隨著網(wǎng)絡安全威脅的手法越來越多，傳統(tǒng)防火墻功能早就已經(jīng)有鞭長莫及之感。在這樣的狀況下，逐漸出現(xiàn)稱作次世代防火墻（Next Generation Firewall，NGFW）。今天eNet安全頻道就這種防火墻所應具備的幾類功能強化進行歸類總結如下：

功能1：具備應用程序流量識別能力，進而強化管理

傳統(tǒng)的防火墻，是依照封包的來源、連接池等網(wǎng)絡層第三、第四層的信息，進行封包過濾，像水閘門一樣，減少網(wǎng)絡被惡意程序攻擊的可能性，但是次世代防火墻必須做到更多。

首先，次世代防火墻（Next Generation Firewall，NGFW）要有能力看懂第七層應用層的流量，識別不同的應用程序流量，而且還要再更進一步，還能夠識別使用者的身分、裝置等信息。也就是說，NGFW必須提供比傳統(tǒng)防火墻更好的可視性，如此一來面對許多新型態(tài)的攻擊，如僵尸網(wǎng)絡等，才能有能力反應。

事實上目前市面上不少提供防火墻功能的安全廠商，已經(jīng)具備有這樣的能力。舉例來說，Palo Alto的防火墻，就是以這一點為號召。Palo Alto亞太區(qū)業(yè)務副總林本國表示，現(xiàn)在Palo Alto有能力識別900多種不同的應用，并且能透過圖像化分析每種應用流量的使用者使用時間、占用頻寬等信息，也能進一步看到每個使用者連線的狀況與報表，并且透過政策控管流量的通過。而以人為基礎的報表，則能協(xié)助企業(yè)在發(fā)生問題時快速找到問題的癥結點。

除了Palo Alto外，如Juniper等廠商，也能透過IDP模組的功能看到類似的信息，再輔以與身分識別的AD架構、RADIUS等服務器的溝通，就能做到辨識使用者與應用流量的功能。

這項功能之所以對于次世代防火墻來說非常重要，主要的原因除了先前談到可以協(xié)助快速找出問題外，還有一個重點，就是只有透過提供這種可視性，才能協(xié)助企業(yè)在NGFW上，做到基礎的網(wǎng)絡存取控管（Network Access Control，NAC）功能。這將能協(xié)助企業(yè)在安全政策和阻擋大規(guī)模感染上更有效率，有能力將感染限制在一定區(qū)域。

而且不僅于此，事實上NGFW應該還要能夠更進一步的能夠針對特定應用的特定功能去管控，舉例來說，在Gartner的報告中就寫到，可以針對Skype這種應用，只關閉檔案傳輸?shù)墓δ埽愃七@樣的能力才能算是做到對應用程序識別管理的能力。這樣的功能，現(xiàn)在也已經(jīng)有部分產(chǎn)品可以達成。

提供可視性，進而透過這樣的深層封包檢測能力去管理流量，是次世代防火墻和傳統(tǒng)防火墻最大的不同?？梢灶A見的，未來會有越來越多提供防火墻功能的設備商，往這個方向前進。例如Check Point在2009年就并購了一家名為FaceTime的廠商，根據(jù)Check Point臺灣區(qū)技術顧問陳建宏的說法，這次并購就是為了讓Check Point的設備，在未來能提供應用程序識別的能力。

功能2：軟、硬件將逐漸不被綁死，能更彈性調(diào)配

次世代防火墻其實還有一個很重要的特性，就在于能夠提供更彈性和靈活的架構。而軟、硬件功能的臍帶被分割，就是其靈活特性所展現(xiàn)出來的一個重點。

有別于過去的防火墻產(chǎn)品，買了硬件，軟件的功能就固定無法變動，NGFW將能夠松動這一環(huán)羈絆。NGFW為了更靈活的調(diào)配硬件資源，將會走向軟件功能與硬件分開來運作的道路，這樣一來，在擴充硬件時，就不會有過去受到局限的問題，購買的就單純是硬件資源，而軟件功能則直接做在原有設備上。

舉例來說，使用者如果要增加防火墻的硬件效能，就購買硬件的模組即可，每個模組并不是單獨的防火墻，而是可以分配給不同功能的硬件資源。所以購買進來的硬件模組，比如說有4個處理器的話，也可以把這4個處理器的運算資源分配給NGFW的其他功能。同樣的，軟件的功能也能依照使用的需求增加或減少，而不會因為購買了特定硬件，就必須使用特定軟件的功能，例如購買防火墻模組的插板，該模組就只能當防火墻用。

