对于防火墙，大家并不陌生，它与防病毒、入侵检测系统一起被称为安全产品的"老三样"，在安全防护的过程中，帮我们挡住了无数的攻击。然而，在应用日渐复杂、威胁愈演愈烈的今天，传统的防火墙能否依然坚固？呼声越来越高的"下一代防火墙"是否能够带给我们新的惊喜？市场对此众说纷纭。

传统防火墙尚能饭否？

早在设计之初，传统防火墙其实就存在明显缺陷，只是在几年前没有明显地表现出来，但在应用日渐丰富的今天却表现得越发明显：首先是安全方面的缺陷。传统防火墙无法对应用层进行控制和识别，无法确定是哪种应用通过了防火墙，自然就谈不上对各类网络威胁进行有效防御了。

其次是流控方面的缺陷。在用户只有一条链路时，当不同的应用在使用不同的带宽时，重要的应用如何识别并进行保障？这是传统防火墙无法兼顾的。第三就是运维管理方面的缺陷。尤其是当公司的分支机构遍布全国时，因为没有完善的策略管理，无论是部署还是管理传统的防火墙，都需要消耗大量的人力和物力，最终导致管理和维护成本居高不下。

"裱糊匠"的缝补方案不可取

很多人都会想，既然传统防火墙有这么多缺陷，那可不可以部署一台IPS，或者其他安全设备，甚至用UTM来替代？事实上，改良虽然可以暂时弥补一些缺陷，但所做的毕竟是"修修补补"的裱糊匠工作，是不可能从根本上解决问题的。此外这种做法还会带来其他的安全隐患，可谓既不治标又不治本。

因此，我们必须要改革，将防火墙进行更新换代，以满足现代网络发展的需要，这也是"下一代防火墙"产品出现的根本?因。那么，下一代的防火墙要增加哪些内容呢？首先，应该能识别出某个行为是视频还是游戏，要做到对应用层的识别，识别之后还要对应用层能进行控制。其次，还要做到基于用户的识别与控制，包括对用户当前的环境、使用的电脑或操作系统、是否感染病毒等，一旦违反安全规范就拒绝访问，以免感染整个企业网络。

Firewall＠the Speed of Cloud

不过，梭子鱼认为做到这些还不够，因为传统防火墙在运维管理方面还存在缺陷，因此需要对广域网进行分析和优化。例如，能够支持路由，可以做到对带宽的优化和控制，可以实现远程访问以便维护，并具备足够的扩展性，还能够进行集中管理。这样的下一代防火墙，才是真正的革新,才能在高速的云计算时代为企业网络应用安全觅得一席之地。

梭子鱼推出的下一代防火墙NG Firewall是一款安全、低成本、可集中性管理的私有安全云的防护产品，具备传统防火墙所没有的智能化流量管理、带宽优化和集中管理能力。该产品除了使用状态包过滤技术之外，还提供七层的应用控制技术，可以对应用层的业务加以识别、过滤和控制。

需要强调的是，梭子鱼的下一代防火墙在集中管理上也能满足用户提出的苛刻要求。举个简单的实例，德国邮政银行部署了超过2500台梭子鱼下一代防火墙，但管理这些防火墙却仅仅只有三名网络工程师，通过集中化配置、政策发布和报表反馈，工程师在总部就能进行WAN接入优化，加强了点对点流量管理性。

作为传统防火墙的技术演进，梭子鱼下一代防火墙可以说是一种七层的防火墙，它不同于UTM仅仅是一种功能的简单拼凑，而是多层防御技术的有机结合体。