新型的防火墙技术有哪些

• 应用识别的能力

　　识别的广度和深度是应用识别最重要的指标，也是下一代防火墙区别于传统防火墙的重要特征。在应用识别广度方面，业界领先的NGFW产品应用识别数量基本在3000以上。类似网康等专注于应用领域技术的厂商，目前应用识别数量应该都在4000以上。除了识别数量足够广之外，识别深度也更为重要。例如，企业可能会仅允许QQ聊天，但禁止QQ游戏；对跑在HTTP上的应用，能够精准识别出该应用的具体用途；同时，能够从逃逸，带宽等多个维度去判断应用属性是否安全，比如限制P2P等流量耗费型且安全性不高的应用带宽。同时，应用识别的结果还将提高后期智能联动的防护效率，例如：SQL Server流量仅和SQL Server相关特定漏洞进行IPS防护，从而提升性能，降低误报率。

• 功能与性能兼备

　　下一代防火墙融合IPS的防护，同时各厂家根据各自的理解还集成了其他更多的功能，但是有的厂商集成过多功能，甚至是集成Web应用防火墙这样产品功能，严重导致NGFW性能下降，甚至出现死机现象。因此客户在选择产品时不能仅看到功能的全面性，却忽视了开启这些功能后的性能衰减。不然后期只能被迫禁用一些应用层防护的功能模块，导致下一代防火墙变成了传统防火墙或者UTM。业内权威机构认为，优秀的下一代防火墙产品开启IPS功能后整机性能下降不应超过50%。

• 可视化（visibility）和智能分析能力

　　随着网络快速发展，各式各样复杂威胁层出不穷，用户需要更加及时的掌握网络现状、风险、威胁、事件以及防御效果等用于支撑安全决策。这就需要下一代防火墙具备良好的可视化和智能分析能力，帮助用户看得清威胁，防得住攻击。因此，真正的“可视化智能管理”应该是在多维统计的基础上加以深入的分析，从应用和用户视角多层面的将网络应用的状态展现出来。同时，通过引入外部威胁情报，实现安全态势感知和风险预测功能，解决单机设备与生俱来的短板，以帮助用户更加快速的了解网络风险并及时部署防御措施。