Juniper香港／臺灣區(qū)技術總監(jiān)游源濱表示，這樣的靈活架構設計，將能夠減少傳統(tǒng)防火墻所面臨的模組負載平衡等問題，并且打破硬件模組就是相當于獨立設備的局限，減少很多使用上的麻煩。事實上，現(xiàn)在包括Juniper、思科的產(chǎn)品，都已經(jīng)在往這個方向前進。例如Juniper的SRX，以及思科的ISG R2，都推出了單純的硬件模組支援擴充。而Fortinet臺灣區(qū)技術顧問劉乙也指出，隨著Fortinet設備虛擬化的技術發(fā)展，未來也很有可能會往這個方向前進。此外，Check Point現(xiàn)在也提供軟件功能增減的能力，讓使用者能夠依據(jù)需求和硬件的效能狀況，自由增減要執(zhí)行的軟件。

軟、硬件功能的松綁，也有助于設備的虛擬化發(fā)展，無論是將多臺設備虛擬為單臺；或是將單臺設備透過虛擬化切割成不同的小臺防火墻，都能讓NGFW具備更靈活與更彈性資源分配能力。而這樣的能力，對于之後將要談到未來支援云端架構的需求來說，十分的重要。

功能3：必須要有能力提供客制化的功能，對新的威脅快速反應

和先前談到的概念類似，NGFW之所以要在架構上變得更靈活，其實很大的因素就是要讓使用者能夠更快的面對新的威脅。

傳統(tǒng)購買安全設備，能提供的功能就是廠商宣稱的那些，未來如果有新功能推出，如果不是能夠模組化抽換的設備，可能就必須重新購買才能使用到新功能。此外，當企業(yè)遇到一些獨特的需求時，由廠商協(xié)助提供客制化過濾器或功能的可能性也非常低，或者是難度非常高。

不過，未來的NGFW，在這一點上將會有所改變。首先，正如先前談到，由于已經(jīng)可以打破軟、硬件綁死的局限，NGFW在提供客制化功能或過濾器等能力時，將會相對比較容易。不過Check Point臺灣區(qū)技術顧問陳建宏指出，雖然如此，但是要企業(yè)自己有辦法寫出過濾器或是新增一些專屬的功能，企業(yè)往往也難以擁有這樣的IT人才。在這樣的狀況下，未來NGFW應該是保留住提供升級新功能的彈性，讓設備廠商有能力協(xié)助企業(yè)使用者建立這樣的客制化功能。

目前很多廠商都已經(jīng)開始提供這樣的功能，前面提到的Palo Alto、Juniper、思科、Check Point等，其實都已經(jīng)有不同的方案可以協(xié)助企業(yè)做到這一點，過濾器的客制化還較為容易，但功能的增加現(xiàn)在可能難度仍高。NGFW保留這樣的能力是必需的，這將能有效的協(xié)助企業(yè)解決許多自己遭遇的獨特狀況，針對安全情況做出更快速的反應。

功能4：能夠支援云端架構動態(tài)變化的需求

隨著虛擬化和云端的大趨勢開始起跑，其實次世代防火墻也必須要有能力支援未來這樣的新架構。Juniper香港／臺灣區(qū)技術總監(jiān)游源濱表示，這代表NGFW在硬件功能上必須要能夠有些新的變化，比如說每秒用戶連線能力、橫向擴充能力、虛擬化架構的防護、硬件資源的分配等，都會是云端運算架構中需要面對的問題。

他接著指出，NGFW必須要有能力承受更高的每秒用戶連線能力，而不光只是支援更高的同時在線人數(shù)。游源濱說：“光有很高的同時在線人數(shù)，就像你雖然有一個大水池，可是卻只能讓水慢慢的流進去，否則水池就會垮掉。”而在云端架構的基礎下，企業(yè)根本沒有辦法限制用戶的連線數(shù)。

除此之外，虛擬化的防護，也會是NGFW需要面對的重點問題，如何讓防火墻能夠與虛擬層溝通，進而能夠針對每一臺虛擬機器的流量做掃描與阻擋，而不會將之視為單一的實件服務器，這會是NGFW必須擁有的能力。事實上，現(xiàn)在虛擬化平臺廠商如VMware，就有VMsafe這樣的合作計劃，讓資訊安全設備能夠透過與虛擬層的溝通，做到前述的能力。

其他諸如橫向擴充與硬件資源靈活分配的能力，我們已經(jīng)在功能2談過，就現(xiàn)在來看，NGFW在這一塊技術的發(fā)展，將會以自身設備的虛擬化來達成。設備的虛擬化，將讓NGFW的硬件資源，能夠依照不同功能負載量的狀況動態(tài)分配，這也能夠滿足云端的需求，例如防火墻需要更多的硬件資源，就分更多給這項功能；QoS需要更多的硬件資源，就分享更多的資源給它。這和傳統(tǒng)模組各自獨立，硬件資源無法共用的狀況完全不同，也會是NGFW的一個重要特色。

目前像是Juniper SRX的作法，就是以單臺虛擬為多臺，讓設備的硬件資源能夠靈活分配的作法，減少管理難度與擴充的問題。而據(jù)了解，未來Fortinet很有可能推出的作法，則將會是以多臺設備虛擬為一臺的方式，來達到類似的效果，降低橫向擴充的難度。

