【51CTO.com 12月6日外電頭條】下一代防火墻，縮寫為NGFW，它是各路防火墻廠商以及Gartner這樣的咨詢公司常常掛在嘴上的一個(gè)流行術(shù)語，主要是為了和傳統(tǒng)的基于端口的防火墻加以區(qū)別，下一代防火墻將包含更多的安全防御和基于身份的應(yīng)用程序控制能力。

NGFW不是一個(gè)科學(xué)術(shù)語，它更多的是承載著防火墻廠商的營(yíng)銷意圖，但它不只是市場(chǎng)炒作，Gartner早在幾年前就開始使用NGFW這一術(shù)語了，準(zhǔn)確地說，NGFW這個(gè)縮略語是由Gartner創(chuàng)造的。防火墻廠商顯然受到了Gartner的影響，競(jìng)相推出更復(fù)雜的，背離傳統(tǒng)的基于端口的檢查和控制的新型防火墻，當(dāng)然，他們也更樂意稱之為下一代防火墻，畢竟噱頭更多，更有賣相。

Gartner對(duì)NGFW的定義是什么？

必須有標(biāo)準(zhǔn)的防火墻功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換，狀態(tài)檢測(cè)，VPN和大企業(yè)需要的功能。

入侵防御系統(tǒng)和防火墻真正一體化。

應(yīng)用程序感知能力，自動(dòng)識(shí)別和控制應(yīng)用程序。

額外的防火墻智能，為輔助決策提供更多信息，如信譽(yù)分析，與活動(dòng)目錄（AD）集成，有用的阻塞或漏洞列表。

那如果一個(gè)防火墻廠商聲稱它的產(chǎn)品屬于NGFW，是不是它的產(chǎn)品就應(yīng)該包含所有這些功能呢？

不一定。使用NGFW這個(gè)術(shù)語有許多營(yíng)銷目的，許多防火墻廠商正在努力改造現(xiàn)有的產(chǎn)品線，以滿足NGFW的定義。成立于2007年的Palo Alto網(wǎng)絡(luò)公司被公認(rèn)為是業(yè)界第一家真正的下一代防火墻廠商，它的產(chǎn)品給傳統(tǒng)防火墻廠商產(chǎn)生了顛覆性的影響，從而加劇了傳統(tǒng)防火墻廠商研發(fā)下一代防火墻的欲望和腳步，Palo Alto也繼續(xù)為它的產(chǎn)品增加新功能，以便鞏固自己的地位。

NGFW會(huì)被廣泛使用嗎？

不會(huì)，Gartner估計(jì)只有不到1%的安全互聯(lián)是由NGFW支持的，但Gartner安全顧問預(yù)計(jì)到2014年這一數(shù)字會(huì)上升到35%，盡管目前都在炒作，但NGFW市場(chǎng)總有一天會(huì)火起來的。

什么是統(tǒng)一威脅管理（UTM）？

UTM是IDC公司創(chuàng)造的一個(gè)術(shù)語，它和NGFW的概念一樣，都指的是一種多用途綜合安全設(shè)備，UTM也不是科學(xué)術(shù)語，但也并非完全炒作，雖然這個(gè)術(shù)語是IDC創(chuàng)造的，Gartner卻對(duì)它的含義做了新的解釋，聲稱UTM只不過是面向中小型企業(yè)的一種安全設(shè)備，同樣，IDC也嘲笑過Gartner對(duì)NGFW做的定義。IDC分析師Charles Kolodgy最近總結(jié)出一種他認(rèn)為很有趣的一種說法，“我很懷疑NGFW是否會(huì)發(fā)展成為一種市場(chǎng)，我認(rèn)為它應(yīng)該屬于防火墻市場(chǎng)，說下一代有點(diǎn)模棱兩可”，有些廠商既使用了NGFW又使用UTM進(jìn)行市場(chǎng)營(yíng)銷，這兩個(gè)術(shù)語之爭(zhēng)不應(yīng)該影響到購買決策，特別是有大量的進(jìn)化產(chǎn)品產(chǎn)生，真正應(yīng)該關(guān)心的是NGFW或UTM在指定網(wǎng)絡(luò)環(huán)境中的表現(xiàn)。

是否有獨(dú)立的NGFW測(cè)試報(bào)告，以輔助決策？

很遺憾，目前還沒有看到獨(dú)立的NGFW測(cè)試報(bào)告，但一些廠商也承認(rèn)收到了獨(dú)立實(shí)驗(yàn)室發(fā)來的問題報(bào)告。我們應(yīng)該因NGFW具有綜合安全功能，如入侵防御或反惡意軟件過濾而購買它嗎？購買NGFW的成本會(huì)比單獨(dú)購買具有這些功能的獨(dú)立產(chǎn)品更貴嗎？

預(yù)計(jì)會(huì)更貴，但一些早期使用者表示NGFW的優(yōu)勢(shì)在于簡(jiǎn)化管理和運(yùn)維，與此同時(shí)，有些人說他們不想完全放棄使用傳統(tǒng)的防火墻或獨(dú)立的IPS，因?yàn)樗麄儗?duì)一個(gè)設(shè)備管理一切的做法感到不安，至少仍然心存疑慮。

基于身份的應(yīng)用程序控制背后的思想是什么？

大多數(shù)廠商都表示他們的NGFW允許對(duì)1000多個(gè)應(yīng)用程序?qū)嵤┗诓呗缘目刂?，并和微軟的活?dòng)目錄提供了緊密集成，目標(biāo)是確定哪些應(yīng)用程序需要通過互聯(lián)網(wǎng)，以及企業(yè)用戶可以訪問哪些Web服務(wù)，不能訪問哪些服務(wù)，如p2p或社交網(wǎng)絡(luò)可能會(huì)被明確禁止，使用NGFW時(shí)，對(duì)應(yīng)用程序的控制可能會(huì)是一個(gè)緩慢的過程，因?yàn)镮T和企業(yè)管理人員都需要學(xué)習(xí)這些類型的控制，有一個(gè)要問的問題是，NGFW如何保護(hù)使用移動(dòng)設(shè)備的用戶。

我的組織應(yīng)該使用整合了IPS和基于身份的應(yīng)用控制的防火墻嗎？

在遷移到NGFW時(shí)會(huì)遇到各種問題，規(guī)則，策略和人員培訓(xùn)都需要考慮，Gartner建議至少要追蹤廠商在做什么，以及他們的路線圖，以便在真正要采購防火墻之前進(jìn)行準(zhǔn)確評(píng)估，特別是在談判階段更具主動(dòng)性，避免被廠商牽著鼻子走。

原文名：What you should know about Next Generation Firewalls 作者：Ellen Messmer

【推薦閱讀】

1. 誰是Web安全霸主:IPS VS WAF
2. 專題：網(wǎng)絡(luò)安全工具百寶箱