自出現(xiàn)之日起，下一代防火墻（Next-Generation Firewall，以下簡稱NGFW）就一直在爭議中前行。究其原因，在于概念提出得比較超前、產(chǎn)品跟進卻相對緩慢。

就在不久前，梭子魚與深信服在國內(nèi)先后發(fā)布了NGFW產(chǎn)品，加上產(chǎn)品已經(jīng)正式在售的SonicWall、Check Point和Palo Alto，市場上儼然一副山雨欲來風滿樓的景象。

那么，NGFW究竟是如何定義的？它與傳統(tǒng)防火墻、UTM有哪些不同？用戶部署NGFW又需從哪些角度考慮？請隨我們一起走進NGFW的神奇世界，共同領(lǐng)略這類新產(chǎn)品的價值所在。

何謂NGFW？

什么是下一代防火墻？這一代、上一代防火墻指的又是什么？在討論NGFW之前，我們必須先正確認識“防火墻”這個概念。

在經(jīng)歷了多次技術(shù)變革后，防火墻的概念正在變得模糊，在不同語境中有著不同的含義。在描述具體產(chǎn)品時，防火墻大部分指代的是作用在2~4層，采用狀態(tài)檢測機制、集成IPSec VPN、支持橋/路由/NAT工作模式的訪問控制設備；而宏觀意義上的防火墻，實際上指的是以性能為主導的、在網(wǎng)絡邊緣執(zhí)行多層次的訪問控制策略、使用狀態(tài)檢測或深度包檢測機制、包含一種或多種安全功能的網(wǎng)關(guān)設備（Gateway）。國內(nèi)的廠商、用戶習慣將前者稱為“傳統(tǒng)防火墻”，國外的分析機構(gòu)和廠商在描述產(chǎn)品形態(tài)時則更多地傾向于使用宏觀的防火墻概念，其包含了傳統(tǒng)防火墻、IPS、UTM及一些廠商市場推廣時宣稱的“多功能安全網(wǎng)關(guān)”、“綜合安全網(wǎng)關(guān)”等多種產(chǎn)品形態(tài)。隨著用戶安全需求的不斷增加，廣義的防火墻必然將集成更多的安全特性。

得益于許多廠商市場部門行之有效的推廣工作，我們在市場上可以看到不少針對NGFW概念的解釋（即便其中可能存在著完全不同的理解）。而業(yè)內(nèi)普遍認同的關(guān)于NGFW的定義，來自市場分析咨詢機構(gòu)Gartner于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章。Gartner注意到，在應用模式、業(yè)務流程和安全威脅不斷變化的今天，傳統(tǒng)防火墻已經(jīng)無法滿足用戶的需求。即便在此基礎(chǔ)上再加入IPS，也很難有效識別并阻止存在濫用行為的應用程序。在這種形勢下，Gartner定義了“NGFW”這個術(shù)語來形容防火墻的必然發(fā)展階段，以應對攻擊行為和業(yè)務流程使用IT方式的變化。

在Gartner看來，NGFW應該是一個線速（wire-speed）網(wǎng)絡安全處理平臺，定位于企業(yè)網(wǎng)絡防火墻（Enterprise Network Firewall，F(xiàn)irewall指宏觀意義上的防火墻）市場。這里的企業(yè)指的是大型企業(yè)，國內(nèi)很大一部分都歸為行業(yè)用戶范疇。NGFW在功能上至少應當具備以下幾個屬性：

傳統(tǒng)防火墻：NGFW必須擁有傳統(tǒng)防火墻所提供的所有功能，如基于連接狀態(tài)的訪問控制、NAT、VPN等。雖然我們總是在說傳統(tǒng)防火墻已經(jīng)不能滿足需求，但它仍然是一種無可替代的基礎(chǔ)性訪問控制手段。

支持與防火墻自動聯(lián)動的集成化IPS：在同一硬件內(nèi)集成IPS功能是必須的，但這不是Gartner想表達的重點。該機構(gòu)認為，NGFW內(nèi)置的防火墻與IPS之間應該具有聯(lián)動的功能，例如IPS檢測到某個IP地址不斷地發(fā)送惡意流量，可以直接告知防火墻并由其來做更簡單有效的阻止。這個告知與防火墻策略生成的過程應當是由NGFW自動完成的，而不再需要管理員介入。比起前些年流行的傳統(tǒng)防火墻/IDS間的聯(lián)動機制，這次升級并不是一個特別高深的技術(shù)進步，但我們必須承認它能讓管理和安全業(yè)務處理變得更簡單、高效。

應用識別、控制與可視化：NGFW必須具有以與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進行應用識別的能力，并執(zhí)行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進行語音視頻聊天，或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應用識別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況，保證關(guān)鍵業(yè)務的暢通。雖然嚴格意義上來講應用流量優(yōu)化（俗稱應用QoS）不是一個屬于安全范疇的特性，但P2P下載、在線視頻等網(wǎng)絡濫用確實會導致業(yè)務中斷等嚴重安全事件。

智能化聯(lián)動：獲取來自“防火墻外面”的信息，做出更合理的訪問控制，例如從域控制器上獲取用戶身份信息，將權(quán)限與訪問控制策略聯(lián)系起來，或是來自URL Filter判定的惡意地址的流量直接由防火墻去阻擋，而不再浪費IPS的資源去判定。我們理解這個“外面”也可以是NGFW本體內(nèi)的其他安全業(yè)務，它們應該像之前提到的IPS那樣與防火墻形成緊密的耦合關(guān)系，實現(xiàn)自動聯(lián)動的效果（如思科的“云火墻”解決方案）。

除此之外，文檔中也提到了NGFW在部署、升級方面的一些規(guī)定，但并未做更多的強制性約束。正如文章作者、Gartner研究副總裁Greg Young在接受本報記者采訪時強調(diào)的那樣，集成傳統(tǒng)防火墻、可與之聯(lián)動的IPS、應用管控/可視化和智能化聯(lián)動就是NGFW要具備的四大基本要素。

發(fā)現(xiàn)用戶需求及產(chǎn)品形態(tài)變化的并不只Gartner一家，國際著名第三方安全產(chǎn)品評測機構(gòu)NSSLabs也在今年正式開始了NGFW產(chǎn)品的公開測試工作。從官方發(fā)布的信息來看，該機構(gòu)基本認同Gartner對NGFW的定義，只是在智能化聯(lián)動方面并未做過多的強制性要求，但突出了對用戶/用戶組的控制能力。從測試的角度出發(fā)，NSSLabs的工程師對產(chǎn)品配置的復雜度和易用性都有很深刻的了解，他們的觀點可以代表許多用戶。此外，該機構(gòu)還認為企業(yè)并沒有準備在數(shù)據(jù)中心中用任何方案替換獨立的IPS設備，所以NGFW集成的IPS模塊應該提供對客戶端保護（主要在特征庫方面體現(xiàn)）在內(nèi)的完整方案，并且將針對于此的配置歸納到預定義策略模版中去。

NGFW產(chǎn)品加入應用識別后的訪問控制量效果 #p#

NGFW與UTM：

競合或互補,但非競爭

需要注意的是，不同機構(gòu)對NGFW做出的定義都是最小化的功能集合。站在廠商的角度，勢必要根據(jù)自身技術(shù)積累的情況，在產(chǎn)品上集成更多的安全功能。這導致不同廠商的NGFW產(chǎn)品在功能上可能存在差異，同時更像一個大而全的集中化解決方案，給用戶造成了很混亂的印象。我們在采訪中聽到用戶最多的也是最經(jīng)典的反問就是：NGFW不就是一個加強型的UTM么？

實際上，這里提到的NGFW和UTM都是對廠商包裝后的產(chǎn)品的認知，已經(jīng)脫離了最原始的定義。市場分析咨詢機構(gòu)IDC曾經(jīng)這樣定義UTM：這是一類集成了常用安全功能的設備，必須包括傳統(tǒng)防火墻、網(wǎng)絡入侵檢測與防護和網(wǎng)關(guān)防病毒功能，并且可能會集成其他一些安全或網(wǎng)絡特性。所有這些功能不一定要打開，但是這些功能必須集成在一個硬件中。IDC對UTM的定義無疑是非常聰明的，它簡單明了，讓人易于接受并容易做出判斷。“所有功能不一定要打開”這句話，除了說明安全業(yè)務要由用戶需求決定外，也考慮了早年間硬件平臺的實際處理能力。而安全業(yè)務的集成化，也確實符合當時的市場需求。有了這樣一個寬泛的準入條件，UTM的概念一經(jīng)推出便受到廠商與用戶的一致認同，市場份額迅速擴大，成長為目前安全市場上的主流產(chǎn)品。

與IDC的寬松態(tài)度不同，Gartner在其市場分析報告中對UTM產(chǎn)品形態(tài)則有著更為細致的描述。該機構(gòu)在調(diào)研后認為，除了傳統(tǒng)防火墻與IPS，UTM至少還應該具有VPN、URL過濾和內(nèi)容過濾的能力，并且將網(wǎng)關(guān)防病毒的要求擴大至反惡意軟件（包括病毒、木馬、間諜軟件等）范疇。另一方面，Gartner對UTM的用戶群體有著自己的看法，認為該產(chǎn)品主要面對1000人以下的中小企業(yè)或分支機構(gòu)。這類用戶通常對性能沒有太高要求，看中的是產(chǎn)品的易用性和集成安全業(yè)務乃至網(wǎng)絡特性（如無線規(guī)格、無線管理、廣域網(wǎng)加速）的豐富度。實際上，Gartner之前一直使用SMB多功能防火墻（SMB Multifunction Firewalls，這里的Firewall也指宏觀意義上的防火墻）來描述這類產(chǎn)品，只是在2010年因為UTM這個名稱被市場普遍接受，才在分析報告中修改了稱謂。該機構(gòu)認為它與NGFW集成安全功能的差異主要體現(xiàn)在時延敏感性上——作為邊緣網(wǎng)關(guān)，NGFW必須滿足時延敏感型應用的需求，與之有悖的功能不適合出現(xiàn)在NGFW上。而從Gartner針對其他產(chǎn)品市場的分析報告中可以推斷，安全Web網(wǎng)關(guān)（Secure Web Gateway）似乎是該機構(gòu)認為的NGFW聯(lián)合部署的理想對象，此外獨立的WAF、反垃圾郵件產(chǎn)品也應被考慮。

通過上面的分析，我們可以得出明確的結(jié)論：至少在Gartner看來，UTM和NGFW只是針對不同級別用戶的需求，對宏觀意義上的防火墻的功能進行了更有針對性的歸納總結(jié)，是互為補充的關(guān)系。無論從產(chǎn)品與技術(shù)發(fā)展角度還是市場角度看，它們與IDC定義的UTM一樣，都是不同時間情況下對邊緣網(wǎng)關(guān)集成多種安全業(yè)務的階段性描述，其出發(fā)點就是用戶需求變化產(chǎn)生的牽引力。對此，美國飛塔有限公司創(chuàng)始人、CTO、工程副總裁謝華在接受記者采訪時有著非常精辟的總結(jié)：“UTM的概念在不斷地進化，包含了越來越多的安全功能。但像500強那樣的大企業(yè)對UTM的接納相對保守，不過他們也開始從獨立的安全設備開始轉(zhuǎn)向集成化的道路，其關(guān)注重點就是Gartner定義的以傳統(tǒng)防火墻與IPS為基礎(chǔ)元素的NGFW——UTM進化中的一個細化分支。無論如何，我們將看見安全功能整合的革命將繼續(xù)進行下去。”

[[34741]]

途牛旅游網(wǎng)的工程師們在配置NGFW #p#

NGFW產(chǎn)品

現(xiàn)狀

理論上的定義總是滯后于用戶需求和技術(shù)發(fā)展，從市場上可以購買到的實際產(chǎn)品來看，NGFW集成的安全功能已經(jīng)遠遠超過了咨詢機構(gòu)給出的最小化定義。雖然不同廠商在功能提供上還存在差異，但大家的目標都是一樣的，那就是功能最大化集成，性能（產(chǎn)品規(guī)格）通吃低端到高端，這與Gartner細分功能、用戶群體的追求有很大出入。其實廠商這樣做無可厚非，只有功能模塊化加系統(tǒng)平臺化的方式才能做到成本最低和利潤最大化。

近日，記者走訪了發(fā)布了NGFW產(chǎn)品的5個廠商和部分用戶，梳理出一些國內(nèi)用戶在選型時最關(guān)注/最值得關(guān)注的功能和評估經(jīng)驗，供讀者參考。

應用識別、控制與可視化：作為NGFW定義中明確要求具備的特性，應用識別、控制與可視化可以解決給企業(yè)用戶帶來極大壓力的網(wǎng)絡濫用問題，受到了所有受訪用戶的關(guān)注。而5家提供NGFW產(chǎn)品的廠商均表示，該功能已經(jīng)成為各自產(chǎn)品中的標準配置，也就是說，即便用戶在購買時不包含其他任何安全功能的使用許可，也會得到一個“應用防火墻”形態(tài)的產(chǎn)品，我們認為這也將成為未來NGFW產(chǎn)品商業(yè)模式方面的常態(tài)。但多數(shù)受訪廠商也希望用戶認識到，NGFW產(chǎn)品只能做到上網(wǎng)行為管理產(chǎn)品中基于應用的訪問控制與優(yōu)化功能，并不提供法規(guī)遵從及審計相關(guān)的特性，不存在完全的取代關(guān)系。

全方位的本土化：應用特征庫的本土化是影響NGFW產(chǎn)品使用效果的關(guān)鍵因素，每一個廠商都需在協(xié)議種類與更新響應速度方面做出最大努力。采訪中有用戶就抱怨，目前使用的國外某UTM產(chǎn)品在IPS模塊中雖然也集成了對應用的識別控制功能，但擴充更新速度太慢，以至于上線不久就失去了對迅雷等頻繁更新應用的控制能力，同時全英文的操作/報表界面也加大了使用難度，對于IT管理效率有著不可忽視的影響。

對此，SonicWALL中國研發(fā)中心總經(jīng)理陳中在接受采訪時有針對性地提到，目前該公司的NGFW產(chǎn)品在每次系統(tǒng)版本更新后1~2個月內(nèi)即可提供中文版，并且有專人負責國內(nèi)應用特征的添加與維護，達到平時每周1次、緊急情況下1天響應的更新頻率。而以內(nèi)容和應用安全起家的深信服科技在這方面顯然也有著先天性的優(yōu)勢，該公司技術(shù)總監(jiān)殷浩表示，本土化的應用識別和應用防護功能是NGFW用戶獲得良好使用體驗的基礎(chǔ)，深信服目前使用的識別引擎已經(jīng)能夠辨析600多種應用，可以滿足不同部署場景的要求。

用戶識別與控制/統(tǒng)一的策略框架：雖然它們不全是Gartner的NGFW定義中的強制性功能，但我們發(fā)現(xiàn)目前所有的NGFW產(chǎn)品都有提供，并且在此領(lǐng)域做著更加深入的嘗試。NGFW應當可以通過獲取域控制器信息或Web認證等手段，做到IP與用戶身份的綁定，再通過統(tǒng)一的策略框架進行更加直觀、簡單的權(quán)限定義。據(jù)Palo Alto公司創(chuàng)始人、首席架構(gòu)師毛宇明介紹，該公司的NGFW產(chǎn)品將用戶識別與應用識別、內(nèi)容識別并列為3大核心功能，最大化地融合了用戶權(quán)限與策略配置的描述，例如“允許市場部門的所有員工從任何位置訪問新浪微博”、“只允許IT部門員工從特定位置使用SSH、Telnet、遠程桌面應用”等等，并且這種融合會讓報表更具實用價值。

集中管理平臺：NGFW集成了更多的安全功能，我們認為在管理尤其是集中管理上還應該給行業(yè)用戶提供更強大、易用的解決方案。梭子魚網(wǎng)絡有限公司中國區(qū)技術(shù)總監(jiān)谷新就特別提到，該公司在集中管理平臺的構(gòu)建上投入了很大精力，可以管理維護多達數(shù)千臺NGFW產(chǎn)品。該平臺還結(jié)合獨特的圖形化管理維護技術(shù)，利用業(yè)界獨特的“梭子魚NG地球”特性，使分布網(wǎng)絡的管理變得簡單高效。

在實驗室級別的測試方面，目前業(yè)界對出現(xiàn)在市場上不久的NGFW產(chǎn)品還沒有一個公認的測試標準，甚至獨立的測試報告都寥寥無幾。NSSLabs曾經(jīng)在幾個月前發(fā)布了針對Check Point Power-1 11065的單品測試報告，這也是該機構(gòu)第一次發(fā)布NGFW類別的測試報告。我們從中可以看出，針對NGFW產(chǎn)品的測試方法可以理解為在傳統(tǒng)防火墻和IPS測試的基礎(chǔ)上，補充了針對用戶/應用的識別與控制能力的測試。據(jù)Check Point中國區(qū)技術(shù)經(jīng)理劉剛介紹，該產(chǎn)品在測試中有著非常優(yōu)秀的性能表現(xiàn)，在防火墻、身份識別以及應用程序控制執(zhí)行的各項評測中取得100%的有效率，成為業(yè)界首個獲得NSSLabs NGFW“推薦”級別的廠商。但用戶也應認識到，實驗室環(huán)境中的測試結(jié)果代表了一種特殊的應用場景，在選型時還應結(jié)合自身業(yè)務需求尋找更多的評估依據(jù)。例如未來如果打算啟用DLP功能，就一定要關(guān)注重組大小、解碼種類等方面的限制，最好能創(chuàng)造環(huán)境去測試設備在此條件下的最差性能。此外，我們注意到NSSLabs在應用識別與控制測試中使用的多為歐美地區(qū)流行的應用樣本，國內(nèi)用戶應當重點考察NGFW產(chǎn)品對迅雷、新浪微博、開心網(wǎng)等本土熱門應用的識別與控制能力。

防火墻技術(shù)發(fā)展簡介

從技術(shù)發(fā)展角度看，到目前為止，防火墻大致經(jīng)歷了4代變革。

首先出現(xiàn)在市場上的是包過濾防火墻，這類產(chǎn)品可以根據(jù)IP數(shù)據(jù)包的五元組（源地址、目的地址、源端口、目的端口、協(xié)議類型）做訪問控制，代表性的產(chǎn)品是具備ACL能力的路由器。因為處理邏輯比較簡單，包過濾防火墻可以做到相對較高的性能。

包過濾防火墻的缺點是處理不夠智能，不能很好地適應網(wǎng)絡應用發(fā)展的需要，所以逐步被使用狀態(tài)檢測技術(shù)（Stateful Packet Inspextion,SPI）的防火墻所取代。狀態(tài)檢測機制在基于五元組執(zhí)行包過濾的基礎(chǔ)上引入了會話的概念，維護一個全局的連接狀態(tài)表，使訪問控制功能更加完善、易用。即便在今天，它仍然是絕大多數(shù)防火墻或UTM產(chǎn)品中最基礎(chǔ)的處理模塊，其地位不可動搖。

應用代理防火墻則采用了與狀態(tài)檢測完全不同的處理機制，改由透明代理中斷連接、重組數(shù)據(jù)。雖然這種技術(shù)可以做到非常細粒度的訪問控制，但僅支持有限的應用協(xié)議，只適用于非常特殊的應用場景。并且該機制注定了相對較低的執(zhí)行效率，不易于性能的提升（用過ISA的朋友可以仔細體會）。也許是時間比較久遠，我們并不記得曾經(jīng)測試過這類硬件產(chǎn)品，只是在一些使用狀態(tài)檢測機制的防火墻上看到它以功能模塊的形式出現(xiàn)。如果您在正在使用的防火墻上看到了針對HTTP、FTP、SMTP等常見協(xié)議的指令級或字符串級的過濾功能，不妨嘗試開啟一下，看看是不是會對性能造成很大影響。截至目前為止，可能只有國標中所定義的安全審計產(chǎn)品仍然在使用應用代理機制。

而深度包檢測技術(shù)（Deep Packet Inspection，DPI）則可以看做是性能與功能平衡的產(chǎn)物，它在狀態(tài)檢測技術(shù)的基礎(chǔ)上，嘗試對數(shù)據(jù)流中更多的內(nèi)容進行檢測，以在資源消耗較少的情況下提供部分應用代理級別的安全性。正如名稱中強調(diào)的那樣，大部分采用深度包檢測的設備依然不會去做太多的重組工作，僅依靠特征比對的方式執(zhí)行更復雜的訪問控制策略。IDS與IPS就是使用這種技術(shù)的標志性產(chǎn)品，它們表現(xiàn)出來的性能雖然比起使用狀態(tài)檢測機制的傳統(tǒng)防火墻還有一定的差距，卻遠高于使用應用代理機制的產(chǎn)品。近年來，DPI在不斷改進中又衍生出深度流檢測技術(shù)（Deep Flow Inspection，DFI），以更好地實現(xiàn)各類安全特性。

NGFW產(chǎn)品選購指南

用戶在選購NGFW產(chǎn)品時肯定會感到更多的困惑。一方面，UTM和NGFW短期內(nèi)不存在取代關(guān)系，經(jīng)過包裝推廣的產(chǎn)品在形態(tài)上會越來越相似。另一方面，NGFW必然還會加入更多的安全特性，從著名信息安全培訓機構(gòu)SANS的專家結(jié)合現(xiàn)有產(chǎn)品和用戶需求給出的未來NGFW產(chǎn)品將需集成的功能列表來看，目前市場上所有主流安全技術(shù)都被涵蓋在內(nèi)。亂花漸欲迷人眼，用戶（尤其是中小企業(yè)用戶）難免會像幾年前剛接觸UTM那樣，產(chǎn)生一種不理智的選購心態(tài)。

所以，用戶在選型前必須先明確自己的需求是什么，再利用NGFW體系結(jié)構(gòu)上的集成化優(yōu)勢對未來部署做出合理性的規(guī)劃，否則必將帶來過猶不及的負面效果。途牛旅游網(wǎng)的資深網(wǎng)絡工程師吳康就談到這樣的體會：該公司在明確自身安全需求后，選擇了NGFW產(chǎn)品取代UTM搭配上網(wǎng)行為管理的方案，保護包括訂單系統(tǒng)在內(nèi)的在線OA平臺。經(jīng)過長達半年的細致測試，途牛旅游網(wǎng)的IT團隊在用戶身份關(guān)聯(lián)的基礎(chǔ)上逐步實現(xiàn)了策略的統(tǒng)一配置，成功地在滿足需求的同時大幅提升了管理效率。

由此可見，充分的測試也是必不可少的環(huán)節(jié)，鑒于大部分用戶都會同時啟用NGFW產(chǎn)品提供的多種功能，我們建議無論是否進行實驗室級別的測試，都要做至少3個月以上的、結(jié)合自身業(yè)務需求的上線測試，盡可能地與原有信息系統(tǒng)磨合，排除潛在隱患。