隨著網(wǎng)絡(luò)安全威脅的手法越來越多，傳統(tǒng)防火墻功能早就已經(jīng)有鞭長(zhǎng)莫及之感。在這樣的狀況下，逐漸出現(xiàn)稱作次世代防火墻（NextGenerationFirewall，NGFW）。今天就這種防火墻所應(yīng)具備的幾類功能強(qiáng)化進(jìn)行歸類總結(jié)如下：

功能1：具備應(yīng)用程序流量識(shí)別能力，進(jìn)而強(qiáng)化管理

傳統(tǒng)的防火墻，是依照封包的來源、連接池等網(wǎng)絡(luò)層第三、第四層的信息，進(jìn)行封包過濾，像水閘門一樣，減少網(wǎng)絡(luò)被惡意程序攻擊的可能性，但是次世代防火墻必須做到更多。

首先，次世代防火墻（NextGenerationFirewall，NGFW）要有能力看懂第七層應(yīng)用層的流量，識(shí)別不同的應(yīng)用程序流量，而且還要再更進(jìn)一步，還能夠識(shí)別使用者的身分、裝置等信息。也就是說，NGFW必須提供比傳統(tǒng)防火墻更好的可視性，如此一來面對(duì)許多新型態(tài)的攻擊，如僵尸網(wǎng)絡(luò)等，才能有能力反應(yīng)。

事實(shí)上目前市面上不少提供防火墻功能的安全廠商，已經(jīng)具備有這樣的能力。舉例來說，PaloAlto的防火墻，就是以這一點(diǎn)為號(hào)召。PaloAlto亞太區(qū)業(yè)務(wù)副總林本國(guó)表示，現(xiàn)在PaloAlto有能力識(shí)別900多種不同的應(yīng)用，并且能透過圖像化分析每種應(yīng)用流量的使用者使用時(shí)間、占用頻寬等信息，也能進(jìn)一步看到每個(gè)使用者連線的狀況與報(bào)表，并且透過政策控管流量的通過。而以人為基礎(chǔ)的報(bào)表，則能協(xié)助企業(yè)在發(fā)生問題時(shí)快速找到問題的癥結(jié)點(diǎn)。

除了PaloAlto外，如Juniper等廠商，也能透過IDP模組的功能看到類似的信息，再輔以與身分識(shí)別的AD架構(gòu)、RADIUS等服務(wù)器的溝通，就能做到辨識(shí)使用者與應(yīng)用流量的功能。

這項(xiàng)功能之所以對(duì)于次世代防火墻來說非常重要，主要的原因除了先前談到可以協(xié)助快速找出問題外，還有一個(gè)重點(diǎn)，就是只有透過提供這種可視性，才能協(xié)助企業(yè)在NGFW上，做到基礎(chǔ)的網(wǎng)絡(luò)存取控管（NetworkAccessControl，NAC）功能。這將能協(xié)助企業(yè)在安全政策和阻擋大規(guī)模感染上更有效率，有能力將感染限制在一定區(qū)域。

而且不僅于此，事實(shí)上NGFW應(yīng)該還要能夠更進(jìn)一步的能夠針對(duì)特定應(yīng)用的特定功能去管控，舉例來說，在Gartner的報(bào)告中就寫到，可以針對(duì)Skype這種應(yīng)用，只關(guān)閉檔案?jìng)鬏數(shù)墓δ?，類似這樣的能力才能算是做到對(duì)應(yīng)用程序識(shí)別管理的能力。這樣的功能，現(xiàn)在也已經(jīng)有部分產(chǎn)品可以達(dá)成。

提供可視性，進(jìn)而透過這樣的深層封包檢測(cè)能力去管理流量，是次世代防火墻和傳統(tǒng)防火墻最大的不同。可以預(yù)見的，未來會(huì)有越來越多提供防火墻功能的設(shè)備商，往這個(gè)方向前進(jìn)。例如CheckPoint在2009年就并購(gòu)了一家名為FaceTime的廠商，根據(jù)CheckPoint臺(tái)灣區(qū)技術(shù)顧問陳建宏的說法，這次并購(gòu)就是為了讓CheckPoint的設(shè)備，在未來能提供應(yīng)用程序識(shí)別的能力。

功能2：軟、硬件將逐漸不被綁死，能更彈性調(diào)配

次世代防火墻其實(shí)還有一個(gè)很重要的特性，就在于能夠提供更彈性和靈活的架構(gòu)。而軟、硬件功能的臍帶被分割，就是其靈活特性所展現(xiàn)出來的一個(gè)重點(diǎn)。

