防火墻必須演進(jìn)，能夠更主動地阻止新威脅(例如僵尸網(wǎng)和定位攻擊)。隨著攻擊變得越來越復(fù)雜，企業(yè)必須更新網(wǎng)絡(luò)防火墻和入侵防御能力來保護(hù)業(yè)務(wù)系統(tǒng)。

不斷變化的業(yè)務(wù)流程、企業(yè)部署的技術(shù)以及威脅正推動對網(wǎng)絡(luò)安全性的新需求。不斷增長的帶寬需求和新應(yīng)用架構(gòu)(如Web 2.0)正在改變協(xié)議的使用方式和數(shù)據(jù)的傳輸方式。安全威脅將焦點集中在誘使易受攻擊的用戶安裝試圖避免被檢測出的針對性的惡意執(zhí)行程序上。在這種環(huán)境中，簡單地強(qiáng)制要求在標(biāo)準(zhǔn)端口上使用合適的協(xié)議和阻止尋找未修補(bǔ)的服務(wù)器的攻擊不再有足夠的價值。為了應(yīng)對這些挑戰(zhàn)，防火墻必須演進(jìn)為Gartner稱之為“下一代防火墻(NGFW)”的產(chǎn)品。如果防火墻廠商不進(jìn)行這些改變的話，企業(yè)將要求降價來降低第一代防火墻的成本并尋求其他安全解決方案來應(yīng)對新的威脅環(huán)境。

什么是NGFW?

對于使用僵尸網(wǎng)傳播方式的威脅，第一代防火墻基本上是看不到的。隨著面向服務(wù)的架構(gòu)和Web 2.0使用的增加，更多的通信通過更少的端口(如HTTP和HTTPS)和使用更少的協(xié)議傳輸，這意味著基于端口/協(xié)議的政策已經(jīng)變得不太合適和不太有效。深度包檢測入侵防御系統(tǒng)(IPS)的確檢查針對沒有打補(bǔ)丁的操作系統(tǒng)和軟件的已知攻擊方法，但不能有效地識別和阻止應(yīng)用程序的濫用，更不要說應(yīng)用程序中的特殊特性了。

Gartner將網(wǎng)絡(luò)防火墻定義為在不同信任級別的網(wǎng)絡(luò)之間實時執(zhí)行網(wǎng)絡(luò)安全政策的聯(lián)機(jī)控制。Gartner使用“下一代防火墻”這個術(shù)語來說明防火墻在應(yīng)對業(yè)務(wù)流程使用IT的方式和攻擊試圖入侵業(yè)務(wù)系統(tǒng)的方式發(fā)生的變化時必要的演進(jìn)。

NGFW至少具有以下屬性：

支持聯(lián)機(jī)“bump-in-the-wire”配置，不中斷網(wǎng)絡(luò)運行。

發(fā)揮網(wǎng)絡(luò)傳輸流檢查和網(wǎng)絡(luò)安全政策執(zhí)行平臺的作用，至少具有以下特性：

1,標(biāo)準(zhǔn)的第一代防火墻能力：包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測、VPN等等。

2,集成的而非僅僅共處一個位置的網(wǎng)絡(luò)入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應(yīng)當(dāng)大于這兩部分效果的總和，例如提供防火墻規(guī)則來阻止某個地址不斷向IPS加載惡意傳輸流。這個例子說明，在NGFW中，應(yīng)該由防火墻建立關(guān)聯(lián)，而不是操作人員不得不跨控制臺部署解決方案。集成具有高質(zhì)量的IPS引擎和特征碼是NGFW的一個主要特征。

3,應(yīng)用意識和全棧可見性：識別應(yīng)用和在應(yīng)用層上執(zhí)行獨立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。例子包括允許使用Skype但關(guān)閉Skype中的文件共享或始終阻止GoToMyPC。

4,額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定，或建立優(yōu)化的阻止規(guī)則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

支持新信息饋送和新技術(shù)集成的升級路徑來應(yīng)對未來的威脅。

NGFW執(zhí)行的例子包括阻止細(xì)粒度的網(wǎng)絡(luò)安全政策違規(guī)或發(fā)出報警，如使用Web郵件、匿名服務(wù)器、對等網(wǎng)絡(luò)技術(shù)或PC遠(yuǎn)程控制。簡單地根據(jù)目的IP地址來阻止對提供這些服務(wù)的已知源地址的訪問是不夠的。政策的顆粒度要求僅阻止某些類型的應(yīng)用與目的IP地址的通信，而允許其他類型的應(yīng)用與這些目的IP地址通信。轉(zhuǎn)向器使確定的黑名單不可能實現(xiàn)，這意味著有許多NGFW可以識別和阻止的不受歡迎的應(yīng)用，即使這些應(yīng)用被設(shè)計為逃避檢查或用SSL加密。應(yīng)用識別的一個額外好處是帶寬控制，因為，消除了不受歡迎的對等網(wǎng)絡(luò)傳輸流可以大大減少帶寬的使用。

什么不是NGFW?

