深信服下一代防火墙

投入产出比高

多功能开启性能良好

提供完整的应用层攻击防护

Web攻击防护OWASP4星

应用层性能高，不影响业务

双向内容检测，防泄密防篡改，提供事后补偿

实现L2-L7层访问控制

L2-L7层攻击防御能力，提供信息防泄露

多功能开启性能无影响，保证可靠性

VPN安全互联

VPN隧道内流量清洗，不影响总部业务

一台搞定，性价比高

发展趋势及需求

目前，国内外的下一代防火墙的发展非常迅速，大部分安全厂商都发布了下一代防火墙产品，甚至包括一些在传统防火墙领域里的绝对领导者都在推下一代防火墙。而作为下一代防火墙的首创者PaloAlto更是快速的在Gartner魔力四象限里成为了企业防火墙市场的领导者。但从国内实际接受程度上看，下一代防火墙想替代传统防火墙还需要进行较多的市场投入。黄海表示，"让客户认识到下一代防火墙是能够给现有的安全管理带来改变是需要时间和金钱的。尤其是，中国市场相对海外可能会更加保守，市场化的完善程度也稍差，这些原因会导致下一代防火墙所蕴含的新理念和新技术在推行方面遇到更多障碍和阻力。"

黄海继续谈到，目前，从企业用户的需求来看，不断增长的下一代防火墙需求，反应出的是当前企业用户对高性价比的基础网络安全功能的需求。随着安全技术的进步和黑客文化的流行在不断的演变，十年前说到基础网络安全功能，很多企业客户想到的就是传统防火墙，能够划分安全域，能进行访问控制就行。但是近几年应用、僵尸网络、蠕虫、木马、APT攻击的泛滥都在不断的给很多企业客户敲响警钟，企业必须部署IPS和内容级安全设备来增加整个网络系统的安全防护和管控能力。但专业的IPS设备与传统防火墙设备相比可谓要价不菲，如果真的升级网络安全系统的话，对企业来说，它的资金消耗是非常庞大的。所以这个时候就需要有性价比更为优越的安全设备出现来解决企业客户在资金和安全需求之间的矛盾关系。所以下一代防火墙这个时候出现。

2009年，著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为"下一代防火墙"。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。由于采用的是基于服务的架构与Web2.0使用的普及，更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行，这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查，但却不能有效的识别与阻止应用程序的滥用，更不用说对于应用程序中的具体特性的保护了。

Gartner将网络防火墙定义为在线安全控制措施，即:可实时在各受信级网络间执行网络安全策略。Gartner使用"下一代防火墙"这一术语来说明升级防火墙的必要性，以应对业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。

下一代防火墙需具有下列最低属性:

·支持在线BITW(线缆中的块)配置，同时不会干扰网络运行。

·可作为网络流量检测与网络安全策略执行的平台，并具有下列最低特性:

1)标准的第一代防火墙功能:具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等。

2)集成式而非托管式网络入侵防御:支持基于漏洞的签名与基于威胁的签名。IPS与防火墙间的协作所获得的性能要远高于部件的叠加，如:提供推荐防火墙规则，以阻止持续某一载入IPS及有害流量的地址。这就证明，在下一代防火墙中，互相关联作用的是防火墙而非由操作人员在控制台制定与执行各种解决方案。高质量的集成式IPS引擎与签名也是下一代防火墙的主要特性。所谓集成可将诸多特性集合在一起，如:根据针对注入恶意软件网站的IPS检测向防火墙提供推荐阻止的地址。

3)业务识别与全栈可视性:采用非端口与协议vs仅端口、协议与服务的方式，识别应用程序并在应用层执行网络安全策略。范例中包括允许使用Skype但禁用Skype内部共享或一直阻止GoToMyPC。

4)超级智能的防火墙: 可收集防火墙外的各类信息，用于改进阻止决策，或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

·支持新信息流与新技术的集成路径升级，以应对未来出现的各种威胁。