有別于過去的防火墻產(chǎn)品，買了硬件，軟件的功能就固定無法變動(dòng)，NGFW將能夠松動(dòng)這一環(huán)羈絆。NGFW為了更靈活的調(diào)配硬件資源，將會(huì)走向軟件功能與硬件分開來運(yùn)作的道路，這樣一來，在擴(kuò)充硬件時(shí)，就不會(huì)有過去受到局限的問題，購(gòu)買的就單純是硬件資源，而軟件功能則直接做在原有設(shè)備上。

舉例來說，使用者如果要增加防火墻的硬件效能，就購(gòu)買硬件的模組即可，每個(gè)模組并不是單獨(dú)的防火墻，而是可以分配給不同功能的硬件資源。所以購(gòu)買進(jìn)來的硬件模組，比如說有4個(gè)處理器的話，也可以把這4個(gè)處理器的運(yùn)算資源分配給NGFW的其他功能。同樣的，軟件的功能也能依照使用的需求增加或減少，而不會(huì)因?yàn)橘?gòu)買了特定硬件，就必須使用特定軟件的功能，例如購(gòu)買防火墻模組的插板，該模組就只能當(dāng)防火墻用。

Juniper香港／臺(tái)灣區(qū)技術(shù)總監(jiān)游源濱表示，這樣的靈活架構(gòu)設(shè)計(jì)，將能夠減少傳統(tǒng)防火墻所面臨的模組負(fù)載平衡等問題，并且打破硬件模組就是相當(dāng)于獨(dú)立設(shè)備的局限，減少很多使用上的麻煩。事實(shí)上，現(xiàn)在包括Juniper、思科的產(chǎn)品，都已經(jīng)在往這個(gè)方向前進(jìn)。例如Juniper的SRX，以及思科的ISGR2，都推出了單純的硬件模組支援?dāng)U充。而Fortinet臺(tái)灣區(qū)技術(shù)顧問劉乙也指出，隨著Fortinet設(shè)備虛擬化的技術(shù)發(fā)展，未來也很有可能會(huì)往這個(gè)方向前進(jìn)。此外，CheckPoint現(xiàn)在也提供軟件功能增減的能力，讓使用者能夠依據(jù)需求和硬件的效能狀況，自由增減要執(zhí)行的軟件。

軟、硬件功能的松綁，也有助于設(shè)備的虛擬化發(fā)展，無論是將多臺(tái)設(shè)備虛擬為單臺(tái)；或是將單臺(tái)設(shè)備透過虛擬化切割成不同的小臺(tái)防火墻，都能讓NGFW具備更靈活與更彈性資源分配能力。而這樣的能力，對(duì)于之後將要談到未來支援云端架構(gòu)的需求來說，十分的重要。

功能3：必須要有能力提供客制化的功能，對(duì)新的威脅快速反應(yīng)

和先前談到的概念類似，NGFW之所以要在架構(gòu)上變得更靈活，其實(shí)很大的因素就是要讓使用者能夠更快的面對(duì)新的威脅。

傳統(tǒng)購(gòu)買安全設(shè)備，能提供的功能就是廠商宣稱的那些，未來如果有新功能推出，如果不是能夠模組化抽換的設(shè)備，可能就必須重新購(gòu)買才能使用到新功能。此外，當(dāng)企業(yè)遇到一些獨(dú)特的需求時(shí)，由廠商協(xié)助提供客制化過濾器或功能的可能性也非常低，或者是難度非常高。

不過，未來的NGFW，在這一點(diǎn)上將會(huì)有所改變。首先，正如先前談到，由于已經(jīng)可以打破軟、硬件綁死的局限，NGFW在提供客制化功能或過濾器等能力時(shí)，將會(huì)相對(duì)比較容易。不過CheckPoint臺(tái)灣區(qū)技術(shù)顧問陳建宏指出，雖然如此，但是要企業(yè)自己有辦法寫出過濾器或是新增一些專屬的功能，企業(yè)往往也難以擁有這樣的IT人才。在這樣的狀況下，未來NGFW應(yīng)該是保留住提供升級(jí)新功能的彈性，讓設(shè)備廠商有能力協(xié)助企業(yè)使用者建立這樣的客制化功能。

