在过往几十年中，防火墙一向是互联网的基于端口的守护者。而此刻供给商都在争相推出所谓的“下一代防火墙”，因为这些“利用感知”防火墙可以基于利用法度利用来监控和节制拜候。

　　别的，良多防火墙中加进了愈来愈多的功能来试图发现零日报复打击，包含进侵防御系统(IPS)、web过滤、VPN、数据丢掉防护、歹意软件过滤，乃至还有威胁检测沙箱。对伶仃的IPS，因为其利用节制，它可能被称为“下一代IPS”，例如IBM Network Security Protection XGS 5000(收集安然呵护XGS 5000)或McAfee NS系列。

　　防火墙/IPS供给商竞争很是狠恶，他们还推出更高的吞吐量来知足速度的需求，因为经历“虚拟化”的数据中间需要在防火墙供给更高的带宽。

　　供给商们都渴看获得有影响力的Gartner等公司的赞美，或尽力在手艺评估测试中击败竞争敌手，例如NSS尝试室或Neohapsis尝试室的测试。但其实，成败的关头在于可否博得Rusty Agee等买家的青睐，Rusty Agee是美国北卡罗来纳州夏洛特市的信息安然工程师，他利用各类防火墙产品。

　　Agee暗示：“防火墙已大年夜大年夜改进了，”当触及防火墙和IPS的功能和速度时，“我老是想要更多。”

　　数据中间虚拟化、移动设备的激增和该市摆设“携带本身设备到工作场合(BYOD)”政策的打算，都是Agee对可能用于呵护各当局机构数据的各类编制保持开放立场的启事。他指出，该市的消防部门和***部门已开端利用平板电脑和智妙手机，所以他现正需要考虑一个BYOD迁徙政策。

　　该市利用移动设备的员工正在操纵思科的AnyConnect客户端来成立VPN类型的连接，连接回该市的思科ASA防火墙。除思科防火墙与伶仃的思科IPS，该市还利用Check Point防火墙和伶仃的IPS来封锁到关头办事器、数据中间、互联网接进和该市无线收集的流量。

　　别的，该市还利用Palo Alto Networks下一代防火墙来监测和节制员工利用法度利用。别的，该市操纵F5 Networks利用法度防火墙来寻觅针对web办事器的报复打击流量。Agee暗示，夏洛特市经由过程LogRhythm的安然信息和事务治理集中化了对这些安然设备的日记治理。

　　“我们的防火墙每天生成几十万日记到LogRhythm，”Agee暗示，该市当局有时辰也会收到来自联邦的安然警报相干的feed。集中化防火墙和IPS日记feed，和办事器日记，可以或许帮忙该市的安然人员从单点肯定可能触及报复打击的收集安然标题问题，和可以或许被人力资本或治理更好地措置的员工web利用标题问题。

　　在一家企业中有如斯同化的防火墙组合多是特例，其实不常见。Gartner阐发师Greg Young在6月的Gartner安然与风险治理峰会上暗示，Gartner发现大年夜大都公司只利用一家供给商的产品。Gartner一向大年夜力倡导利用下一代防火墙，对下一代防火墙(NGFW)，Gartner估计，此刻只有不到8%的企业利用NGFW，不外这个数字在五年内估计将爬升至30%以上。

　　Young还指出，很较着，SSL VPN已完全转移到该防火墙中，不再作为伶仃的自力的SSL VPN产品。

　　事实上，防火墙和IPS仿佛无处不在。此中一个例子是Fortinet Secure Wireless LAN，这根基上是一个集成到统一威胁治理设备(撑持防火墙和IPS功能)的无线接进点和互换机。按照Fortinet营销副总裁John Maddison暗示，该产品在零售连锁店很风行，它可以或许以合适成本效益的编制帮忙零售店获得无线收集笼盖和安然呵护。

　　连锁餐厅Jack-in-the-Box比来在其数百家连锁店摆设了650台FortiWiFi-60CS设备，这些设备连络了无线接进和防火墙/IPS。该公司IT主管Jim Antoshak暗示，Jack-in-the-Box餐厅旧的无线点此刻可以“退休”了，这些Fortinet设备将是紧凑型无线和安然的连络体。

　　一个论据?

