隨著網(wǎng)絡(luò)安全威脅的手法越來越多，傳統(tǒng)防火墻功能早就已經(jīng)有鞭長莫及之感。在這樣的狀況下，逐漸出現(xiàn)稱作次世代防火墻（NextGenerationFirewall，NGFW）的產(chǎn)品，不少調(diào)查機(jī)構(gòu)與研究單位，也開始發(fā)表對(duì)于NGFW的定義。

這讓人不禁開始想探究，到底什么樣的設(shè)備，才能被稱為NGFW？而NGFW又會(huì)替企業(yè)的網(wǎng)絡(luò)架構(gòu)帶來什么樣的改變？目前NGFW還沒有一個(gè)肯定的定義，但是對(duì)于企業(yè)來說，很多現(xiàn)有產(chǎn)品和研究報(bào)告所歸納出來的線索，或許已經(jīng)可以提供給企業(yè)使用者在選購符合未來需求的設(shè)備時(shí)，一條明路。

NGFW沒有統(tǒng)一定義，但功能已有明確方向

雖然目前NGFW還沒有一個(gè)統(tǒng)一的定義，不過很多功能已經(jīng)是眾所公認(rèn)為NGFW應(yīng)該要具備的功能。其中最重要的，就是NGFW必須要有能力辨識(shí)應(yīng)用層，看到不同應(yīng)用程序的流量；在這之后，還必須要能夠針對(duì)不同應(yīng)用內(nèi)細(xì)部的不同功能，做到管控的能力。舉例來說，可以把Skype的文件傳輸功能關(guān)閉，但保留其他的功能。

或許透過不同研究機(jī)構(gòu)的報(bào)告，可以更貼切的描述NGFW該具備的功能。2009年10月，調(diào)查機(jī)構(gòu)Gartner推出了一份名為”DefiningtheNextGenerationFirewall”報(bào)告，里面對(duì)于他們心目中的次世代防火墻，就提供了幾個(gè)應(yīng)該具備功能的定義。Gartner列出的幾點(diǎn)NGFW該具備的功能如下：能夠做為封包檢測(cè)或安全政策執(zhí)行的據(jù)點(diǎn)；并且擁有傳統(tǒng)防火墻的功能，如NAT、封包過濾、VPN、傳輸協(xié)定檢測(cè)等。除此之外，NGFW還需要具備有IDP的功能，并且有能力和防火墻的功能互相溝通，必要時(shí)可以透過防火墻阻斷危險(xiǎn)的流量。

在這些功能之外，Gartner在報(bào)告中也特別提到了應(yīng)用程序流量辨識(shí)的能力，并且把這項(xiàng)能力視為NGFW的重點(diǎn)之一。也就是說，NGFW必須提供可視度（Visibility），不光是像過去的防火墻一樣，只是透過特徵和連接池的號(hào)碼來管控流量，還必須有能力看得懂第七層應(yīng)用層，辨識(shí)流經(jīng)的不同流量，分別屬于哪些應(yīng)用、哪些人使用、透過什么裝置使用等信息。

因此，該份報(bào)告中還指出，NGFW必須有能力取得其他設(shè)備提供的信息，進(jìn)而透過這些信息達(dá)到阻斷惡意流量的效果。舉例來說，NGFW可能要能夠和身分辨識(shí)的AD架構(gòu)、RADIUS等設(shè)備溝通，取得使用者身分的信息，然后輔以應(yīng)用辨識(shí)的能力，將不合企業(yè)內(nèi)安全政策與可能的惡意威脅流量阻斷，并且能夠快速的辨識(shí)出使用者位在何方。

最后，報(bào)告中談到，NGFW還必須具備客制化擴(kuò)充的能力，如此一來，在面對(duì)新威脅時(shí)，才能快速的反應(yīng)。Gartner這份報(bào)告，排除了傳統(tǒng)UTM和中小企業(yè)，并且也不列入DLP（DataLeakagePrevention）、Web安全閘道器、信息安全閘道器等功能，報(bào)告中認(rèn)為，這些功能都不算是NGFW需要必備的功能。

不過另一個(gè)安全訓(xùn)練與研究機(jī)構(gòu)SANS（SysAdmin、Audit、Network、Security）協(xié)會(huì)，所定義的NGFW，則又是另一番面貌。SANS在2009年2月發(fā)表了一份探討NGFW功能的報(bào)告，在其中指出，NGFW應(yīng)該是除了具備傳統(tǒng)防火墻功能外，還能提供包括基礎(chǔ)DLP、NAC（NetworkAccessControl）、IDP、防蠕蟲、防中介軟件、網(wǎng)站過濾、VPN、SSLProxy、QoS等功能。

