摘要：熟悉网络安全的人都知道，防火墙凭借其成熟的访问控制技术，已占据了IT硬件安全市场的半壁江山，凡是需要接入、访问控制的网络就必然有防火墙的身影。让笔者带你一起盘点一下网络安全产品之防火墙。

　　目前对于防火墙来说似乎充满了质疑，来自各方的批评之声络绎不绝，难道防火墙真的来到了生死边缘了吗？答案当然不是了，防火墙市场虽然看似有些沉闷，被UTM打压的抬不起头来，但事实确是防火墙技术在孕育着下一次的全面爆发！让我们来看看在防火墙市场已经有着怎样的改变！
　　
　　熟悉网络安全的人都知道，防火墙凭借其成熟的访问控制技术，已占据了IT硬件安全市场的半壁江山，凡是需要接入、访问控制的网络就必然有防火墙的身影。
　　
　　随着互联网的发展，各类网络应用层出不穷，用户的网络业务需求渐渐由最初单纯的浏览网页、收发电邮向更复杂的应用转变，如视频会议、即时通讯、网络社交、在线视频、网上银行等。网络规模也逐渐由百兆过渡到千兆。需求带来变革，然而市场上的防火墙产品在这场变革中并没有带来令人期许的卓越表现。虽然宣称的性能吞吐指标与日俱增，5G、8G、甚至10G、20G……但是，令用户不解的是实际使用效果往往与宣称的吞吐性能相差甚远，甚至在大流量下出现死机或断网现象，给用户带来诸多不便。
　　
　　只有用户不断地提出需求，信息安全产业才能实现快速发展，作为存在已久的防火墙产品更是要因需而变。业界对于防火墙的抨击和质疑，多是因为传统防火墙2～4层工作原理的局限。如今，防火墙这一“先天劣势”在新一代防火墙设计和生产中已经发生了本质的改变。
　　
　　纵观信息安全产业发展历程，我们发现十几年中防火墙技术经历了多次重大的变革。与路由器同时出现的第一代防火墙技术，采用了包过滤技术，实现了简单的ACL功能；进入90年代，第二、三代防火墙面世，在用户需求的基础上防火墙发生了改变，应用层防火墙（代理防火墙）的雏形建立；随后第四代防火墙基于动态包过滤（Dynamicpacketfilter）技术，为状态监控技术奠定了基础；到1998年第五代防火墙更新了安全代理（Proxy）技术，给防火墙赋予了全新意义；如今随着安全网关性能瓶颈的打破，UTM（统一威胁管理）等新一代防火墙产品迅速推出市场，拉开了安全网关激烈竞争的序幕。防火墙这一系列的变革都与用户更高的要求有着不可分割的关系。
　　
　　美国超级计算机中心的安全专家曾指出指出，新一代防火墙必须克服先天的缺陷，首先是解决单点故障问题，其次要实现统一的策略管理，最后对于来自企业内部人员的安全威胁也必须形成有效的管控。
　　
　　越来越多的证据显示，安全体系的建设绝不仅依赖于一款产品，整合安全已是大势所趋。只有让用户的安全策略形成有效的统一和流程化管理，实现网络各节点的安全联动，才能让用户的信息安全得到最大限度的保障。新一代防火墙拥有“按需定制”的特性，正好满足了用户新形势下的安全需求，为实现网络的统一安全管理调度提供了保证。
　　
　　云防火墙是一个最新的概念，做法是：把其防火墙升级到“云”火墙，实现动态防范、主动安全。思科认为，云火墙的出现意味着第五代防火墙的诞生（前四代分别是：软件防火墙、硬件防火墙、ASIC防火墙、UTM）。云火墙的4大特征包括：防僵尸网络/木马，防止网络内部主机感染；云检测--全球IPS联动；云接入—SSLVPN;云监控--唯一支持Netflow的防火墙，实现了NOC和SOC的二合一。
　　
　　云火墙的“大脑”是SensorBase，SensorBase的前身是SenderBase。在思科以8.3亿美元收购IronPort之后，思科得到了SenderBase，SenderBase是全球最大的邮件流量监控网络，提供全球安全威胁实时视图和电子邮件的“信用报告服务”。思科将SenderBase改名为SensorBase，并在SensorBase中加入了僵尸网络主控数据库，使其能够敏感监控僵尸网络的动态。SensorBase还增加了动态策略，如果某个互联网地址有问题就会被阻断。
　　
　　作为另一个X字头的产品系列，天融信最新推出的X-Firewall则将着眼点放在了按需定制方面。本土厂商对于用户需求的深入了解，往往能形成强有力的产品优势。
　　
　　X-Firewall在设计上更加强调一体化和模块化，以达成对安全策略的统一管理和调度。为了真正实现安全按需定制的目标，天融信自主研发的TOS安全操作系统成为该系统架构上的最大亮点之一。该操作系统不但实现了多种安全功能的融合，在统一策略管理方面也达到了相当的水准，打破了很多掌握在国外厂商手中的技术壁垒。