下一代防火墻"NGFW"，一個(gè)從產(chǎn)生到日漸成熟仍舊擁有一定熱度的詞匯，相較于傳統(tǒng)的防火墻，NGFW的安全性能有了很大的提升，體現(xiàn)了極強(qiáng)的可視性、融合性、智能化。本文來和大家說說下一代防火墻的"三個(gè)"。

下一代防火墻"NGFW"，一個(gè)從產(chǎn)生到日漸成熟仍舊擁有一定熱度的詞匯，相較于傳統(tǒng)的防火墻，NGFW的安全性能有了很大的提升，體現(xiàn)了極強(qiáng)的可視性、融合性、智能化。本文來和大家說說下一代防火墻的"三個(gè)"。

下一代防火墻發(fā)展的三個(gè)拐點(diǎn)

事物的更新迭代是必然的，就像是一個(gè)朝代的興起與衰落，而防火墻性能的提升自然也不會例外，于是下一代防火墻應(yīng)景而生。同很多新生事物一樣，它也需要慢慢的發(fā)展而后變得成熟。下面我們一起看看它的經(jīng)歷。

拐點(diǎn)一：下一代防火墻的萌動發(fā)展

隨著國外用戶對應(yīng)用的增多、攻擊復(fù)雜，傳統(tǒng)的防火墻已經(jīng)不能滿足人們的需求。于是美國的PaloAlto公司率先發(fā)布了下一代防火墻的產(chǎn)品，并憑借僅有的一條產(chǎn)品線在國外市場獲得眾多用戶的青睞。2009年，著名的分析機(jī)構(gòu)Gartner年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章重新定義了防火墻，它集成了深度包檢測入侵測試、應(yīng)用識別與精細(xì)控制。這個(gè)定義一經(jīng)發(fā)布便受到了國外一些安全廠商的熱捧，認(rèn)為傳統(tǒng)防火墻十多年緩慢的發(fā)展確實(shí)越來越不匹配其網(wǎng)絡(luò)邊界第一道防線的稱號。

拐點(diǎn)二：下一代防火墻熱潮洶涌

隨著國外防火墻的升級發(fā)展，國內(nèi)廠商也紛紛發(fā)布自己的下一代防火墻以順應(yīng)網(wǎng)絡(luò)安全產(chǎn)品變革的趨勢，一股下一代防火墻的熱潮被掀起。這其中比較知名的廠商有：梭子魚、深信服、銳捷、天融信、東軟等，各家產(chǎn)品有著各自不同的特點(diǎn)?？偟膩碚f，下一代防火墻相比傳統(tǒng)的防火墻功能更加的全面，性能更是強(qiáng)勁。

拐點(diǎn)三：下一代防火墻日漸成熟

熱潮過后，廠商不斷的反思對下一代防火墻進(jìn)行改進(jìn)升級。從2011年國內(nèi)的下一代防火墻開始發(fā)展至今，這近兩年的時(shí)間過后，下一代防火墻越來越成熟，越來越被人們認(rèn)可接受。很多的用戶使用下一代防火墻來構(gòu)建自己的網(wǎng)絡(luò)安全防御體系，各行業(yè)也逐步在制定下一代防火墻的行業(yè)規(guī)范。越來越多的用戶發(fā)現(xiàn)，在選擇五花八門的各類傳統(tǒng)安全產(chǎn)品如防火墻、入侵防御、防病毒、web應(yīng)用防火墻的時(shí)候下一代防火墻似乎能更好的滿足其對網(wǎng)絡(luò)安全建設(shè)的需求，因此越來越多的用戶也逐步過渡到使用下一代防火墻的大軍中來。根據(jù)Gartner的預(yù)測，到 2014 年，35% 的企業(yè)將會安裝下一代防火墻，而60%用戶新購買的防火墻將是NGFW。相比這個(gè)數(shù)字在國內(nèi)很快就會得到驗(yàn)證?！　?/p>

