2009年对于防火墙来说似乎充满了质疑，来自各方的批评之声络绎不绝，难道防火墙真的来到了生死边缘了吗？答案当然不是了，09年防火墙市场看似有些沉闷，被UTM打压的抬不起头来，但事实确是防火墙技术在孕育着下一次的全面爆发!让我们来看看在09年防火墙市场有着怎样的改变!

　　质疑——防火墙跟不上时代的脚步

　　熟悉网络安全的人都知道，防火墙凭借其成熟的访问控制技术，已占据了IT硬件安全市场的半壁江山，凡是需要接入、访问控制的网络就必然有防火墙的身影。

　　随着互联网的发展，各类网络应用层出不穷，用户的网络业务需求渐渐由最初单纯的浏览网页、收发电邮向更复杂的应用转变，如视频会议、即时通讯、网络社交、在线视频、网上银行等。网络规模也逐渐由百兆过渡到千兆。需求带来变革，然而市场上的防火墙产品在这场变革中并没有带来令人期许的卓越表现。虽然宣称的性能吞吐指标与日俱增，5G、8G、甚至10G、20G......但是，令用户不解的是实际使用效果往往与宣称的吞吐性能相差甚远，甚至在大流量下出现死机或断网现象，给用户带来诸多不便。

　　不必要的投资：百兆网络往往需要购买千兆防火墙，千兆网络动辄需要高端甚至万兆防火墙，这在实际的用户采购中频频出现。在没有高性能作为保障前提下，防火墙越来越像多层次防御部署中的“鸡肋”。

　　希望——防火墙在质疑声中凤凰涅磐

　　只有用户不断地提出需求，信息安全产业才能实现快速发展，作为存在已久的防火墙产品更是要因需而变。业界对于防火墙的抨击和质疑，多是因为传统防火墙2～4层工作原理的局限。如今，防火墙这一“先天劣势”在新一代防火墙设计和生产中已经发生了本质的改变。

　　纵观信息安全产业发展历程，我们发现十几年中防火墙技术经历了多次重大的变革。与路由器同时出现的第一代防火墙技术，采用了包过滤技术，实现了简单的ACL功能;进入90年代，第二、三代防火墙面世，在用户需求的基础上防火墙发生了改变，应用层防火墙(代理防火墙)的雏形建立;随后第四代防火墙基于动态包过滤(Dynamic packet filter)技术，为状态监控技术奠定了基础;到1998年第五代防火墙更新了安全代理(Proxy)技术，给防火墙赋予了全新意义;如今随着安全网关性能瓶颈的打破，UTM(统一威胁管理)等新一代防火墙产品迅速推出市场，拉开了安全网关激烈竞争的序幕。防火墙这一系列的变革都与用户更高的要求有着不可分割的关系。

　　美国超级计算机中心的安全专家曾指出指出，新一代防火墙必须克服先天的缺陷，首先是解决单点故障问题，其次要实现统一的策略管理，最后对于来自企业内部人员的安全威胁也必须形成有效的管控。

　　越来越多的证据显示，安全体系的建设绝不仅依赖于一款产品，整合安全已是大势所趋。只有让用户的安全策略形成有效的统一和流程化管理，实现网络各节点的安全联动，才能让用户的信息安全得到最大限度的保障。新一代防火墙拥有“按需定制”的特性，正好满足了用户新形势下的安全需求，为实现网络的统一安全管理调度提供了保证。

　　2009年厂商看点

　　“云”火墙——思科开启全新概念

　　云防火墙是一个最新的概念，做法是：把其防火墙升级到“云”火墙，实现动态防范、主动安全。思科认为，云火墙的出现意味着第五代防火墙的诞生(前四代分别是：软件防火墙、硬件防火墙、ASIC防火墙、UTM)。云火墙的4大特征包括：防僵尸网络/木马，防止网络内部主机感染;云检测--全球IPS联动;云接入—SSL VPN;云监控--唯一支持Netflow的防火墙，实现了NOC和SOC 的二合一。

　　云火墙的“大脑”是SensorBase，SensorBase的前身是SenderBase。在思科以8.3亿美元收购IronPort之后，思科得到了SenderBase，SenderBase是全球最大的邮件流量监控网络，提供全球安全威胁实时视图和电子邮件的“信用报告服务”。思科将SenderBase改名为SensorBase，并在SensorBase中加入了僵尸网络主控数据库，使其能够敏感监控僵尸网络的动态。SensorBase还增加了动态策略，如果某个互联网地址有问题就会被阻断。

　　X-Firewall——天融信蓄势待发

　　作为另一个X字头的产品系列，天融信最新推出的X-Firewall则将着眼点放在了按需定制方面。本土厂商对于用户需求的深入了解，往往能形成强有力的产品优势。

　　X-Firewall在设计上更加强调一体化和模块化，以达成对安全策略的统一管理和调度。为了真正实现安全按需定制的目标，天融信自主研发的TOS安全操作系统成为该系统架构上的最大亮点之一。该操作系统不但实现了多种安全功能的融合，在统一策略管理方面也达到了相当的水准，打破了很多掌握在国外厂商手中的技术壁垒。

　　“泰山红日”——网御神州精心打造“小包王”

　　基于“为多核加速”的设计理念，泰山红日“小包王”采用了多核处理器+2维矩阵ASIC加速引擎技术，成功打造出了64字节小包8G线速的高性能 防火墙产品，使防火墙产品做到了从最小64字节到最大1518字节数据处理性能的全面提升，为设备的稳定及深度安全提供了有力的基础保障,为用户带来全新的安全体验。

　　64字节小包是最小的网络数据包，从设备对网络数据的处理难度讲，对64字节小包的处理能力最能体现防火墙设备的真实性能。泰山红日“小包王”防火墙产品的优越性恰恰体现在这里，64字节数据包的8G线速 处理能力，使泰山红日“小包王”轻松处理各类网络层数据。