相信對(duì)于IT人士來說，下一代防火墻（NGFW）這款產(chǎn)品并不陌生。從2007年P(guān)alo Alto Networks發(fā)布世界第一款下一代防火墻產(chǎn)品至今已經(jīng)有五年多的光景，這期間不少國內(nèi)外的廠商相繼推出了NGFW。例如：梭子魚（Barracuda Networks）、Check Point、深信服、網(wǎng)康、天融信等。展現(xiàn)出一場群雄爭霸的局面，拋開各個(gè)廠家產(chǎn)品的性能來說，這種現(xiàn)象昭示著NGFW已經(jīng)逐漸被市場所接受和認(rèn)同。

NGFW應(yīng)企業(yè)需求而生

隨著互聯(lián)網(wǎng)的快速發(fā)展，各種應(yīng)用程序的爆發(fā)，企業(yè)面臨著常用應(yīng)用程序中的漏洞帶來的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)通信不再像以前一樣緊緊是依賴于存儲(chǔ)和轉(zhuǎn)發(fā)應(yīng)用程序（例如電子郵件），而且已經(jīng)擴(kuò)展到涵蓋實(shí)時(shí)協(xié)作工具、Web2.0應(yīng)用程序、即時(shí)消息（IM）和P2P應(yīng)用程序、語音IP電話（VoIP）、流媒體和電話會(huì)議，這些都帶來潛在的風(fēng)險(xiǎn)。很多企業(yè)無法區(qū)分網(wǎng)絡(luò)中使用的具有合法業(yè)務(wù)目的應(yīng)用程序與那些不是關(guān)鍵型應(yīng)用程序（只是消耗帶寬或者帶來危險(xiǎn)）。

惡意軟件和網(wǎng)絡(luò)攻擊者瞄準(zhǔn)了這個(gè)場所，讓企業(yè)面臨如數(shù)據(jù)泄露、潛在的滲透等風(fēng)險(xiǎn)。除了帶來安全風(fēng)險(xiǎn)，這些應(yīng)用程序也消耗帶寬和生產(chǎn)力，并且與關(guān)鍵業(yè)務(wù)型應(yīng)用程序搶奪網(wǎng)絡(luò)帶寬。因此，企業(yè)需要工具來保證業(yè)務(wù)關(guān)鍵應(yīng)用程序的帶寬，并需要應(yīng)用程序智能和控制來保護(hù)入站和出站的流量，同時(shí)確保速度和安全性以提供高效的工作環(huán)境。

應(yīng)企業(yè)需求，在多種多樣大量的應(yīng)用程序環(huán)境下，僅靠傳統(tǒng)防火墻的功能似乎顯得力不從心，它們的技術(shù)實(shí)際上已經(jīng)過時(shí)，因?yàn)樗鼈儫o法檢查攻擊者散播的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)負(fù)載。而NGFW可以提供應(yīng)用智能控制、入侵防御、惡意軟件防護(hù)和SSL檢查，還可擴(kuò)展到支持最高性能網(wǎng)絡(luò)。

NGFW與傳統(tǒng)防火墻

“下一代”這似乎是個(gè)飽含炒作意味的詞匯，它代表了多功能、高性能，也是對(duì)于傳統(tǒng)設(shè)備軟件和硬件技術(shù)的革新。顧名思義有“下一代”必然有上一代，既是傳統(tǒng)防火墻。相較于傳統(tǒng)防火墻，NGFW站在更高山峰，以全局視角解決用戶網(wǎng)絡(luò)面臨的實(shí)際問題，不是簡單的功能堆砌和性能疊加，而是真正的集成，貼切網(wǎng)絡(luò)環(huán)境與用戶需求，基于用戶防護(hù)、面向應(yīng)用安全、涵蓋傳統(tǒng)防火墻功能、加入入侵防御系統(tǒng)（IPS）功能等等一系列NGFW功能讓人對(duì)網(wǎng)絡(luò)的管理更具信心。

NGFW作為一個(gè)整合深度數(shù)據(jù)流檢測(cè)、應(yīng)用安全識(shí)別，以及攻擊防護(hù)的安全平臺(tái)，必須要具備傳統(tǒng)企業(yè)級(jí)防火墻的全部功能。當(dāng)然，作為一款高性能的防火墻產(chǎn)品的NGFW，與傳統(tǒng)防火墻應(yīng)用是有所區(qū)別的，既要有強(qiáng)大的技術(shù)研發(fā)實(shí)力做后盾，又要足夠了解用戶應(yīng)用環(huán)境的變遷，而且還應(yīng)具備強(qiáng)大的產(chǎn)品服務(wù)團(tuán)隊(duì)，在后期的服務(wù)上能為用戶提供更細(xì)致的幫助。

