目前，防火墻仍是很多單位最重要的安全設(shè)備之一。但隨著新型威脅造成的危害日益嚴(yán)重，有些類(lèi)型的防火墻，特別是全狀態(tài)數(shù)據(jù)包檢測(cè)(SPI)已經(jīng)開(kāi)始過(guò)時(shí)，雖然有人認(rèn)為這種說(shuō)法有點(diǎn)兒夸張。

　　狀態(tài)檢測(cè)的問(wèn)題在于它僅重視端口和IP地址。端口就像電路斷路器一樣：在重要的流量流過(guò)時(shí)，用它作為過(guò)濾標(biāo)準(zhǔn)顯得過(guò)于笨拙。而且，IP地址沒(méi)有與用戶(hù)綁定，使得用戶(hù)可以用一種完全不同的設(shè)備來(lái)逃避策略。

　　解決這個(gè)問(wèn)題的關(guān)鍵在于：要重視用戶(hù)，要重視用戶(hù)所使用的應(yīng)用程序以及用戶(hù)用每一個(gè)應(yīng)用程序正在做什么，尤其是那些容易被人利用其漏洞的應(yīng)用程序。當(dāng)前，80號(hào)端口的“阻止/準(zhǔn)許”已經(jīng)不夠精細(xì)。甚至像“阻止/準(zhǔn)許”社交軟件(如Facebook)這樣的操作也已經(jīng)遠(yuǎn)遠(yuǎn)不夠了。相反，防火墻必須支持準(zhǔn)許用戶(hù)從事與業(yè)務(wù)相關(guān)活動(dòng)的策略，而不管他使用什么樣的計(jì)算機(jī)。

　　當(dāng)然，新技術(shù)絕不應(yīng)當(dāng)僅關(guān)注社交軟件，公司使用的任何其它的web2.0軟件，都應(yīng)當(dāng)包括其中。

　　下一代防火墻技術(shù)

　　下一代防火墻應(yīng)當(dāng)專(zhuān)注于應(yīng)用程序、用戶(hù)和活動(dòng)，而不是端口和IP。它可以控制用戶(hù)的操作，從而保障Web和電子郵件等的安全，并將其應(yīng)用于所有應(yīng)用程序。其次，下一代防火墻還應(yīng)擁有反惡意軟件技術(shù)，并在底層完全集成到防火墻中，從而避免單獨(dú)的組件在掃描同樣的內(nèi)容時(shí)所造成的延遲。集成的必要性還由于當(dāng)今威脅的復(fù)雜性。

　　避免延遲至關(guān)重要，因?yàn)榉阑饓Ρ仨氉銐蚩欤淠康氖窃诓粨p失性能的情況下準(zhǔn)許所有的網(wǎng)絡(luò)通信通過(guò)防火墻。理想情況下，這種集中化的控制還包括云和移動(dòng)通信。相比之下，典型的UTM(統(tǒng)一威脅管理)解決方案太慢，因?yàn)樗](méi)有完全地集成，只夠中小型企業(yè)勉強(qiáng)使用。

　　每一個(gè)安全組件都應(yīng)當(dāng)是最優(yōu)的?；蛘哒f(shuō)，一群“平庸之輩”難成大事。下一代防火墻必須能夠檢測(cè)運(yùn)行在SSL加密通信中的內(nèi)容，或使用模糊技術(shù)，它必須建立在專(zhuān)用的特定硬件基礎(chǔ)上。

　　下一代防火墻必須提供出色的透明性。在管理員設(shè)置策略之前，必須知道網(wǎng)絡(luò)上正在發(fā)生什么，這對(duì)于當(dāng)今的多數(shù)防火墻來(lái)說(shuō)是很難實(shí)現(xiàn)的。它還必須提供杰出的精細(xì)度，同時(shí)還要提供諸如“不允許在網(wǎng)絡(luò)上進(jìn)行基于瀏覽器的即時(shí)通信”之類(lèi)的高級(jí)策略。下一代防火墻還必須擁有極低的總擁有成本，要富有成效。

　　最后，下一代防火墻還必須能夠隨著當(dāng)今網(wǎng)絡(luò)所面臨的威脅的變化不斷演化，即公司需要投資于能夠解決網(wǎng)絡(luò)黑手正在和將要觸及的諸多方面。

　　如何識(shí)別下一代防火墻

　　那么，怎樣區(qū)分一種防火墻是否是下一代防火墻呢?

　　首先，它應(yīng)當(dāng)擁有獨(dú)立的基于應(yīng)用程序的策略，而不是擁有“雙重”策略(基于應(yīng)用程序和基于端口/IP)。下一步，你不妨訪問(wèn)一個(gè)Web2.0應(yīng)用程序，如SharePoint，檢查這個(gè)防火墻是否能夠識(shí)別它的名字，而不是僅將其識(shí)別為Web通信。要在應(yīng)用程序水平上測(cè)試防火墻，而不是在傳統(tǒng)的“位”的基礎(chǔ)上測(cè)試。

　　其次，如果廠商向你列示了每個(gè)安全組件的不同吞吐量或速率，如IPS、DLP、反病毒、防火墻等，而且每個(gè)組件的速度是在關(guān)閉其它組件的情況下測(cè)試的，就可斷定，它集成得不太好。真正的下一代防火墻應(yīng)當(dāng)擁有一個(gè)統(tǒng)一的吞吐量數(shù)字。

　　當(dāng)然，上述標(biāo)準(zhǔn)也許過(guò)于苛求，選用與否主要取決于防火墻所適用的信息安全需要和網(wǎng)絡(luò)環(huán)境。