传统防火墙，下一代防火墙，Web应用防火墙，UTM，云防火墙等等，你是否被这些名词搞的不知所以，它们究竟是厂商的概念炒作还是真有其用？纷繁复杂的防火墙市场中，谁将脱颖而出，带领企业走向未来的安全之路？今天，我们就来探讨一下防火墙的发展现状及趋势。

　　纷杂的防火墙市场

　　防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它会依照特定的规则，允许或是限制传输的数据通过。从1991年6月ANS公司的第一个防火墙产品ANS Interlock Service防火墙上市以来，防火墙市场已经经历了二十年的发展，由最初的包过滤发展到现在的一体化安全网关。

　　然而，各具特色的防火墙并没有为企业安全带来性能上的大幅提升，反而让企业迷失在功能的抉择上。概念多于实例的防火墙市场中，究竟什么样的产品才能满足客户需求？厂商眼中的防火墙市场又是怎样的？

　　像Web应用防火墙（WAF）这样专一功能的防火墙很被人看好。Web应用防火墙可以保证基于Web的恶意软件不踏足你的企业内部。它也可以阻止黑客利用漏洞进入OSI第7层，反过来说，它可以防止进一步的侵入。随着Web应用攻击呈上升趋势，此类防火墙产品受到用户的青睐。关于Web应用防火墙产品的选择，可参考《2011年最佳Web应用防火墙产品》。

　　再来看一下UTM（统一威胁管理）。UTM具有强大的功能，它像是众多产品的融合体。常见的UTM功能如下：

　　传统的防火墙保护

　　入侵检测和防御

　　虚拟专用网络（VPN）

　　内容过滤

　　网关恶意软件过滤

　　垃圾邮件过滤

　　数据丢失防护（DLP）

　　漏洞管理

　　然而，UTM这种大而全的特性也有其缺点，往往性能和稳定性跟不上，似乎无法满足电信级类的企业。对于有兴趣增强其周边安全服务的中小型企业而言，UTM设备是很合算的。关于UTM产品的选择，可参考《2011年最佳统一威胁管理（UTM）产品》。

　　常拿来与UTM比较的当属下一代防火墙（NGFW）了，下一代防火墙的出现比UTM晚，很多人都处于观望状态，觉得它与UTM没什么大的区别。下一代防火墙的概念是由Gartner提出的，Gartner预测，未来NGFW势必会取代传统防火墙。NSS Labs也对NGFW产品进行过测试，可见其也有意推动NGFW。

　　近日，Web应用防火墙和下一代防火墙的提供商梭子鱼网络有限公司（Barracuda Networks Inc.）的CEO Dean Drako，对此也谈了自己的看法。他表示，“在整个攻击里，攻击者们通常有四种方式进行攻击。第一种是通过邮件，在邮件中有病毒、木马、恶意软件等；第二种是通过浏览器，你浏览一些网站，下载一些东西，然后一些恶意的东西就在里面发酵；第三种是通过网络，攻击某一个端口或设备；第四种是攻击网站。”

　　“与四种不同的攻击方式对应着四种产品。邮件对应的是垃圾邮件和病毒防火墙，浏览器对应的是网页过滤，互联网对应的是传统的防火墙，而网站对应的则是Web应用防火墙。”

　　他解释道，“将针对浏览器的产品和针对网络的产品结合起来就是下一代防火墙，有些人叫它做下一代防火墙，有些人叫它UTM，其实都是一样的，只是不同的市场手段而已。”

　　图为梭子鱼CEO Dean Drako

　　对于我们前面提到的Web应用防火墙，Dean这样说道，“一些用户会在网站前端放一个防火墙，同时还会放一个Web应用防火墙（WAF），把两个放在一起。但是一些有经验的IT经理会知道在网站前端只需放一个Web应用防火墙就足够了。”

　　从Dean的谈话中，我们可以了解到，对厂商而言，UTM和下一代防火墙实质上是没有不同的，同时厂商对与Web应用防火墙也有足够的信心和期待。

　　防火墙路在何方？

　　虚拟化，云计算，移动化正在给整个IT界带来巨大的变革，厂商们又开始提出了“云火墙”的概念。思科认为，云火墙具有以下四大特征：防僵尸网络/木马，防止网络内部主机感染；云检测——全球IPS联动；云接入——SSL VPN；云监控——唯一支持Netflow的防火墙，实现了NOC和SOC 的二合一。

　　不管是云火墙，下一代防火墙，还是未来会不会出现什么雨火墙之类的，我们只希望这些都不是浮云。也许未来的趋势是低端市场需要功能融合的防火墙，而高端市场需要功能专一的防火墙，但无论怎样，只有满足客户需求，在实际使用中可以提供良好效率和安全性的防火墙才是王者。