許多組織采用防火墻作為抵御惡意攻擊和惡意行為的安全預(yù)防措施。防火墻的目標(biāo)是防止非法訪問(wèn)私有網(wǎng)絡(luò)或阻止來(lái)自私有網(wǎng)絡(luò)的非法訪問(wèn)；通過(guò)基于端口和協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾和路由加固網(wǎng)絡(luò)和其他世界之間的邊界。自誕生以來(lái)，防火墻已經(jīng)升級(jí)到能夠提供全面保護(hù)，具備了阻止未知威脅、自動(dòng)響應(yīng)事件和發(fā)現(xiàn)潛在威脅的功能。

事實(shí)證明傳統(tǒng)防火墻已擾亂某些市場(chǎng)，它們無(wú)法提供應(yīng)有的保護(hù)，且無(wú)法提供抵御現(xiàn)代威脅所需的可視性或響應(yīng)能力。例如，如果我們放眼亞太區(qū)之外，就會(huì)發(fā)現(xiàn)美國(guó)、德國(guó)和澳大利亞等市場(chǎng)上的IT經(jīng)理聲稱(chēng)不知道70％的網(wǎng)絡(luò)流量的真實(shí)性質(zhì)，并強(qiáng)調(diào)傳統(tǒng)防火墻隱藏著“不可告人的秘密”。

為了有效保護(hù)您的環(huán)境，具備完整的防火墻可視性至關(guān)重要。然而，傳統(tǒng)防火墻無(wú)法跟上網(wǎng)絡(luò)威脅如今的進(jìn)化速度。由于網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)犯罪的進(jìn)化速度非�？�，IT經(jīng)理在監(jiān)控流量方面面臨困難，導(dǎo)致無(wú)法發(fā)現(xiàn)威脅。但在亞太區(qū)，企業(yè)防火墻市場(chǎng)的價(jià)值在2017年為31億美元，預(yù)計(jì)到2023年達(dá)到60．2億美元。這表明企業(yè)依然首選將防火墻作為重要的安全組件。

雖然我們看到防火墻投資預(yù)計(jì)將會(huì)增長(zhǎng)，但不妨看一下傳統(tǒng)防火墻、甚至下一代防火墻隱藏的不可告人的秘密。建立現(xiàn)代化的下一代防火墻的唯一目的是抵御WannaCry和NotPetya等集中出現(xiàn)的威脅，但這些威脅依然能夠爆發(fā)至全球規(guī)模，獲得訪問(wèn)權(quán)限，并通過(guò)公司網(wǎng)絡(luò)傳播。原因何在？一個(gè)難以接受的事實(shí)是，下一代防火墻無(wú)法像管弦樂(lè)隊(duì)一樣發(fā)揮廣泛作用，只能唱唱獨(dú)角戲�？傆蟹椒ㄓ糜诖_保防火墻發(fā)揮應(yīng)有作用，從而提供抵御現(xiàn)代威脅所需的可視性和響應(yīng)能力。

IT決策者需要知道任何網(wǎng)絡(luò)安全解決方案都不是生而平等的，我們已經(jīng)知道一些防火墻的入侵防護(hù)系統(tǒng)（IPS）可以阻止超過(guò)90％的威脅，但也有一些表現(xiàn)較差的防火墻，只能阻止25％的威脅。幸運(yùn)的是，有獨(dú)立的測(cè)試組織每年會(huì)對(duì)所有主流防火墻供應(yīng)商的安全有效性進(jìn)行測(cè)試。

時(shí)間就是金錢(qián)，建立任何無(wú)效的系統(tǒng)都是對(duì)資源的浪費(fèi)。建立防火墻的組織通常需要單獨(dú)配置防火墻規(guī)則、應(yīng)用控制、TLS檢驗(yàn)、沙盒機(jī)制、網(wǎng)絡(luò)過(guò)濾、殺毒和IPS。IT決策者在采購(gòu)防火墻時(shí)應(yīng)尋找可提供簡(jiǎn)易和可行的可視度的整合系統(tǒng)。對(duì)于組織而言，最有效的系統(tǒng)是能夠識(shí)別未知應(yīng)用和協(xié)同工作的同步系統(tǒng)，以便提供對(duì)網(wǎng)絡(luò)中所有流量的可視性和可控性。

任何事情都講求天時(shí)地利，只要有流量進(jìn)入防火墻，IPS和沙盒機(jī)制等計(jì)劃才能發(fā)揮作用。簡(jiǎn)言之，必須確保對(duì)網(wǎng)絡(luò)進(jìn)行適當(dāng)分段并正確部署防火墻。這些措施將對(duì)防火墻提供實(shí)時(shí)防護(hù)的水平產(chǎn)生重大影響。

總之，要能夠透過(guò)迷霧獲得完整、清晰的可視性，防火墻系統(tǒng)必須進(jìn)行集成并具備與其他系統(tǒng)協(xié)同工作的能力。防火墻需要具備適應(yīng)現(xiàn)代威脅的靈活性，并且能夠從一個(gè)點(diǎn)進(jìn)行控制。