行集中管理。這樣的下一代防火墻，才是真正的革新,才能在高速的云計算時代為企業網絡應用安全覓得一席之地。

梭子魚推出的下一代防火墻NG Firewall是一款安全、低成本、可集中性管理的私有安全云的防護產品，具備傳統防火墻所沒有的智能化流量管理、帶寬優化和集中管理能力。該產品除了使用狀態包過濾技術之外，還提供七層的應用控制技術，可以對應用層的業務加以識別、過濾和控制。

需要強調的是，梭子魚的下一代防火墻在集中管理上也能滿足用戶提出的苛刻要求。舉個簡單的實例，德國郵政銀行部署了超過2500臺梭子魚下一代防火墻，但管理這些防火墻卻僅僅只有三名網絡工程師，通過集中化配置、政策發布和報表反饋，工程師在總部就能進行WAN接入優化，加強了點對點流量管理性。

作為傳統防火墻的技術演進，梭子魚下一代防火墻可以說是一種七層的防火墻，它不同于UTM僅僅是一種功能的簡單拼湊，而是多層防御技術的有機結合體。