NGFW對比傳統(tǒng)防火墻三大優(yōu)勢：

優(yōu)勢一，支持聯(lián)動的集成化IPS。集成的網(wǎng)絡(luò)入侵檢測，支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應(yīng)當(dāng)大于這兩部分效果的總和。例如提供防火墻規(guī)則來阻止某個(gè)地址不斷向IPS加載惡意傳輸流。在NGFW中，應(yīng)該由防火墻建立關(guān)聯(lián)，而不是操作人員去跨控制臺部署解決方案。

第二，應(yīng)用管控與可視化。應(yīng)用意識和全?？梢娦裕鹤R別應(yīng)用和在應(yīng)用層上執(zhí)行獨(dú)立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。

第三，智能化聯(lián)動。額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。如：利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

NGFW三大必備功能：

第一，基于用戶防護(hù)。傳統(tǒng)防火墻策略都是依賴IP或MAC地址來區(qū)分?jǐn)?shù)據(jù)流，不利于管理也很難完成對網(wǎng)絡(luò)狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統(tǒng)，實(shí)現(xiàn)了分級、分組、權(quán)限、繼承關(guān)系等功能，充分考慮到各種應(yīng)用環(huán)境下不同的用戶需求。此外還可集成安全準(zhǔn)入控制功能，支持多種認(rèn)證協(xié)議與認(rèn)證方式，實(shí)現(xiàn)基于用戶的安全防護(hù)策略部署與可視化管控。一些下一代防火墻產(chǎn)品的設(shè)計(jì)十分看重產(chǎn)品的實(shí)用性，對數(shù)據(jù)轉(zhuǎn)發(fā)和安全業(yè)務(wù)處理流程進(jìn)行了最大化的整合優(yōu)化。

第二，面向應(yīng)用安全。在應(yīng)用安全方面，下一代防火墻應(yīng)該包括"智能流檢測"和"虛擬化遠(yuǎn)程接入"。一方面對各種應(yīng)用深度識別；另一方面，在解決數(shù)據(jù)安全性問題時(shí)，通過將虛擬化技術(shù)與遠(yuǎn)程接入技術(shù)相結(jié)合，為遠(yuǎn)程接入終端提供虛擬應(yīng)用發(fā)布與虛擬桌面功能，使其本地?zé)o需執(zhí)行任何應(yīng)用系統(tǒng)客戶端程序就可完成與內(nèi)網(wǎng)服務(wù)器端的數(shù)據(jù)交互，實(shí)現(xiàn)終端到業(yè)務(wù)系統(tǒng)的"無痕訪問"，進(jìn)而達(dá)到終端與業(yè)務(wù)分離的目的。如，一些下一代防火墻系統(tǒng)內(nèi)置有上千種應(yīng)用的特征庫。

第三，融合安全技術(shù)，實(shí)現(xiàn)智能防護(hù)。下一代防火墻的整套安全防御體系都應(yīng)該是基于動態(tài)云防護(hù)設(shè)計(jì)的。首先，可以通過"云"來收集安全威脅信息并快速尋找解決方案，及時(shí)更新攻擊防護(hù)規(guī)則庫并以動態(tài)的方式實(shí)時(shí)部署到各用戶設(shè)備中，保證用戶的安全防護(hù)策略得到及時(shí)、準(zhǔn)確的動態(tài)更新，如：一些NGFW供應(yīng)商就采取了"全球化"的網(wǎng)絡(luò)安全響應(yīng)機(jī)制；其次，通過 "云"，使得策略管理體系的安全策略漂移機(jī)制能夠?qū)崿F(xiàn)物理網(wǎng)絡(luò)基于"人"、虛擬計(jì)算環(huán)境基于"VM"（虛擬機(jī)）的安全策略動態(tài)部署。