　　业界的辩论首要环绕两个标题问题：多用处防火墙/IPS可否像自力设备那么有效?互换机或路由器内的安然模块呢?

　　与思科和瞻博收集一样，惠普供给针对防火墙和进侵防御的安然模块，这类安然模块可用于该供给商的互换机和路由器中。但惠普TippingPoint副总裁兼企业安然产品总经理Rob Greer暗示，当触及进侵防御时，惠普看到的首要摆设仍然是专门的自力的设备。他指出，从机能和细粒度节制来看，这凡是被觉得是惠普下一代利用感知IPS的最好编制。

　　思科收集安然和产品营销高级主管Mike Nielsen暗示，思科发卖的大年夜部门防火墙和IPS产品是“专用安然设备”。其Adaptive Security Appliance系列中的ASA 5585-X系列据称具有40Gbps防火墙吞吐量，Nielsen暗示在IPS这可以进步到80Gbps，IPS还包含一个利用节制功能，按照Gartner的定义，这是它被称为“下一代防火墙”的最首要的元素。

　　Sourcefire公司手艺研究组安然策略副总裁Jason Brvenik觉得，“在企业应对不竭改变的最新威胁时，专用设备可以或许给你更多自由。”

　　Check Point产品营销主管Fred Kost暗示，需要高吞吐量和低延迟性的客户凡是会选择专用功能。但他指出，中小企业客户常常发现多用处防火墙网关和统一威胁治理设备已够用。Check Point也在争夺“下一代”的称号，该公司比来就增加了“威胁仿真刀片”作为防火墙模块。威胁仿真刀片可以安然地“引爆”沙箱中的文件，试图发现零日报复打击。它采取了与Palo Alto在其下一代防火墙中Wildfire威胁检测不异的编制。

　　此刻，沙箱的设法正在迎头赶上。例如，McAfee比来收购了防火墙/VPN/IPS供给商Stonesoft和ValidEdge来加强其沙箱手艺。

　　NSS尝试室阐发师Iben Rodriguez暗示，对防火墙和IPS的测试表白，在防火墙上运行多个安然办事必定会对机能和效力带来不好的影响。Neohapsis尝试室研究主管Scott Behrens对这个标题问题总结了一个常识性的编制：“假定我是买家，我会问，‘这个***包可否知足我的企业需求?’”

　　在犹他州的Weber县当局，Matt Mortensen是奥格登市的信息安然官，本地的防火墙/IPS吞吐量需求不超越约10Gbps。多功能戴尔SonicWall Network Security Appliance E8500模型与IPS、URL过滤及杀毒软件一向可以或许很好地撑持该县1200名员工利用的收集，比来他们打算进级到更强大年夜的SonixWall 9400。该县还摆设了几个思科ASA，包含思科ASA 5505防火墙—专门用于与法令法律相干的把持，例如电信***数据。

　　SonicWall防火墙的一些很是有价值的用处是：出于安然启事经由过程利用法度节制来禁止Skype或乃至Java，Mortensen还利用SonicWall来限制带宽。

　　“我还履行IP过滤，不承诺用户拜候某些处所，例如东欧、南美或中国，”Mortensen指出犹他州与这些处所没有营业来往，因此我们出于安然考虑对其进行禁止。该县还履行进站地舆IP过滤。Mortensen还设置了防火墙来进行出口过滤，以查看僵尸勾当的迹象。

　　互联网的世界此刻很危险，良多大年夜学也开端采纳安然办法。往年四月，麻省理工学院(MIT)在收到一个假的炸弹威胁后决定摆设安然策略。

　　“此刻，MIT收集上的系统每天城市遭到来自世界各地不计其数的未经授权连接，这导致MIT每天城市新增10个被盗用户账号，”MIT向其学术委员会诠释说，MIT将基于防火墙根本举措措施来开端禁止来自MIT收集外部的流量。

　　防火墙和IPS在将来将没法知足需求?