現(xiàn)在有一些與NGFW相鄰但不相等的基于網(wǎng)絡(luò)的安全產(chǎn)品領(lǐng)域：

中小企業(yè)多功能防火墻或UTM設(shè)備：這類設(shè)備是提供多種安全功能的單一設(shè)備。盡管它們總是包含第一代防火墻和IPS功能，但它們不提供應(yīng)用意識功能，而且不是通常集成的、單引擎產(chǎn)品。它們適合于在分支辦事機(jī)構(gòu)中節(jié)省費用，適用于較小的公司，但它們不能滿足大型企業(yè)的需要。這類產(chǎn)品包括與低質(zhì)量IPS搭配的第一代防火墻，并且/或者深度檢查和應(yīng)用控制特性只不過同時出現(xiàn)在一臺設(shè)備中而不是緊密的集成。

基于網(wǎng)絡(luò)的數(shù)據(jù)丟失防御(DLP)設(shè)備：這類設(shè)備執(zhí)行對網(wǎng)絡(luò)傳輸流的深度包檢查，但將重點放在檢測以前識別的數(shù)據(jù)類型是否經(jīng)過檢查點。它們在執(zhí)行數(shù)據(jù)安全政策時沒有實時要求，不能執(zhí)行線速度網(wǎng)絡(luò)安全政策。

安全Web網(wǎng)關(guān)(SWG)：這類設(shè)備側(cè)重于通過集成的URL過濾和Web殺毒，執(zhí)行出站的用戶訪問控制和進(jìn)站的惡意件防御。它們側(cè)重于在“使用任意協(xié)議的任意源到任意目的地”基礎(chǔ)上，執(zhí)行以用戶為中心的Web安全政策，而不是網(wǎng)絡(luò)安全政策。

消息安全網(wǎng)關(guān)：這類設(shè)備重點放在執(zhí)行容忍延時的出站內(nèi)容政策和執(zhí)行入站防垃圾郵件和防惡意件上。它們不執(zhí)行線速度網(wǎng)絡(luò)安全政策。

盡管這些產(chǎn)品可能基于網(wǎng)絡(luò)并使用類似的技術(shù)，但它們執(zhí)行屬于企業(yè)內(nèi)不同運營部門的責(zé)任和權(quán)力的安全政策。Gartner認(rèn)為在IT和安全組織責(zé)任從根本上改變之前，這些領(lǐng)域不會融合在一起。

NGFW也不是“身份防火墻”，不是一種基于身份的訪問控制機(jī)制。在多數(shù)環(huán)境中，網(wǎng)絡(luò)安全部門沒有在應(yīng)用層上執(zhí)行基于用戶的訪問控制政策的責(zé)任和權(quán)力。Gartner認(rèn)為NGFW將能夠在部門級合并身份信息來做出更好的網(wǎng)絡(luò)安全決定，但它們一般將不用于執(zhí)行細(xì)粒度的用戶級執(zhí)行決定。

NGFW將逐漸成功

目前，有一些已經(jīng)將他們的產(chǎn)品升級為提供應(yīng)用意識和一些NGFW特性的防火墻和IPS廠商和一些關(guān)注NGFW能力的新興公司。隨著防火墻和IPS更新周期的自然到來，或者隨著帶寬需求的增加，或者隨著成功的攻擊促使更新防火墻，大企業(yè)將用NGFW替換已有的防火墻。Gartner認(rèn)為不斷變化的威脅環(huán)境以及不斷變化的業(yè)務(wù)和IT流程，將促使網(wǎng)絡(luò)安全經(jīng)理在他們的下一個防火墻/IPS更新周期時尋找NGFW。NGFW廠商成功的關(guān)鍵將是以同樣或略高于第一代防火墻的價格，提供包含NGFW能力又具有第一代防火墻和IPS特性的NGFW。

目前僅有不到1%的Internet連接采用NGFW來保護(hù)。我們認(rèn)為到2014年底，這個數(shù)字將增加到占安裝基礎(chǔ)的35%，60%新購買的防火墻將是NGFW。

關(guān)鍵結(jié)論

第一代防火墻提供的狀態(tài)性協(xié)議過濾和有限的應(yīng)用意識在對付當(dāng)前和新出現(xiàn)的威脅時不再有效。

與優(yōu)化的組合平臺相比，使用分離的防火墻和入侵防御設(shè)施導(dǎo)致更高的運營成本，并且沒有提高安全性。

可以檢測針對特定應(yīng)用的攻擊和執(zhí)行針對特定應(yīng)用的細(xì)粒度安全政策(不管是入站還是出站傳輸流)的下一代防火墻(NGFW)正在出現(xiàn)。

NGFW在與其他安全控制層結(jié)合時最為有效。

建議

如果你還沒有部署入侵檢測，到了更新防火墻時，要求廠商提供NGFW。

如果你已經(jīng)部署了網(wǎng)絡(luò)防火墻和網(wǎng)絡(luò)入侵檢測系統(tǒng)，同步這兩種技術(shù)的更新周期，向NGFW遷移。

如果你使用托管的外圍防線安全服務(wù)，在下一次更新合同時，將服務(wù)升級為NGFW服務(wù)。

【編輯推薦】

1. 應(yīng)用防火墻的下一代
2. 如何自己打造高性能寬帶路由防火墻
3. 因地制宜—談三種防火墻配置方案