第一，集成化、單引擎：UTM也提供多種安全功能的單一設(shè)備，盡管也包含第一代防火墻和IPS功能，但它們不提供應(yīng)用意識功能，而且不是集成的、單引擎產(chǎn)品，它只是把多種安全引擎疊加在了一起，這會使數(shù)據(jù)流在每個(gè)安全引擎分別執(zhí)行解碼、狀態(tài)復(fù)原等操作，導(dǎo)致大量的資源消耗。而NGFW產(chǎn)品自設(shè)計(jì)之初，就采用了一體化的引擎。

第二，能適應(yīng)不同規(guī)模的企業(yè)：UTM適合在分支辦事機(jī)構(gòu)中節(jié)省費(fèi)用，適用于較小的公司，但滿足不了大型企業(yè)需要。

第三，性能更強(qiáng)，管理更高效：傳統(tǒng)UTM在功能疊加上無法實(shí)現(xiàn)應(yīng)用高效，在管理控制上也有不足之處。一些UTM設(shè)備有很多功能，如：防火墻、上網(wǎng)行為、應(yīng)用識別、IPS等，但這僅僅是各種功能的堆疊，當(dāng)這些功能全開時(shí)，性能會大打折扣。下一代防火墻采用一體化引擎，可一次性對數(shù)據(jù)流完成識別、掃描，達(dá)到更高的性能，通過融合，還可讓管理者更加輕松。如，德國一家企業(yè)用了3000臺下一代防火墻，卻只需2個(gè)網(wǎng)管人員，這是因?yàn)樗幸粋€(gè)集中設(shè)備管理器，以此可以高效低監(jiān)控所有設(shè)備。

關(guān)于NGFW的三大爭論：

爭論一，NGFW就是個(gè)加強(qiáng)型的UTM。

這種觀點(diǎn)認(rèn)為，與UTM相比，下一代防火墻并沒有本質(zhì)的區(qū)別。二者在功能上確實(shí)有相似之處，都強(qiáng)調(diào)安全功能的整合。UTM是集成了常用安全功能的設(shè)備，包括傳統(tǒng)防火墻、網(wǎng)絡(luò)入侵檢測與防護(hù)和網(wǎng)關(guān)防病毒功能，并且可能會集成其他一些安全或網(wǎng)絡(luò)特性。但如前所述，NGFW并非簡單地對UTM的加強(qiáng)。

爭論二，NGFW純粹是廠商概念炒作，沒什么新東西。

這種觀點(diǎn)認(rèn)為，下一代防火墻只是安全廠商在遭遇市場瓶頸后的新一輪概念炒作，并沒有本質(zhì)的功能提升。我們不能完全排除一些廠商炒作的成分，但從客戶需求本身來，傳統(tǒng)的防火墻已然在應(yīng)對新的安全威脅中力不從心，市場呼喚有一種新的更加有效安全防護(hù)方式來應(yīng)對這些新威脅。下一代防火墻的應(yīng)運(yùn)而生也就不能稱之為炒作。

爭論三，NGFW其實(shí)早就有，只是沒歸納成概念。

一些廠商認(rèn)為，從與用戶企業(yè)的溝通中，根據(jù)用戶的需求，在自家產(chǎn)品中很早就將"應(yīng)用管控"、"可視化"等功能融入其中，這已經(jīng)符合了下一代防火墻的思路和理念。但只是并未概念化，將其歸納為"下一代"。但實(shí)際上，業(yè)界對下一代防火墻的的幾個(gè)必備要素已經(jīng)基本達(dá)成共識，只有擁有這些基本要素的才可稱為下一代防火墻.

對于用戶企業(yè)而言，面對業(yè)界紛紛擾擾的概念爭論和林林總總的新產(chǎn)品，應(yīng)避免對廠商包裝后的概念的膚淺認(rèn)識，理解NGFW和UTM的本質(zhì)特性，而不必拘泥于尚未完全統(tǒng)一的概念本身。最重要的是，在此基礎(chǔ)上，根據(jù)本企業(yè)的新的安全需求，選用最適合的安全產(chǎn)品和解決方案。