　　防火墙和IPS可以说是“多才多艺”，不但可以作为硬件设备，还可以作为软件，有时辰它们专门旨在鞭策安然性到虚拟桌面和办事器环境中—首要基于VMware、微软Hyper-V、Red Hat的内核虚拟机(KVM)或开源Xen治理法度(比来Citrix将其捐赠给Linux基金会)。让一些防火墙软件懊丧的是，在过往几年，VMware经由过程其本身的基于软件的虚拟防火墙节制也加进了这个阵营。

　　Check Point公司的Kost承认，“虚拟化正在带来新的挑战，我们此刻看到的是，他们需要更多防火墙，”他指出，Check Point 21000和61000代表着Check Point正在鞭策撑持基于VMware的收集。别的VMware本身有“VCloud收集和安然”可用于成立基于VM的防火墙。

　　Sourcefire公司手艺研究组安然策略副总裁Jason Brvenik暗示，所有这一切都提出了一个标题问题，此刻事实谁在掌控防火墙和IPS范畴。

　　基于虚拟机的编制来进行防火墙和IPS正在不竭增加

　　上个月，WatchGuard方才向其XTMv统一威胁治理平台增加了Hyper-V撑持。瞻博收集产品和策略副总裁Karim Toubba对峙觉得“防火墙此刻应当是虚拟情势，它不再是之前的情势，”并指出瞻博收集的编制撑持KVM和VMware。“外围已变得很有弹性，在私有云环境中，我们希看防火墙更具弹性。”

　　Nielsen暗示思科有ASA 1000-V Cloud Firewall。Sourcefire本年春季推出了其第一款下一代防火墙FirePower，该公司也开辟了一种编制来过滤来自Xen、KPM和VMware工作负载环境的治理法度流量。但他承认，与更传统的IPS比拟，这可能存在一些机能挑战。

　　Palo Alto Networks公司Chris King暗示，愈来愈多的客户开端同时利用其物理和虚拟化下一代防火墙。

　　可是，NSS尝试室阐发师John Pirc警告说，基于治理法度的防火墙和IPS仍然相当新，有个标题问题是防火墙/IPS供给商其实不老是撑持多虚拟化平台。NSS尝试室可能本年会在其实验室测试基于虚拟机的安然性。

　　但是，按照Gartner暗示，虚拟化防火墙只占全部防火墙的5%不到。Young暗示，虚拟化防火墙在特定环境下会让工作变复杂，即关于它们应当由收集运营组仍是办事器运营组来治理的标题问题。他指出：“在这个虚拟版本中，存在谁治理甚么的复杂性。”

　　企业正在不竭将数据和数据措置发送到云办事供给商的收集--这有多是平台即办事、根本举措措施即办事，或软件即办事，这类云计较的鼓起也引发了大年夜家对防火墙和IPS的将来的思虑。此刻，你在云办事(例如亚马逊)所做的把持与你在企业内部的把持鲜少有联系，并且，此刻防火墙和IPS首要位于企业内部。

　　与此同时，安然行业还要应对软件定义收集的呈现和CloudStack及OpenStack的利用。

　　“这是一个倾覆性的改变，”Toubba觉得，他还指出瞻博收集觉得基于软件的防火墙等其他安然办事可以摆设到SDN和云计较手艺。

　　草创公司Bromium初创人兼首席手艺官Simon Crosby(在XenSource被Ctrix收购前，他曾任该公司XenSource初创人兼首席手艺官)其实不觉得传统防火墙和IPS(或“下一代”甚么)是谜底。他暗示，公共云手艺和OpenStack是鞭策工作冲破的首要力量。

　　Crosby指出，安然行业已大年夜范围“破产”，并且供给商在“扯谎”，他警告说“任何断言可以检测到报复打击者的手艺都是存在标题问题标。”他觉得更好地实现虚拟机安然的编制将经由过程基于CPU呵护和“硬件隔离”来实现，“硬件隔离”是以一类别致的编制操纵内置英特尔和ARM芯片安然功能。Bromium的vSentry虚拟化安然运作编制正如虚拟机内的虚拟机，对windows的报复打击代码，先隔离再“丢弃”。

　　这类新设法是不是可以或许阐扬感化仍然有待不雅察。

　　Gartner的Young暗示，即将到来的SDN手艺其实不料味着物理互换机将退出汗青舞台，他指出，这类不成熟的收集情势将为经由过程节制器编排利用法度和主动化办事链带来新的编制。但是，标题问题是这类手艺必定会影响此刻防火墙的运作编制，今朝并没有针对SDN的坚实的安然模型，Young暗示：“今朝的SDN安然机制其实是化为乌有。”