NGFW與UTM

也許有人會(huì)疑惑，如上所說NGFW相比傳統(tǒng)的防火墻有如此多的優(yōu)秀強(qiáng)悍的功能，那么相比統(tǒng)一威脅管理（UTM）產(chǎn)品來說，哪個(gè)更好呢？

在功能上NGFW與UTM沒有明顯的差別，只是UTM需要部署在防火墻的后方?？偟恼f來它們都是比較復(fù)雜的產(chǎn)品，由于缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，因此很難對(duì)不同廠家的此類產(chǎn)品進(jìn)行橫向?qū)Ρ取Ｒ袛嗄硞€(gè)產(chǎn)品的功能是否能夠幫助你，你必須深刻了解企業(yè)的需求，并進(jìn)行大量的測(cè)試：

架構(gòu)：NGFW設(shè)備應(yīng)該將各種安全功能融入一個(gè)獨(dú)立的架構(gòu)中，以證明其是真正意義上的集成，而不是簡單的將多個(gè)安全設(shè)備堆疊到一起，塞進(jìn)叫防火墻的外殼里。缺乏集成性能也許表示該產(chǎn)品的安全性能不能令人滿意。

吞吐量性能：具備了多種安全功能的設(shè)備，吞吐量是必須考慮的問題。所有的附加安全功能、檢測(cè)功能無疑都會(huì)在一定程度上降低數(shù)據(jù)流的速度。當(dāng)開啟了所有的安全功能后，設(shè)備的數(shù)據(jù)吞吐量應(yīng)仍然能夠達(dá)到企業(yè)的要求。另外，在測(cè)試過程中，還要考慮到防火墻所采用的策略或規(guī)則數(shù)量，因?yàn)檫@些因素同樣會(huì)對(duì)防火墻處理速度有影響。

使用便利性：選擇NGFW的一個(gè)重要原因是企業(yè)管理人員希望能夠簡化多種安全設(shè)備維護(hù)和管理所帶來的不便。因此，NGFW應(yīng)該具有直觀的管理界面，簡單的規(guī)則或策略制定流程。而一些集成度不夠好的產(chǎn)品，在不同的安全功能設(shè)置界面上，會(huì)出現(xiàn)很明顯的差異。

和其他安全產(chǎn)品一樣，NGFW也不是網(wǎng)絡(luò)安全的萬靈藥。部署NGFW也需要大量的工作，并需要不斷的維護(hù)。不過一旦成功部署NGFW，確實(shí)可以有效的減輕管理員的工作壓力，并提升應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊的防護(hù)效果。

管理挑戰(zhàn)

NGFW將通過集成入侵防御和應(yīng)用于用戶監(jiān)控功能來提升網(wǎng)絡(luò)安全性，但是它們也會(huì)帶來新的管理挑戰(zhàn)。由于傳統(tǒng)防火墻充斥了大量廢棄的規(guī)則，所以防火墻管理總是一個(gè)有挑戰(zhàn)的工作，但是在使用NGFW管理技術(shù)之后，網(wǎng)絡(luò)安全專業(yè)人員將需要維護(hù)更多的規(guī)則和策略。

NGFW的管理對(duì)于用戶來說有著不小的挑戰(zhàn)，主要表現(xiàn)在：確認(rèn)訪問策略與網(wǎng)絡(luò)分片策略是否正確實(shí)施、維護(hù)入侵防御系統(tǒng)簽名、以及優(yōu)化防火墻規(guī)則集。

傳統(tǒng)防火墻管理就是變更控制，擁有成熟防火墻變更管理方法的企業(yè)更能避免安全漏洞和性能破壞問題。在NGFW中，隨著防火墻環(huán)境變得越來越復(fù)雜，有些無法通過手工流程進(jìn)行可靠地管理，因此自動(dòng)化也變得越來越重要。

總結(jié)

雖然關(guān)于NGFW的概念不一，但是總結(jié)起來NGFW主要有以下幾個(gè)要素：

1、可根據(jù)應(yīng)用行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制。

2、涵蓋傳統(tǒng)防火墻、IPS和UTM的主要功能。

3、具備智能的流量管理控制和策略配合。

目前，安全市場中的NGFW產(chǎn)品越來越智能，越來越復(fù)雜！面對(duì)防火墻的更新?lián)Q代，用戶需要更加成熟與協(xié)調(diào)的管理方法。而且隨著云計(jì)算的發(fā)展，NGFW如何適應(yīng)云計(jì)算的新功能，快速融入云計(jì)算為用戶提供安全防護(hù)也成為NGFW廠商需要考慮的問題。那么具備以上三個(gè)要素的NGFW未來究竟如何？筆者只能說，安全威脅瞬息萬變，促使安全產(chǎn)品更新?lián)Q代，而下一代防火墻的未來仍將面臨諸多挑戰(zhàn)。