目前很多廠商都已經(jīng)開始提供這樣的功能，前面提到的PaloAlto、Juniper、思科、CheckPoint等，其實(shí)都已經(jīng)有不同的方案可以協(xié)助企業(yè)做到這一點(diǎn)，過濾器的客制化還較為容易，但功能的增加現(xiàn)在可能難度仍高。NGFW保留這樣的能力是必需的，這將能有效的協(xié)助企業(yè)解決許多自己遭遇的獨(dú)特狀況，針對(duì)安全情況做出更快速的反應(yīng)。

功能4：能夠支援云端架構(gòu)動(dòng)態(tài)變化的需求

隨著虛擬化和云端的大趨勢(shì)開始起跑，其實(shí)次世代防火墻也必須要有能力支援未來這樣的新架構(gòu)。Juniper香港／臺(tái)灣區(qū)技術(shù)總監(jiān)游源濱表示，這代表NGFW在硬件功能上必須要能夠有些新的變化，比如說每秒用戶連線能力、橫向擴(kuò)充能力、虛擬化架構(gòu)的防護(hù)、硬件資源的分配等，都會(huì)是云端運(yùn)算架構(gòu)中需要面對(duì)的問題。

他接著指出，NGFW必須要有能力承受更高的每秒用戶連線能力，而不光只是支援更高的同時(shí)在線人數(shù)。游源濱說：“光有很高的同時(shí)在線人數(shù)，就像你雖然有一個(gè)大水池，可是卻只能讓水慢慢的流進(jìn)去，否則水池就會(huì)垮掉。”而在云端架構(gòu)的基礎(chǔ)下，企業(yè)根本沒有辦法限制用戶的連線數(shù)。

除此之外，虛擬化的防護(hù)，也會(huì)是NGFW需要面對(duì)的重點(diǎn)問題，如何讓防火墻能夠與虛擬層溝通，進(jìn)而能夠針對(duì)每一臺(tái)虛擬機(jī)器的流量做掃描與阻擋，而不會(huì)將之視為單一的實(shí)件服務(wù)器，這會(huì)是NGFW必須擁有的能力。事實(shí)上，現(xiàn)在虛擬化平臺(tái)廠商如VMware，就有VMsafe這樣的合作計(jì)劃，讓資訊安全設(shè)備能夠透過與虛擬層的溝通，做到前述的能力。

其他諸如橫向擴(kuò)充與硬件資源靈活分配的能力，我們已經(jīng)在功能2談過，就現(xiàn)在來看，NGFW在這一塊技術(shù)的發(fā)展，將會(huì)以自身設(shè)備的虛擬化來達(dá)成。設(shè)備的虛擬化，將讓NGFW的硬件資源，能夠依照不同功能負(fù)載量的狀況動(dòng)態(tài)分配，這也能夠滿足云端的需求，例如防火墻需要更多的硬件資源，就分更多給這項(xiàng)功能；QoS需要更多的硬件資源，就分享更多的資源給它。這和傳統(tǒng)模組各自獨(dú)立，硬件資源無法共用的狀況完全不同，也會(huì)是NGFW的一個(gè)重要特色。

目前像是JuniperSRX的作法，就是以單臺(tái)虛擬為多臺(tái)，讓設(shè)備的硬件資源能夠靈活分配的作法，減少管理難度與擴(kuò)充的問題。而據(jù)了解，未來Fortinet很有可能推出的作法，則將會(huì)是以多臺(tái)設(shè)備虛擬為一臺(tái)的方式，來達(dá)到類似的效果，降低橫向擴(kuò)充的難度。

Fortinet臺(tái)灣區(qū)技術(shù)顧問劉乙認(rèn)為，支援云端架構(gòu)，將會(huì)是NGFW的一個(gè)重要功能特色。而只有更靈活與更彈性的設(shè)計(jì)，搭配設(shè)備本身虛擬化的技術(shù)，才有可能達(dá)成這一點(diǎn)。事實(shí)上，思科的ISRG2，雖然主要還是以路由器為主要功能，但根據(jù)臺(tái)灣思科業(yè)務(wù)開發(fā)經(jīng)理張志淵的說法，未來也會(huì)提供原本IronPort的許多功能，強(qiáng)化其安全上的能力。而其新設(shè)計(jì)的硬件模組概念，就是要符合NGFW更靈活與更彈性架構(gòu)的想法。

功能5：能與不同裝置共同聯(lián)防

談到安全設(shè)備間的聯(lián)防，很多人的直覺是想到類似NAC的架構(gòu)，甚至在販?zhǔn)郛a(chǎn)品的經(jīng)銷商，都有人有這種想法，然后因?yàn)镹AC不容易實(shí)現(xiàn)，賺不了錢，所以避而不談區(qū)域聯(lián)防這種概念。不過事實(shí)上，這是以偏概全的想法，區(qū)域聯(lián)防并不是這么一回事。

