现代企业需要对在其网络运行的应用有更深入的了解。新一代防火墙提供深度数据包检测、细粒度控制和应用感知，来帮助企业监管其网络外围。尽管这些新平台这么具有吸引力， “下一代”的标签并没有很好的描述如何解决当企业迁移到现代防火墙时所涉及的技术、功能和支持问题。虽然防火墙产品变得更加先进，但很多IT安全专家仍然坚持使用原来的使用端口和协议的防火墙。

  “大多数现代防火墙都有一些‘下一代’功能，包括集成入侵防御(IPS)以及更好的应用控制，”Gartner研究主管Eric Maiwald表示，“这是现在的防火墙的标准，所有主要安全厂商都声称拥有下一代产品。”但是这些说法并不总是很准确，知道如何评估和迁移到下一代平台才是至关重要的。

  应用感知

  当然，细粒度应用控制是迁移到下一代防火墙的一个很大的原因。“在我们迁移到Palo Alto的防火墙后，给我们的网络业务带来了明显的优势，”Neohapsis实验室安全顾问Andy Hubbard说道，他此前担任某加州医院的IT经理时参与了该技术的部署，“在我们部署Palo Alto后，我们很快在网络上发现四个僵尸网络和几个流氓服务器。在我们正确部署后，我们能够轻松地保护我们的特殊医疗设备。”

  虽然更好的应用感知和智能是下一代防火墙的很大的优势，但这需要付出一些努力。“你需要充分了解何时在防火墙规则集中使用应用ID，”Hubbard表示，“你需要知道哪些应用使用了哪些协议，以及何时使用经典的端口/协议方法更合适，何时不合适。”，这并不是一个轻松的过程。

  难以淘汰和更换

  现有防火墙如何被使用(或者更准确地说，被误用)可能导致迁移问题。在某些情况下，企业过于依赖其防火墙，通常是将防火墙作为其唯一的网络路由基础设施--没有边缘路由器。Hubbard表示：“这导致我们难以淘汰和替换它们。”

  部署下一代防火墙可能带来技术更换、网络设置变更和安全政策的问题。迁移整个企业防火墙是一个复杂的过程，因为涉及很多移动部件，Hubbard说道，“还有一些有悖常理的事情，并且这两个系统间存在差异，例如网络地址转换设计和服务质量规则。”传统防火墙管理员习惯于阻止入站威胁，而对于下一代管理员，你需要更密切地关注出站接口。坚持你现有的供应商，并升级到最新的下一代防火墙，可以避免复杂性问题。

  但是，这种复杂性有时候与实际技术无关。“应用控制的问题并不是技术问题，但IT经理需要了解其影响和后果，”Maiwald表示，“你可能会无意中阻止你员工访问Facebook游戏。在理想情况下，IT应该密切与人力资源及管理层协调，以确保政策的正确部署。”

  再有就是整体成本。“有些企业不能解释这些功能增加的费用，并且，现在网络更虚拟化的环境增加了其信息安全结构的复杂性，”Crawford表示，“传统的防火墙技术根本不能扩展到云计算。”然而，根据你的许可证要求的不同，这实际上可以花费更少。

  统一平台替代品

  迁移到下一代防火墙的替代方案之一就是部署统一威胁管理(UTM)工具，该工具结合了防火墙和IPS以及防病毒保护。然而，UTM有其自身的缺陷，包括吞吐量问题，特别是在较大的网络中。

  而有些下一代防火墙则可以提供出乎意料的高吞吐量。BYU的Moss惊讶的看到当他升级防火墙后，性能明显提高。“即使运行着防火墙和反恶意软件检查，我们的新防火墙仍然惊人的快，”他表示，“这个升级很值得。”

  迁移到下一代防火墙的最大障碍是对未知的恐惧。习惯可能是为什么人们还没有升级其防火墙的最大症结点。当你部署任何新的技术时，总是很紧张，但下一代防火墙是一个值得的投资。

  更多内容尽在：www.commernet.cn