防火墻必須演進(jìn)，才能夠更主動(dòng)地阻止新威脅(例如僵尸網(wǎng)絡(luò)和定位攻擊)。隨著攻擊變得越來越復(fù)雜，企業(yè)必須更新網(wǎng)絡(luò)防火墻和入侵防御能力來保護(hù)業(yè)務(wù)系統(tǒng)。

不斷變化的業(yè)務(wù)流程、企業(yè)部署的技術(shù)，以及威脅，正推動(dòng)對(duì)網(wǎng)絡(luò)安全性的新需求。不斷增長的帶寬需求和新應(yīng)用架構(gòu)(如Web2.0)，正在改變協(xié)議的使用方式和數(shù)據(jù)的傳輸方式。安全威脅將焦點(diǎn)集中在誘使用戶安裝可逃避安全設(shè)備及軟件檢測(cè)的有針對(duì)性的惡意執(zhí)行程序上。在這種環(huán)境中，簡單地強(qiáng)制要求在標(biāo)準(zhǔn)端口上使用合適的協(xié)議和阻止對(duì)未打補(bǔ)丁的服務(wù)器的探測(cè)，不再有足夠的價(jià)值。為了應(yīng)對(duì)這些挑戰(zhàn)，防火墻必須演進(jìn)為被著名市場(chǎng)研究公司Gartner稱之為“下一代防火墻(NextGenerationFirewall，簡稱NGFW)”的產(chǎn)品。如果防火墻廠商不進(jìn)行這些改變的話，企業(yè)將要求通過降價(jià)來降低防火墻的成本并尋求其他安全解決方案來應(yīng)對(duì)新的威脅環(huán)境。

一、什么是NGFW?

對(duì)于使用僵尸網(wǎng)絡(luò)傳播方式的威脅，第一代防火墻基本上是看不到的。隨著面向服務(wù)的架構(gòu)和Web2.0使用的增加，更多的通信通過更少的端口(如HTTP和HTTPS)和使用更少的協(xié)議傳輸，這意味著基于端口/協(xié)議的政策已經(jīng)變得不太合適和不太有效。深度包檢測(cè)入侵防御系統(tǒng)(IPS)的確是檢查針對(duì)沒有打補(bǔ)丁的操作系統(tǒng)和軟件的已知攻擊方法，但不能有效地識(shí)別和阻止應(yīng)用程序的濫用，更不要說應(yīng)用程序中的特殊性了。

Gartner將網(wǎng)絡(luò)防火墻定義為在不同信任級(jí)別的網(wǎng)絡(luò)之間實(shí)時(shí)執(zhí)行網(wǎng)絡(luò)安全政策的聯(lián)機(jī)控制。Gartner使用“下一代防火墻”這個(gè)術(shù)語來說明防火墻在應(yīng)對(duì)業(yè)務(wù)流程使用IT的方式和威脅試圖入侵業(yè)務(wù)系統(tǒng)的方式發(fā)生變化時(shí)應(yīng)采取的必要的演進(jìn)。

NGFW至少具有以下屬性：

1．支持聯(lián)機(jī)“bump-in-the-wire”配置，不中斷網(wǎng)絡(luò)運(yùn)行。

2．發(fā)揮網(wǎng)絡(luò)傳輸流檢查和網(wǎng)絡(luò)安全政策執(zhí)行平臺(tái)的作用，至少具有以下特性：

（1）標(biāo)準(zhǔn)的第一代防火墻能力：包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測(cè)、VPN等等。

（2）集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)入侵檢測(cè)：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動(dòng)效果應(yīng)當(dāng)大于這兩部分效果的總和。例如提供防火墻規(guī)則來阻止某個(gè)地址不斷向IPS加載惡意傳輸流。這個(gè)例子說明，在NGFW中，應(yīng)該由防火墻建立關(guān)聯(lián)，而不是操作人員去跨控制臺(tái)部署解決方案。集成具有高質(zhì)量的IPS引擎和特征碼，是NGFW的一個(gè)主要特征。

（3）應(yīng)用意識(shí)和全?？梢娦裕鹤R(shí)別應(yīng)用和在應(yīng)用層上執(zhí)行獨(dú)立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。例子包括允許使用Skype，但關(guān)閉Skype中的文件共享或始終阻止GoToMyPC。

（4）額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

3．支持新信息饋送和新技術(shù)集成的升級(jí)路徑來應(yīng)對(duì)未來的威脅。

舉個(gè)例子，NGFW可以阻止細(xì)粒度的網(wǎng)絡(luò)安全政策違規(guī)或發(fā)出報(bào)警。如使用Web郵件、匿名服務(wù)器、對(duì)等網(wǎng)絡(luò)技術(shù)或PC遠(yuǎn)程控制，只簡單地根據(jù)目的IP地址來阻止對(duì)提供這些服務(wù)的已知源地址的訪問是不夠的。政策的顆粒度要求僅阻止某些類型的應(yīng)用與目的IP地址的通信，而允許其他類型的應(yīng)用與這些目的IP地址通信。轉(zhuǎn)向器使確定的黑名單不可能實(shí)現(xiàn)，這意味著有許多NGFW可以識(shí)別和阻止不受歡迎的應(yīng)用，即使這些應(yīng)用被設(shè)計(jì)為逃避檢查或用SSL加密。應(yīng)用識(shí)別的一個(gè)額外好處是帶寬控制。因?yàn)?，消除了不受歡迎的對(duì)等網(wǎng)絡(luò)傳輸流可以大大減少帶寬的使用。

二、什么不是NGFW?