NAC只是安全設(shè)備聯(lián)防的一種形式而已，而NGFW概念中的區(qū)域聯(lián)防，則又是另一種形式的想法。我們甚至可以這么說，NGFW必須要具備與其他安全設(shè)備溝通的能力，這才是未來發(fā)展合理的走向。在現(xiàn)在的網(wǎng)絡(luò)架構(gòu)上，就算你擁有一臺(tái)宛如超級(jí)英雄般的無敵安全設(shè)備，也不能確保企業(yè)的網(wǎng)絡(luò)架構(gòu)能夠安全無虞，因?yàn)椴豢赡芩械牧髁?，都流?jīng)單臺(tái)設(shè)備。

在這樣的狀況下，NGFW勢(shì)必必須擁有與其他設(shè)備的聯(lián)防的能力，舉例來說，若能與其他設(shè)備，或自己設(shè)備中的網(wǎng)站過濾功能溝通，那么當(dāng)使用者連結(jié)上到含有惡意連結(jié)的網(wǎng)站，或者是違反企業(yè)安全政策的網(wǎng)站時(shí)，NGFW就能扮演阻斷流量的角色，把威脅的可能性在發(fā)生前就截?cái)?，防患于未然?/p>

其他諸如IDP等功能，如果能與NGFW互通，也同樣能夠發(fā)揮類似的效果。目前來看，市面上有能力做到這樣聯(lián)防的設(shè)備還不多，多數(shù)還以擁有眾多產(chǎn)品線的大型公司為主，如Juniper。而NGFW也能透過與其他設(shè)備的互通，做到部份NAC的功能。如與和身分辨識(shí)的AD架構(gòu)、RADIUS等設(shè)備溝通，取得使用者身分的資訊，然后輔以應(yīng)用辨識(shí)的能力，將不合企業(yè)內(nèi)安全政策與可能的惡意威脅流量阻斷，并且能夠快速的辨識(shí)出使用者位在何方。

總而言之，在威脅日益增多的現(xiàn)在，過去單一設(shè)備銅墻鐵壁的想法已經(jīng)行不通了，也因此我們?cè)谒伎糔GFW這樣的概念時(shí)，不能落入這樣的陷阱。這也是為什么與其他設(shè)備聯(lián)防，會(huì)被視作NGFW重要能力的原因。

功能6：整合更多強(qiáng)化的功能

前面的幾個(gè)必備功能，我們比較著重在整件架構(gòu)面的觀察。而NGFW其實(shí)還有一個(gè)能力不能不提，那就是必需整合更多強(qiáng)化的功能。

過去UTM這樣類型的安全設(shè)備，由于硬件技術(shù)的不足，當(dāng)功能全開的時(shí)候，往往會(huì)有效能大幅降低的狀況發(fā)生。不過隨著硬件技術(shù)的發(fā)展，處理器現(xiàn)在運(yùn)算能力甚至不會(huì)比不可程序化的ASIC差到哪里去，這也使得單一安全設(shè)備整合多功能的可行性越來越高。而NGFW也因此可以預(yù)見，未來一定能夠整合更多傳統(tǒng)防火墻所沒有的功能。

我們拿安全訓(xùn)練與研究機(jī)構(gòu)SANS（SysAdmin、Audit、Network、Security）協(xié)會(huì)，所定義的NGFW來看，就會(huì)發(fā)現(xiàn)NGFW除了該具備傳統(tǒng)防火墻功能外，還必須要能提供包括基礎(chǔ)DLP、NAC（NetworkAccessControl）、IDP、防蠕蟲、防中介軟件、網(wǎng)站過濾、VPN、SSLProxy、QoS等功能。

不但擁有更多功能，NGFW的功能也還要更為深入，例如NGFW的IDP功能，應(yīng)該要能夠透過不同技術(shù)辨識(shí)流量，如Header-based、Patternmatching、Protocol-based、Heuristic-based、Anomaly-based等。并且有能力提供客制化的過濾器。而在防蠕蟲的功能上，則必須做到減輕試圖直接癱瘓攻擊的影響程度，以及不讓蠕蟲的擴(kuò)散。并且要有能力針對(duì)電子郵件去設(shè)定阻擋政策。此外，還必須要擁有部份路由和交換等功能，QoS能力也應(yīng)該要具備，并且要能夠和辨識(shí)不同應(yīng)用程序流量的功能結(jié)合，針對(duì)不同的流量做出不同管理。