在市场层面,我们总是能看到一些“新型”、“增强”或者“下一代”的字眼。那从这一角度来看,“下一代防火墙”是真的确有此物,还是不过是市场的吹捧?从概念上来看,下一代防火墙确实应该从本质上就和传统的防火墙有所不同,而这些差异形成企业在选购的时候,衡量相关产品是否是真正的“下一代”产品的关键词。

状态与深度包

下一代防火墙和传统防火墙的第一大区别就在于他们对流量不同的分析方式。大部分传统防火墙都是状态防火墙(stateful firewall),而下一代防火墙则会进行进一步的深度包检测。

两者的区别在于状态防火墙只会关注于某个连接的状态——其使用的协议、端口,以及其是否符合防火墙管理员设置的某些规则。状态防火墙的优势在于他们能在有限的CPU算力下处理大量的流量,因为流量是否通过的决定在每次连接中只会进行一次。而一旦连接成立了,在断开前,对话都会被允许。

正如其名,深度包检测会做得更加“深度”。状态防火墙相对而言只关注于连接的外部信息,而深度包检测则会注意连接中的具体内容。下一代防火墙不仅仅查看协议、来源、以及目标地,同时也会分析流量包是否有恶意成分,或者内容和之前同一来源的流量是否相似。因此,深度包检测会比状态防火墙消耗更多的算力,但也确实能针对更多类型的威胁。

上层防御

两种防火墙的另一个区别可以通过OSI七层模型来看。状态防火墙一般只进行L3(网络层)的防护:网络协议,以及许多网络交换功能都在网络层进行。但是,深度包检测能在模型的更高层进行防护。

深度包检测能够在L4-L7进行检测,检查数据包的结构是否被改变、数据包是否正常转码、携带的数据是否符合规则等。这些检查能发现传统状态防火墙无法识别和采取行动的攻击。

取代不同的设备

在传统的网络安全架构中,防火墙只是防御的设备之一。除了防火墙外,还会有IDPS、WAF、网络过滤器等等的其他设备。不同的安全设备可能会和谐共存,但是需要一个集成系统,甚至外加一个网络安全管理器来协调,进行中心化管理。下一代防火墙却能让事情简单很多。

下一代防火墙能取代许多传统网络安全中的不同设备,从而不需要多设备之间的集成。只需要通过简单的编程以及管理控制台,就能用一台设备就能对不同威胁的识别,并能在OSI模型的不同层级进行安全防御。但是,这同样会有一定的代价:把所有的工作集中在同一个设备中需要硬件本身有更多的算力,并且可能还无法对每一层选取最佳的解决方案。

不过,随着CPU的发展,性能问题被大幅度改善,使得下一代防火墙的市场逐渐增大。在企业选购下一代防火墙的时候,需要同时考虑带宽以及并发需求;另外,也要考虑下一代防火墙会如何处理云服务以及预置网络之间的流量。

最后,考虑到下一代防火墙的强大功能,企业还需要确保自身的员工有能力部署和管理这一强大的新工具。毕竟,成千上万的攻击者正在对企业的资产虎视眈眈。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。