現(xiàn)在有一些與NGFW相近，但不相同的基于網(wǎng)絡(luò)的安全產(chǎn)品領(lǐng)域：

1．中小企業(yè)多功能防火墻或UTM設(shè)備：這類設(shè)備是提供多種安全功能的單一設(shè)備。盡管它們總是包含第一代防火墻和IPS功能，但它們不提供應(yīng)用意識(shí)功能，而且不是集成的、單引擎產(chǎn)品。它們適合于在分支辦事機(jī)構(gòu)中節(jié)省費(fèi)用，適用于較小的公司，但它們不能滿足大型企業(yè)的需要。這類產(chǎn)品包括與低質(zhì)量IPS搭配的第一代防火墻，其深度檢查和應(yīng)用控制特性，只不過同時(shí)出現(xiàn)在一臺(tái)設(shè)備中，而不是緊密的集成。

2．基于網(wǎng)絡(luò)的數(shù)據(jù)丟失防御(DLP)設(shè)備：這類設(shè)備執(zhí)行對(duì)網(wǎng)絡(luò)傳輸流的深度包檢查，但將重點(diǎn)放在檢測(cè)以前識(shí)別的數(shù)據(jù)類型是否經(jīng)過檢查點(diǎn)。它們?cè)趫?zhí)行數(shù)據(jù)安全政策時(shí)沒有實(shí)時(shí)要求，不能執(zhí)行線速網(wǎng)絡(luò)安全政策。

3．安全Web網(wǎng)關(guān)(SWG)：這類設(shè)備側(cè)重于通過集成的URL過濾和Web殺毒，執(zhí)行出站的用戶訪問控制和進(jìn)站的惡意軟件防御。它們側(cè)重于在“使用任意協(xié)議的任意源到任意目的地”基礎(chǔ)上，執(zhí)行以用戶為中心的Web安全政策，而不是網(wǎng)絡(luò)安全政策。

4．消息安全網(wǎng)關(guān)：這類設(shè)備重點(diǎn)放在執(zhí)行容忍延時(shí)的出站內(nèi)容政策和執(zhí)行入站防垃圾郵件和防惡意軟件上，它們不執(zhí)行線速網(wǎng)絡(luò)安全政策。

盡管這些產(chǎn)品可能基于網(wǎng)絡(luò)并使用類似的技術(shù)，但它們執(zhí)行屬于企業(yè)內(nèi)不同運(yùn)營部門的責(zé)任和權(quán)力的安全政策。Gartner認(rèn)為，在IT和安全組織責(zé)任從根本上改變之前，這些領(lǐng)域不會(huì)融合在一起。

NGFW也不是“身份防火墻”，不是一種基于身份的訪問控制機(jī)制。在多數(shù)環(huán)境中，網(wǎng)絡(luò)安全部門沒有在應(yīng)用層上執(zhí)行基于用戶的訪問控制政策的責(zé)任和權(quán)力。Gartner認(rèn)為，NGFW將能夠通過部門級(jí)合并身份信息來做出更好的網(wǎng)絡(luò)安全決定，但它們一般將不用于執(zhí)行細(xì)粒度的用戶級(jí)執(zhí)行決定。

三、NGFW將逐漸成功

目前，有一些已經(jīng)將他們的產(chǎn)品升級(jí)為提供應(yīng)用意識(shí)和一些NGFW特性的防火墻和IPS廠商，以及一些關(guān)注NGFW能力的新興公司。隨著防火墻和IPS更新周期的自然到來，或者隨著帶寬需求的增加和隨著成功的攻擊，促使更新防火墻，大企業(yè)將用NGFW替換已有的防火墻。Gartner認(rèn)為不斷變化的威脅環(huán)境，以及不斷變化的業(yè)務(wù)和IT流程將促使網(wǎng)絡(luò)安全經(jīng)理在他們的下一個(gè)防火墻/IPS更新周期時(shí)尋找NGFW。NGFW廠商成功的關(guān)鍵將是以同樣或略高于第一代防火墻的價(jià)格，提供包含第一代防火墻和IPS特性的NGFW。

目前僅有不到1%的Internet連接采用NGFW來保護(hù)。Gartner認(rèn)為，到2014年底，這個(gè)比例將增加到占安裝量的35%，60%新購買的防火墻將是NGFW。