下一代广域网防火墙

当前一代防火墙的另外一个限制是它处理HTTP流量的方式。由于这些数据包的负载使用SSL加密，因此传统防火墙没法使用DPI来肯定流量是否是构成要挟或违背了企业网络使用策略。下一代防火墙需要能够解密SSL加密的有效负载以查找利用程序标识符/签名。履行此检查并利用策略后，允许的流量将在转发到其目的地之前重新加密。

我们向一家医疗机构的IT高级主管询问了当前防火墙的局限性。他表示，传统防火墙不提供利用层过滤，因此如果您在第3层以上遭到攻击，“您就是敬酒”。他还表示，他的组织一直在斟酌添加其他安全功能，例如IDS、IPS和NAC(网络访问控制)。但是，他想要的是避免具有大量安全装备的复杂性。他更喜欢有一个“类固醇防火墙”来提供所有这些功能。这突出了下一代防火墙的另外一个要求：多千兆吞吐量。