SANS還在該份報(bào)告中指出，現(xiàn)有市面號(hào)稱為NGFW的產(chǎn)品，在DLP、NAC、SSLProxy這三項(xiàng)功能的提供上比較欠缺，未來NGFW的發(fā)展，應(yīng)該要往增加這些功能的方向前進(jìn)。

同時(shí)，報(bào)告中也指出NGFW所能帶來的優(yōu)勢(shì)與可能面臨的挑戰(zhàn)。首先，由于NGFW能夠整合了多種不同功能在單一設(shè)備上，于是部分對(duì)于時(shí)效性要求特別高的功能，如IPS與防火墻的聯(lián)防，就能更有效率，也比較不會(huì)有互通上的難度。舉例來說，當(dāng)網(wǎng)站過濾的功能偵測(cè)到有使用者連上惡意的網(wǎng)站，就能快速的透過防火墻阻斷連線，或是導(dǎo)引到其他地方。報(bào)告中也指出，這一點(diǎn)優(yōu)勢(shì)是十分重要的能力，因?yàn)楦鶕?jù)研究，當(dāng)使用者連上惡意位址而感染了惡意程序后，一般來說網(wǎng)絡(luò)上的安全設(shè)備，如IDP等，要發(fā)現(xiàn)這項(xiàng)威脅，往往都在感染已經(jīng)發(fā)生了數(shù)天或數(shù)月之后，無法防范于未然。此外，這樣的做法也可以省下多數(shù)設(shè)備的投資，提供企業(yè)經(jīng)濟(jì)上的效益；并且管理和控管上也更為簡便。

不過SANS的報(bào)告中也明白的指出，反過來看，這會(huì)讓企業(yè)的網(wǎng)絡(luò)安全防護(hù)更容易傾向只依賴少數(shù)的廠商，因?yàn)楣δ芏颊系絾我辉O(shè)備上，有可能會(huì)是一個(gè)隱憂。另外就是效能的問題，要提供這么多功能，效能很有可能會(huì)是瓶頸。SANS的報(bào)告中并沒有排除DLP功能和UTM設(shè)備，從這一點(diǎn)來看，該份報(bào)告所描述的功能細(xì)節(jié)比起Gartner更為詳細(xì)，但相對(duì)的包含的功能也比較發(fā)散。

更靈活的架構(gòu)與擴(kuò)充性，也將成為重點(diǎn)

由上述兩份針對(duì)NGFW所做的報(bào)告內(nèi)容，應(yīng)該已經(jīng)可以掌握NGFW大概的方向。不過畢竟這些報(bào)告主要針對(duì)的還是網(wǎng)絡(luò)上單點(diǎn)設(shè)備的描述，事實(shí)上，隨著虛擬化技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的需求已經(jīng)越來越需要從網(wǎng)絡(luò)架構(gòu)的整體面來考量。因此，我們還可以再進(jìn)一步歸納出報(bào)告中沒有談到的重點(diǎn)，那就是靈活的架構(gòu)與擴(kuò)充性。

更靈活的架構(gòu)除了前述報(bào)告中談到的客制化能力，還有一點(diǎn)很重要的就是硬件資源透過虛擬化技術(shù)進(jìn)行分配的能力。舉例來說，NGFW很有可能有能力可以將多臺(tái)防火墻串連虛擬為單一的防火墻設(shè)備，或是將單臺(tái)防火墻虛擬為多臺(tái)小型的防火墻，達(dá)到分開處理流量的效果。而同時(shí)這些虛擬技術(shù)，都將讓NGFW在分配硬件資源上更靈活，而不再受限于實(shí)體的限制。目前已經(jīng)有不少網(wǎng)絡(luò)安全設(shè)備廠商，已經(jīng)在往這個(gè)方面發(fā)展，或是已經(jīng)有類似的功能，如Juniper、Fortinet等。

而為了達(dá)到更靈活分配硬件資源的目標(biāo)，NGFW其實(shí)還有一個(gè)發(fā)展趨勢(shì)很值得注意，那就是軟、硬件功能臍帶割離的趨勢(shì)。未來的NGFW，功能將不會(huì)再受到硬件的限制，取而代之的，將會(huì)逐漸轉(zhuǎn)向以”空白的硬件”的方式，讓設(shè)備的擴(kuò)充性更佳。

接下來我們將列出NGFW應(yīng)具備的6項(xiàng)重要功能，這些功能都是透過歸納市面上的產(chǎn)品現(xiàn)狀，輔以各家調(diào)查機(jī)構(gòu)所列出重點(diǎn)的整理而成。Gartner在報(bào)告中，建議企業(yè)現(xiàn)在在選擇防火墻這樣的設(shè)備時(shí)，已經(jīng)可以逐漸往NGFW的功能考量。而整理出的這6項(xiàng)功能，也同樣希望能夠提供讀者對(duì)NGFW這個(gè)概念有一定的認(rèn)識(shí)。