時值新年伊始之際，各大媒體都在對過去一年的網(wǎng)絡(luò)安全市場做各種盤點，而“下一代防火墻”無一例外成為各種盤點中的熱門主題詞，被公認為最火熱的安全技術(shù)發(fā)展趨勢。然而不得不說，作為一個產(chǎn)品品類名稱，“下一代防火墻”這個名字太過模糊了。我們所熟知的 “路由器”、“交換機”、“防火墻”等等，僅僅通過名字，我們就可以對其產(chǎn)品的功能內(nèi)涵做出一個大致的推測。然而，“下一代防火墻”卻不是這樣，我們最多就能了解到這是一款與傳統(tǒng)防火墻不一樣的安全產(chǎn)品，而究竟哪里不一樣，這是一種什么樣的安全產(chǎn)品則完全沒有提及。事實上也正是因為這種命名上的模糊，才導(dǎo)致了當(dāng)前的下一代防火墻市場標(biāo)準(zhǔn)混雜，實現(xiàn)各異，令廣大用戶是莫衷一是。甚至連許多業(yè)內(nèi)人士也無法準(zhǔn)確的說出下一代防火墻究竟是什么，所以孔子才說“必也正名乎”!本文將對下一代防火墻的來龍去脈做一個簡單的梳理，并分別從“主要防御風(fēng)險”和“主要防御技術(shù)”兩個維度來對下一代防火墻進行描述，希望通過這樣一篇文章，讀者可以清晰的理解，為什么要“下一代”，什么才是下一代。

首先從威脅的角度來看一下。傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品防護的主要是“病毒”、DDOS攻擊、系統(tǒng)漏洞掃描與攻擊。與之相應(yīng)的產(chǎn)品是“傳統(tǒng)防火墻”、“UTM”、“IPS”等。然而網(wǎng)絡(luò)安全的情況已經(jīng)有了很大變化。當(dāng)前網(wǎng)絡(luò)安全的主要威脅已經(jīng)變成了“木馬”“釣魚網(wǎng)站”“數(shù)據(jù)泄露”“僵尸網(wǎng)絡(luò)”等問題。傳統(tǒng)的網(wǎng)絡(luò)威脅一般與正常應(yīng)用有很大區(qū)別，特征容易被識別和防御，攻擊一般發(fā)生在單一時點。而當(dāng)代威脅則變得更加隱蔽、主要通過各種網(wǎng)絡(luò)應(yīng)用為載體，混雜在正常的網(wǎng)絡(luò)應(yīng)用中，用傳統(tǒng)手段很難被識別和防御，而且從滲透到駐留再到發(fā)生實際的攻擊行為，往往會持續(xù)很長時間。“威脅”與“防護”，始終是一個魔道相長的過程，威脅已經(jīng)發(fā)生了變化，防護技術(shù)也必須相應(yīng)的發(fā)生變化。“下一代防火墻”就是針對這種變化，以“木馬”“釣魚網(wǎng)站”“數(shù)據(jù)泄露”“僵尸網(wǎng)絡(luò)”等下一代威脅為主要防范對象的網(wǎng)絡(luò)安全產(chǎn)品。

再來說一下安全技術(shù)。過去的網(wǎng)絡(luò)安全設(shè)備，最主要的技術(shù)就是兩個——基于網(wǎng)絡(luò)層地址和傳輸層端口的訪問控制技術(shù)和基于特征匹配的殺毒和攻擊防護技術(shù)。這樣的技術(shù)在新的網(wǎng)絡(luò)威脅面前已經(jīng)逐漸失去了作用。由于“木馬”“僵尸網(wǎng)絡(luò)”“釣魚網(wǎng)站”等威脅基本都是通過正常應(yīng)用注入的，而僅僅通過網(wǎng)絡(luò)層和傳輸層特征是無法將網(wǎng)絡(luò)威脅和正常應(yīng)用區(qū)分開的，并且由于安全策略配置在特定端口上還會導(dǎo)致由端口跳變帶來的威脅逃逸。因此必須引入更為先進的，與端口無關(guān)且可以分辨出網(wǎng)絡(luò)流量的用戶特征、應(yīng)用特征、內(nèi)容特征的“應(yīng)用識別”技術(shù)才有可能在保證正常網(wǎng)絡(luò)應(yīng)用同時對網(wǎng)絡(luò)威脅進行防護。同時，由于很多應(yīng)用都采取一些加密技術(shù)，而威脅往往會隱藏在加密后的流量中，從而導(dǎo)致威脅無法被檢查。所以對于加密、隧道、代理等逃逸技術(shù)的應(yīng)對成為了另外一項關(guān)鍵能力。而由于“木馬”往往都有著很強的變形能力，使得基于特征匹配的查殺手段很難跟上“木馬”的變形速度，因此“云查殺”也就成為了下一代安全的又一個必然選擇。另外，基于“網(wǎng)絡(luò)行為分析”的主動防御技術(shù)，則成為了防御僵尸網(wǎng)絡(luò)和間諜軟件的有力武器。綜上所述，下一代防火墻在技術(shù)上與傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品有著本質(zhì)的區(qū)別，他主要是通過“應(yīng)用識別”、“防逃逸”、“云安全”、“網(wǎng)絡(luò)行為分析”等技術(shù)來保護網(wǎng)絡(luò)安全, 關(guān)于這一點，在現(xiàn)有的產(chǎn)品實現(xiàn)中，比如PALO ALTO 的PA系列產(chǎn)品，和網(wǎng)康的NGFW產(chǎn)品身上都得到了明確的體現(xiàn)。

通過對 “主要防護威脅”和“主要安全技術(shù)”這兩個維度的分析，我們可以清晰的看到，下一代防火墻是通過“應(yīng)用識別”、“云查殺”、“行為分析”等先進技術(shù)，針對“木馬”、“僵尸網(wǎng)絡(luò)”、“數(shù)據(jù)泄露”等當(dāng)代網(wǎng)絡(luò)的主要威脅進行防護的下一代網(wǎng)絡(luò)安全產(chǎn)品。“下一代防火墻”是企業(yè)IT架構(gòu)和IT應(yīng)用日益復(fù)雜化差異化的客觀需要，是應(yīng)對下一代威脅的必然需求，也是下一代安全技術(shù)的集大成者。