所謂下一代防火墻(NGFW)指擁有對(duì)信息具有更高入侵防止能力的企業(yè)防火墻/ VPN。其可被認(rèn)為擁有智能，可使用諸如互聯(lián)網(wǎng)可靠分析等信息幫助進(jìn)行惡意插件過濾或與Active Directory進(jìn)行整合。

向NGFW轉(zhuǎn)型真正實(shí)現(xiàn)需要多長(zhǎng)時(shí)間呢?

成立于2007年的新興公司Palo Alto Networks被認(rèn)為是首家推出下一代防火墻安全設(shè)備的廠商。目前該公司的客戶已經(jīng)超過了2200名。Fortinet、思科、 Check Point,邁克菲和Barracuda Networks等廠商都在調(diào)整他們的防火墻產(chǎn)品以符合下一代防火墻的概念。此外，IPS(入侵阻止系統(tǒng))廠商Sourcefire表示，他們明年將在具有應(yīng)用識(shí)別的防火墻中整合IPS。盡管如此，目前這種新型防火墻的實(shí)際使得率還非常低。

市場(chǎng)研究機(jī)構(gòu)Gartner在過去幾年一直支持NGFW。Gartner分析師Greg Young稱：“目前受NGFW保護(hù)的互聯(lián)還不到1%，不過到2014年這一比率將上升至35%。”

不過，NGFW并不是一個(gè)科學(xué)術(shù)語，它只是一個(gè)純粹的市場(chǎng)營(yíng)銷用語，因?yàn)樗亩x還沒有明確下來。目前也沒有哪一家第三方獨(dú)立實(shí)驗(yàn)室能夠?qū)λ^的NGFW進(jìn)行測(cè)試。Fortinet 稱，目前ICSA實(shí)驗(yàn)室正在討論對(duì)多種NGFW產(chǎn)品進(jìn)行可能的測(cè)試。這在很大程度上是因?yàn)槟壳癗GFW沒有明確的定義。雖然Gartner對(duì)NGFW有著自己的描述，但是他們也承認(rèn)“一些廠商在應(yīng)用控制上占有優(yōu)勢(shì)，另一些廠商在IPS上具有優(yōu)勢(shì)。目前大多數(shù)的防火墻廠商處于NGFW的初級(jí)階段。Palo Alto是率先進(jìn)入這一領(lǐng)域的廠商。”

隨著IDC的統(tǒng)一威脅管理(UTM)概念的推出，新一代防火墻的描述變得更為混亂。IDC分析師Charles Kolodgy稱，UTM與NGFW大體相似。不過Gartner認(rèn)為IDC創(chuàng)造的UTM一詞指只適用于小型和中型市場(chǎng)的設(shè)備，NGFW適用于1000名雇員以上的企業(yè)。

目前安全廠商已經(jīng)認(rèn)識(shí)到將多用途企業(yè)安全應(yīng)用整合在一起的需求將會(huì)上升。

Fortinet 公司產(chǎn)品營(yíng)銷副總裁Patrick Bedwell 稱：“市場(chǎng)趨勢(shì)正在這一個(gè)方向發(fā)展。” Patrick在上周剛剛推出了該公司5000系列設(shè)備中的新成員Fortigate-5001B安全刀片，該產(chǎn)品吞吐量提升到了40Gbps，與以前8Gbps產(chǎn)品相比有了很大的飛越。他稱隨著威脅日趨復(fù)雜，重點(diǎn)應(yīng)當(dāng)放在應(yīng)用控制上。老的防火墻已經(jīng)跟不上這一趨勢(shì)了。

FortiGate防火墻/VPN安全刀片可以識(shí)別1300個(gè)應(yīng)用，可以根據(jù)用戶對(duì)應(yīng)用的使用習(xí)慣建立細(xì)微控制。此外，還可以對(duì)時(shí)間進(jìn)行限制，對(duì)帶寬進(jìn)行管理。

目前已經(jīng)有不少?gòu)S商加入到NGFW陣營(yíng)中。邁克菲正在考慮將他們?cè)谌ツ炅路萃瞥銎髽I(yè)防火墻v. 8版進(jìn)行升級(jí)以使其成為一款NGFW產(chǎn)品。

邁克菲產(chǎn)品營(yíng)銷和網(wǎng)絡(luò)防御總監(jiān)Greg Brown稱：“我們正在重新設(shè)計(jì)應(yīng)用引擎，新引擎可以讓我們探測(cè)并監(jiān)控1000多個(gè)應(yīng)用。我們讓新引擎具備可擴(kuò)展性。我們每周都會(huì)進(jìn)行應(yīng)用升級(jí)。”