Fortinet臺灣區(qū)技術顧問劉乙認為，支援云端架構，將會是NGFW的一個重要功能特色。而只有更靈活與更彈性的設計，搭配設備本身虛擬化的技術，才有可能達成這一點。事實上，思科的ISR G2，雖然主要還是以路由器為主要功能，但根據(jù)臺灣思科業(yè)務開發(fā)經(jīng)理張志淵的說法，未來也會提供原本Iron Port的許多功能，強化其安全上的能力。而其新設計的硬件模組概念，就是要符合NGFW更靈活與更彈性架構的想法。

功能5：能與不同裝置共同聯(lián)防

談到安全設備間的聯(lián)防，很多人的直覺是想到類似NAC的架構，甚至在販售產(chǎn)品的經(jīng)銷商，都有人有這種想法，然后因為NAC不容易實現(xiàn)，賺不了錢，所以避而不談區(qū)域聯(lián)防這種概念。不過事實上，這是以偏概全的想法，區(qū)域聯(lián)防并不是這么一回事。

NAC只是安全設備聯(lián)防的一種形式而已，而NGFW概念中的區(qū)域聯(lián)防，則又是另一種形式的想法。我們甚至可以這么說，NGFW必須要具備與其他安全設備溝通的能力，這才是未來發(fā)展合理的走向。在現(xiàn)在的網(wǎng)絡架構上，就算你擁有一臺宛如超級英雄般的無敵安全設備，也不能確保企業(yè)的網(wǎng)絡架構能夠安全無虞，因為不可能所有的流量，都流經(jīng)單臺設備。

在這樣的狀況下，NGFW勢必必須擁有與其他設備的聯(lián)防的能力，舉例來說，若能與其他設備，或自己設備中的網(wǎng)站過濾功能溝通，那么當使用者連結上到含有惡意連結的網(wǎng)站，或者是違反企業(yè)安全政策的網(wǎng)站時，NGFW就能扮演阻斷流量的角色，把威脅的可能性在發(fā)生前就截斷，防患于未然。

其他諸如IDP等功能，如果能與NGFW互通，也同樣能夠發(fā)揮類似的效果。目前來看，市面上有能力做到這樣聯(lián)防的設備還不多，多數(shù)還以擁有眾多產(chǎn)品線的大型公司為主，如Juniper。而NGFW也能透過與其他設備的互通，做到部份NAC的功能。如與和身分辨識的AD架構、RADIUS等設備溝通，取得使用者身分的資訊，然后輔以應用辨識的能力，將不合企業(yè)內(nèi)安全政策與可能的惡意威脅流量阻斷，并且能夠快速的辨識出使用者位在何方。

總而言之，在威脅日益增多的現(xiàn)在，過去單一設備銅墻鐵壁的想法已經(jīng)行不通了，也因此我們在思考NGFW這樣的概念時，不能落入這樣的陷阱。這也是為什么與其他設備聯(lián)防，會被視作NGFW重要能力的原因。

功能6：整合更多強化的功能

前面的幾個必備功能，我們比較著重在整件架構面的觀察。而NGFW其實還有一個能力不能不提，那就是必需整合更多強化的功能。

過去UTM這樣類型的安全設備，由于硬件技術的不足，當功能全開的時候，往往會有效能大幅降低的狀況發(fā)生。不過隨著硬件技術的發(fā)展，處理器現(xiàn)在運算能力甚至不會比不可程序化的ASIC差到哪里去，這也使得單一安全設備整合多功能的可行性越來越高。而NGFW也因此可以預見，未來一定能夠整合更多傳統(tǒng)防火墻所沒有的功能。

我們拿安全訓練與研究機構SANS（SysAdmin、Audit、Network、Security）協(xié)會，所定義的NGFW來看，就會發(fā)現(xiàn)NGFW除了該具備傳統(tǒng)防火墻功能外，還必須要能提供包括基礎DLP、NAC（Network Access Control）、IDP、防蠕蟲、防中介軟件、網(wǎng)站過濾、VPN、SSL Proxy、QoS等功能。

不但擁有更多功能，NGFW的功能也還要更為深入，例如NGFW的IDP功能，應該要能夠透過不同技術辨識流量，如Header-based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。并且有能力提供客制化的過濾器。而在防蠕蟲的功能上，則必須做到減輕試圖直接癱瘓攻擊的影響程度，以及不讓蠕蟲的擴散。并且要有能力針對電子郵件去設定阻擋政策。此外，還必須要擁有部份路由和交換等功能，QoS能力也應該要具備，并且要能夠和辨識不同應用程序流量的功能結合，針對不同的流量做出不同管理。

【編輯推薦】

1. 選擇硬件防火墻時你應注意的十件事
2. 深入理解防火墻 有效屏蔽外界的攻擊
3. 防火墻功能分類及其局限性介紹分析