突破安全瓶颈 NGFW下一代防火墙演进正当时

  【天极网网络频道】为了保护某一区域，人们往往在区域的四周建起围墙，以阻隔危险的靠近，现实世界如此，虚拟的网络世界也不例外，无论是以公司为单位的企业用户还是个人用户，作为互联网上的一分子，都有可能受到来自外部的安全威胁，于是，防火墙产品便应运而生了。

  有了它，就相当于在计算机与网络之间建起了一道屏障，它对流经它的网络通信数据进行扫描，从而过滤掉一些攻击。当然，与现实世界的实体墙易攻难守相比，网络世界里的防火墙功能更加多样而丰富，除了网罗不安全因素之外，它还能够做到关闭不使用的端口，以及禁止特定端口的流出通信，封锁特洛伊木马。而且通过禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

传统防火墙已经无法满足新的安全需求

  道高一尺，魔高一丈

  但是随着安全形势的变化，传统的安全防护正在失效，如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代安全威胁的作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头，分析和监视网络层(L3)和协议层(L4)，基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。

  网络防火墙在安全防护中起到重要作用，但是也应该看到它的不足之处。如今，知识渊博的黑客，均能利用网络防火墙开放的端口，巧妙躲过网络防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统网络防火墙。传统的网络防火墙，存在着以下不足之处：1、无法检测加密的Web流量;2、普通应用程序加密后，也能轻易躲过防火墙的检测;3、对于Web应用程序，防范能力不足;4、应用防护特性，只适用于简单情况;5、无法扩展带深度检测功能。

  应用层受到攻击的概率越来越大，而传统网络防火墙在这方面有存在着不足之处。对此，少数防火墙供应商也开始意识到应用层的威胁，在防火墙产品上增加了一些弹性概念的特征，试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳。