下一代防火墻在設(shè)計(jì)之前就已經(jīng)考慮到未來安全的需求變化，軟硬件架構(gòu)采用了分離棧的設(shè)計(jì)思路，不同的應(yīng)用防護(hù)，不同的功能集成項(xiàng)分別設(shè)置分離的TCP/IP棧結(jié)構(gòu)，充分利用了目前硬件的多CPU、多核的硬件體系，所以在全部功能加載運(yùn)行后不會(huì)像UTM產(chǎn)品那樣，雖然功能比較全，但實(shí)際應(yīng)用場景中性能指標(biāo)無法滿足，而最終導(dǎo)致很多UTM功能成為擺設(shè)。 NGFW的軟硬件架構(gòu)設(shè)計(jì)非常類似于我們今天在城市建設(shè)中看到的樓宇的建造，從一開始框架架構(gòu)已經(jīng)搭建完成，所要做的后續(xù)工作只是在所需的各個(gè)功能項(xiàng)添磚加瓦，擴(kuò)充，增加內(nèi)外部墻面，裝飾等輔助工程。

傳統(tǒng)的互聯(lián)網(wǎng)安全架構(gòu)模型是從桌面->網(wǎng)絡(luò)->邊界的三級防護(hù)。還是那句話：應(yīng)用為王，面對目前互聯(lián)網(wǎng)基于Web2.0理念層出不窮的應(yīng)用，傳統(tǒng)防護(hù)已經(jīng)無法滿足企業(yè)對網(wǎng)絡(luò)信息安全的深入的管控，邁克菲重新定義了全新的網(wǎng)絡(luò)安全架構(gòu)模式即桌面<->網(wǎng)絡(luò)<->應(yīng)用安全，內(nèi)容安全<->邊界安全<->云安全。這個(gè)模型中每個(gè)單元都不是孤立的，而是橫向：互聯(lián)互通，彼此協(xié)調(diào)工作的;縱向的通過統(tǒng)一網(wǎng)關(guān)平臺(tái)實(shí)現(xiàn)統(tǒng)一管控，有效地優(yōu)化了網(wǎng)絡(luò)安全的縱深保護(hù)，并且極大的降低了運(yùn)營維護(hù)成本。邁克菲公司的各種安全解決方案中都可以充分體現(xiàn)出這一理念。

實(shí)施NGFW，企業(yè)無須為原先的網(wǎng)絡(luò)安全架構(gòu)的前沿做根本性的改變，任何一種新技術(shù)的變革都必須考慮前期投資的持續(xù)性，需要一個(gè)平滑漸進(jìn)的過程。所以這就要求NGFW從功能上必須向下兼容承載傳統(tǒng)網(wǎng)絡(luò)防火墻和UTM產(chǎn)品的全部特性，包括：功能，實(shí)施方案拓?fù)錂C(jī)構(gòu)等，而后才能談到逐步改進(jìn)，平滑過渡并且增加其擴(kuò)充的功能。

NGFW能否替代FW、IPS、UTM

邁克菲中國區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉認(rèn)為，NGFW是否替代網(wǎng)絡(luò)防火墻要視實(shí)際應(yīng)用場景而定,。對于企業(yè)的核心業(yè)務(wù)網(wǎng)絡(luò)：關(guān)鍵應(yīng)用、計(jì)費(fèi)中心、Web服務(wù)器、數(shù)據(jù)庫、ERP系統(tǒng)等，NGFW是必須的也是其終極保護(hù)措施，因?yàn)镹GFW更加專注于應(yīng)用保護(hù)、身份確認(rèn)、主動(dòng)性、可預(yù)見性和實(shí)時(shí)防護(hù)，能夠避免由于核心業(yè)務(wù)受到影響而導(dǎo)致企業(yè)的重大損失。除此之外，對于一些安全要求比較低的網(wǎng)絡(luò)環(huán)境比如說企業(yè)的訪客網(wǎng)絡(luò)，非核心業(yè)務(wù)網(wǎng)絡(luò)等，傳統(tǒng)網(wǎng)絡(luò)防火墻還是有其應(yīng)用需求的，并且可以和NGFW實(shí)現(xiàn)梯次配置，混搭，實(shí)現(xiàn)差異化分層防護(hù)。

IPS產(chǎn)品是主要應(yīng)用于網(wǎng)絡(luò)邊緣關(guān)注于網(wǎng)絡(luò)層面的設(shè)備，主要是通過其高性能的硬件，以及預(yù)設(shè)置的簽名對網(wǎng)絡(luò)流量進(jìn)行模式匹配，檢索已知網(wǎng)絡(luò)威脅，防止DDos攻擊等。其產(chǎn)品的優(yōu)勢在于利用簽名技術(shù)對網(wǎng)絡(luò)流量進(jìn)行快速、無時(shí)延的檢索，要求其有高轉(zhuǎn)發(fā)率特性，因而與NGFW相比有各自不同的關(guān)注重點(diǎn)。我們認(rèn)為NGFW和IPS產(chǎn)品在網(wǎng)絡(luò)部署的節(jié)點(diǎn)，層面是不同的，兩者應(yīng)該成為必要和有益的相互補(bǔ)充。

UTM產(chǎn)品本身是傳統(tǒng)網(wǎng)絡(luò)防火墻和NGFW的過渡產(chǎn)品。凡是UTM能夠部署的地方， NGFW都可以無縫替換，更加之UTM一直存在性能瓶頸，所以UTM產(chǎn)品最終會(huì)為NGFW所取代。

NGFW最終成為網(wǎng)絡(luò)安全防護(hù)重點(diǎn)需求

企業(yè)的網(wǎng)絡(luò)安全需求在前期的定位往往是模糊的，這就需要專業(yè)的網(wǎng)絡(luò)安全咨詢?nèi)藛T通過與客戶不斷的溝通，了解到企業(yè)目前的網(wǎng)絡(luò)安全現(xiàn)狀是怎樣，目前的確切需求和關(guān)注的重點(diǎn)在哪些方面，今后2～3年或者更長一段時(shí)間內(nèi)會(huì)有什么樣新的網(wǎng)絡(luò)安全管控設(shè)想和架構(gòu)。邁克菲一直認(rèn)為安全項(xiàng)目最根本的目的是幫助客戶真正實(shí)現(xiàn)網(wǎng)絡(luò)安全管控的戰(zhàn)略規(guī)劃，避免重復(fù)性投資，優(yōu)化網(wǎng)絡(luò)安全架構(gòu)，以期幫助企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)安全的短期和長期愿景的統(tǒng)一和逐步過渡。

NGFW產(chǎn)品是最終網(wǎng)絡(luò)安全需求的深入和目前時(shí)刻面臨的多變的基于應(yīng)用和內(nèi)容網(wǎng)絡(luò)安全威脅而誕生的，有其廣泛的需求空間。雖然存在不同的機(jī)構(gòu)和企業(yè)規(guī)模的差異對NGFW所要求實(shí)現(xiàn)的功能有著這樣或者那樣的粒度管控要求，但是，我們認(rèn)為企業(yè)網(wǎng)絡(luò)安全的終極目標(biāo)是一致的，即做到最大程度的網(wǎng)絡(luò)安全保護(hù)和管控，保證核心支撐業(yè)務(wù)免受利用惡意代碼、病毒、蠕蟲、釣魚軟件、木馬僵尸工具的攻擊，保證企業(yè)網(wǎng)絡(luò)的合規(guī)性要求，防止企業(yè)敏感信息泄密等。 這些都會(huì)最終歸結(jié)到對一個(gè)科學(xué)有效的網(wǎng)絡(luò)安全解決方案的訴求，而NGFW真是整個(gè)安全解決方案中不可或缺的一環(huán)。 因此我們認(rèn)為NGFW將會(huì)最終成為所有行業(yè)許多企業(yè)的網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)需求。

融合網(wǎng)絡(luò)、安全多功能設(shè)備趨勢

1) 目前企業(yè)網(wǎng)絡(luò)安全所面臨的問題主要集中在：大量的人力，財(cái)力年復(fù)一年的投入到企業(yè)網(wǎng)絡(luò)安全建設(shè)當(dāng)中，企業(yè)的CIO和CSO仍然感覺到目前網(wǎng)絡(luò)安全問題還是處在“頭疼醫(yī)頭，腳疼醫(yī)腳”的階段。走了這家安全廠商，來了那家安全廠商，但是其產(chǎn)品都不能完全幫助企業(yè)解決一攬子的網(wǎng)絡(luò)安全問題。企業(yè)需要一個(gè)長效的，全面的網(wǎng)絡(luò)安全解決方案，或者是全功能，更加深入細(xì)化的安全管控的產(chǎn)品的出現(xiàn)。

2) 獨(dú)立的單一功能的設(shè)備在企業(yè)網(wǎng)內(nèi)不斷的植入配置，單點(diǎn)故障導(dǎo)致全網(wǎng)業(yè)務(wù)受影響，多重設(shè)備的疊加導(dǎo)致企業(yè)網(wǎng)性能的顯著下降。

3) 大規(guī)模網(wǎng)絡(luò)設(shè)備虛擬化的趨勢是另一佐證。基于單一功能的傳統(tǒng)網(wǎng)絡(luò)防火墻亦或是UTM的市場份額在一段時(shí)間內(nèi)會(huì)保持其一定的占有率，但是已經(jīng)失去了快速爆發(fā)性增長的空間，而NGFW的市場份額將會(huì)在不久的將來出現(xiàn)顯著的增長。整個(gè)網(wǎng)絡(luò)信息安全領(lǐng)域中，在今后3～5年的市場中將會(huì)是NGFW、信息安全管控-數(shù)據(jù)防泄密、以及移動(dòng)終端應(yīng)用安全解決方案等占據(jù)主導(dǎo)地位。

一個(gè)成熟的NGFW產(chǎn)品的誕生不是一蹴而就的。從產(chǎn)品架構(gòu)設(shè)計(jì)、軟硬件的實(shí)現(xiàn)都需要相當(dāng)長的時(shí)間，另外，NGFW的幾個(gè)關(guān)鍵性技術(shù)的積累和系統(tǒng)整合也需要花費(fèi)大量的時(shí)間，比如說云安全平臺(tái)的搭建、其數(shù)學(xué)模型的合理性研究分析、數(shù)據(jù)的采集、挖掘和積累;上百種基于Web2.0理念的應(yīng)用，需要通過代碼實(shí)現(xiàn)的應(yīng)用安全代理;嵌入式應(yīng)用的識(shí)別;反病毒、防惡意代碼以及IPS簽名的系統(tǒng)的置入，這些亦或是普通廠商需要通過自主研發(fā)，或者是通過OEM捆綁花費(fèi)相當(dāng)長的時(shí)間才可以實(shí)現(xiàn)的。McAfee在這些方面具有天然的優(yōu)勢，我們的全球威脅智能感知系統(tǒng)(GTI-Global Threat Intelligence? ) 的云安全平臺(tái)已經(jīng)有長達(dá)15年的數(shù)據(jù)積累，反病毒、反惡意代碼、垃圾郵件防護(hù)，以及IPS簽名，這些都是作為業(yè)界技術(shù)領(lǐng)先者的McAfee被公認(rèn)的優(yōu)秀產(chǎn)品。

【編輯推薦】

1. 下一代防火墻國內(nèi)首先沖擊上網(wǎng)行為管理市場
2. 下一代防火墻NGAF成功問世
3. 深信服發(fā)布下一代防火墻NGAF 進(jìn)軍防火墻市場
4. 梭子魚下一代防火墻整體應(yīng)用解決方案
5. 下一代防火墻相繼登場 防火墻迎來變局?