邁克菲企業(yè)防火墻v. 8版已經(jīng)達(dá)到了10Gbps。為了獲得更快的速度，邁克菲與Crossbeam系統(tǒng)公司展開了合作，以讓他們的平臺(tái)達(dá)到40Gbps。目前邁克菲正在致力于讓他們的設(shè)備達(dá)到更快的速度。

無所不能，無所不知的防火墻真的擁有與獨(dú)立IPS一樣有效的IPS功能嗎?Brown承認(rèn)這是一個(gè)很難回答的問題，目前還沒有對(duì)它們進(jìn)行過獨(dú)立的測(cè)試。他稱：“我們的意圖是讓它們與獨(dú)立的IPS一樣有效。”

Brown稱，由于普通的防火墻主要是關(guān)注IP網(wǎng)絡(luò)范圍，因此與普通的防火墻相比，NGFW是在應(yīng)用控制方面進(jìn)行工作，因此對(duì)于大多數(shù)客戶來說這是一種新技術(shù)。

目前已經(jīng)出現(xiàn)了整合微軟Active Directory等功能的呼聲，如根據(jù)授權(quán)應(yīng)用建立用戶團(tuán)體。迄今為止，大多數(shù)邁克菲用戶正在試用與部分應(yīng)用，而不是全部應(yīng)用有關(guān)的先進(jìn)防火墻功能，以看一下策略控制的影響是什么。

24 Hour Fitness公司在美國(guó)和海外擁有超過400家俱樂部，他們?cè)谌ツ晗奶扉_始部署Palo Alto Networks公司生產(chǎn)的具有應(yīng)用識(shí)別功能的防火墻。

該公司IT運(yùn)營(yíng)和安全總監(jiān)Justin Kwong稱，換用Palo Alto的整合架構(gòu)不僅成本合算，而且IT雇員通過使用諸如基于信譽(yù)的過濾等功能對(duì)正在發(fā)生什么有著更為清楚的認(rèn)識(shí)。

公司正在利用Palo Alto與Active Directory的整合建立起關(guān)于雇員應(yīng)用的策略控制。Kwong表示，目前策略還沒有細(xì)化，他們正在學(xué)習(xí)關(guān)于應(yīng)用控制的一些知識(shí)。與此同時(shí)，Kwong并不認(rèn)為他的公司需要徹底轉(zhuǎn)型為NGFW模式，原因是對(duì)應(yīng)用識(shí)別控制的需求還沒有出現(xiàn)在所有的和數(shù)據(jù)中心。

IDC分析師Kolodgy稱，對(duì)基于應(yīng)用的控制應(yīng)該是有限度的使用，直到適應(yīng)后再擴(kuò)展它的使用范圍。這是IDS向IPS過渡的方法。

此外，盡管NGFW代表著安全整合，但是Kwong對(duì)此卻有所保留。他稱，除了使用Palo Alto IPS功能外，他還準(zhǔn)備繼續(xù)使用開源的IPS作為“第二只眼睛”。他稱：“我從來都不把所有的雞蛋放在一個(gè)籃子里，我也從來不會(huì)只依賴于一個(gè)廠商。”

如果用戶不在防火墻后，如帶著筆記本電腦出差或使用移動(dòng)設(shè)備，NGFW安全應(yīng)用程度是多少呢?

Palo Alto Networks產(chǎn)品營(yíng)銷總裁Chris King稱：“我們能夠?qū)⒌揽跀U(kuò)展到用戶不在網(wǎng)絡(luò)上的電腦。” Palo Alto已經(jīng)有了一個(gè)VPN客戶端，其可以將用戶的信息拖回客戶的NGFW點(diǎn)，明年早期時(shí)候Palo Alto將提供稱之為GlobalProtect的智能VPN客戶端。這種智能VPN客戶端知道用戶在世界的哪個(gè)地方，將客戶與最近的網(wǎng)關(guān)連接。King稱：“管理大量網(wǎng)關(guān)需要一個(gè)網(wǎng)關(guān)層級(jí)制度，客戶知道哪個(gè)網(wǎng)關(guān)距他們最近。”他稱，這種功能在一定程度可以防止數(shù)據(jù)損失。

Palo Alto還表示，在信任環(huán)境中用戶的桌面證書將被共享，他們將有能力根據(jù)可信任環(huán)境為數(shù)據(jù)包做SSL檢查，而SSL檢查則可以打開流入與流出的數(shù)據(jù)。King稱：“我們打開它們是為了確定是否是一人被允許的應(yīng)用，檢查完后再重新加密。”

【編輯推薦】

1. 關(guān)于下一代防火墻你應(yīng)該知道的事情
2. 下一代防火墻如何才能應(yīng)對(duì)新的安全威脅
3. 下一代防火墻何時(shí)會(huì)替換現(xiàn)有防火墻？
4. 擎天系列防火墻指明下一代防火墻發(fā)展方向