下一代防火墻"NGFW"，一個從產生到日漸成熟仍舊擁有一定熱度的詞匯，相較于傳統的防火墻，NGFW的安全性能有了很大的提升，體現了極強的可視性、融合性、智能化。本文來和大家說說下一代防火墻的"三個"。

下一代防火墻"NGFW"，一個從產生到日漸成熟仍舊擁有一定熱度的詞匯，相較于傳統的防火墻，NGFW的安全性能有了很大的提升，體現了極強的可視性、融合性、智能化。本文來和大家說說下一代防火墻的"三個"。

下一代防火墻發展的三個拐點

事物的更新迭代是必然的，就像是一個朝代的興起與衰落，而防火墻性能的提升自然也不會例外，于是下一代防火墻應景而生。同很多新生事物一樣，它也需要慢慢的發展而后變得成熟。下面我們一起看看它的經歷。

拐點一：下一代防火墻的萌動發展

隨著國外用戶對應用的增多、攻擊復雜，傳統的防火墻已經不能滿足人們的需求。于是美國的PaloAlto公司率先發布了下一代防火墻的產品，并憑借僅有的一條產品線在國外市場獲得眾多用戶的青睞。2009年，著名的分析機構Gartner年發布的一份名為《Defining the Next-Generation Firewall》的文章重新定義了防火墻，它集成了深度包檢測入侵測試、應用識別與精細控制。這個定義一經發布便受到了國外一些安全廠商的熱捧，認為傳統防火墻十多年緩慢的發展確實越來越不匹配其網絡邊界第一道防線的稱號。

拐點二：下一代防火墻熱潮洶涌

隨著國外防火墻的升級發展，國內廠商也紛紛發布自己的下一代防火墻以順應網絡安全產品變革的趨勢，一股下一代防火墻的熱潮被掀起。這其中比較知名的廠商有：梭子魚、深信服、銳捷、天融信、東軟等，各家產品有著各自不同的特點。總的來說，下一代防火墻相比傳統的防火墻功能更加的全面，性能更是強勁。

拐點三：下一代防火墻日漸成熟

熱潮過后，廠商不斷的反思對下一代防火墻進行改進升級。從2011年國內的下一代防火墻開始發展至今，這近兩年的時間過后，下一代防火墻越來越成熟，越來越被人們認可接受。很多的用戶使用下一代防火墻來構建自己的網絡安全防御體系，各行業也逐步在制定下一代防火墻的行業規范。越來越多的用戶發現，在選擇五花八門的各類傳統安全產品如防火墻、入侵防御、防病毒、web應用防火墻的時候下一代防火墻似乎能更好的滿足其對網絡安全建設的需求，因此越來越多的用戶也逐步過渡到使用下一代防火墻的大軍中來。根據Gartner的預測，到 2014 年，35% 的企業將會安裝下一代防火墻，而60%用戶新購買的防火墻將是NGFW。相比這個數字在國內很快就會得到驗證。　　

NGFW對比傳統防火墻三大優勢：

優勢一，支持聯動的集成化IPS。集成的網絡入侵檢測，支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應當大于這兩部分效果的總和。例如提供防火墻規則來阻止某個地址不斷向IPS加載惡意傳輸流。在NGFW中，應該由防火墻建立關聯，而不是操作人員去跨控制臺部署解決方案。

第二，應用管控與可視化。應用意識和全棧可見性：識別應用和在應用層上執行獨立于端口和協議，而不是根據純端口、純協議和純服務的網絡安全政策。

第三，智能化聯動。額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優化的阻止規則庫。如：利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

NGFW三大必備功能：

第一，基于用戶防護。傳統防火墻策略都是依賴IP或MAC地址來區分數據流，不利于管理也很難完成對網絡狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統，實現了分級、分組、權限、繼承關系等功能，充分考慮到各種應用環境下不同的用戶需求。此外還可集成安全準入控制功能，支持多種認證協議與認證方式，實現基于用戶的安全防護策略部署與可視化管控。一些下一代防火墻產品的設計十分看重產品的實用性，對數據轉發和安全業務處理流程進行了最大化的整合優化。

第二，面向應用安全。在應用安全方面，下一代防火墻應該包括"智能流檢測"和"虛擬化遠程接入"。一方面對各種應用深度識別；另一方面，在解決數據安全性問題時，通過將虛擬化技術與遠程接入技術相結合，為遠程接入終端提供虛擬應用發布與虛擬桌面功能，使其本地無需執行任何應用系統客戶端程序就可完成與內網服務器端的數據交互，實現終端到業務系統的"無痕訪問"，進而達到終端與業務分離的目的。如，一些下一代防火墻系統內置有上千種應用的特征庫。

第三，融合安全技術，實現智能防護。下一代防火墻的整套安全防御體系都應該是基于動態云防護設計的。首先，可以通過"云"來收集安全威脅信息并快速尋找解決方案，及時更新攻擊防護規則庫并以動態的方式實時部署到各用戶設備中，保證用戶的安全防護策略得到及時、準確的動態更新，如：一些NGFW供應商就采取了"全球化"的網絡安全響應機制；其次，通過 "云"，使得策略管理體系的安全策略漂移機制能夠實現物理網絡基于"人"、虛擬計算環境基于"VM"（虛擬機）的安全策略動態部署。

第一，集成化、單引擎：UTM也提供多種安全功能的單一設備，盡管也包含第一代防火墻和IPS功能，但它們不提供應用意識功能，而且不是集成的、單引擎產品，它只是把多種安全引擎疊加在了一起，這會使數據流在每個安全引擎分別執行解碼、狀態復原等操作，導致大量的資源消耗。而NGFW產品自設計之初，就采用了一體化的引擎。

第二，能適應不同規模的企業：UTM適合在分支辦事機構中節省費用，適用于較小的公司，但滿足不了大型企業需要。

第三，性能更強，管理更高效：傳統UTM在功能疊加上無法實現應用高效，在管理控制上也有不足之處。一些UTM設備有很多功能，如：防火墻、上網行為、應用識別、IPS等，但這僅僅是各種功能的堆疊，當這些功能全開時，性能會大打折扣。下一代防火墻采用一體化引擎，可一次性對數據流完成識別、掃描，達到更高的性能，通過融合，還可讓管理者更加輕松。如，德國一家企業用了3000臺下一代防火墻，卻只需2個網管人員，這是因為它有一個集中設備管理器，以此可以高效低監控所有設備。

關于NGFW的三大爭論：

爭論一，NGFW就是個加強型的UTM。

這種觀點認為，與UTM相比，下一代防火墻并沒有本質的區別。二者在功能上確實有相似之處，都強調安全功能的整合。UTM是集成了常用安全功能的設備，包括傳統防火墻、網絡入侵檢測與防護和網關防病毒功能，并且可能會集成其他一些安全或網絡特性。但如前所述，NGFW并非簡單地對UTM的加強。

爭論二，NGFW純粹是廠商概念炒作，沒什么新東西。

這種觀點認為，下一代防火墻只是安全廠商在遭遇市場瓶頸后的新一輪概念炒作，并沒有本質的功能提升。我們不能完全排除一些廠商炒作的成分，但從客戶需求本身來，傳統的防火墻已然在應對新的安全威脅中力不從心，市場呼喚有一種新的更加有效安全防護方式來應對這些新威脅。下一代防火墻的應運而生也就不能稱之為炒作。

爭論三，NGFW其實早就有，只是沒歸納成概念。

一些廠商認為，從與用戶企業的溝通中，根據用戶的需求，在自家產品中很早就將"應用管控"、"可視化"等功能融入其中，這已經符合了下一代防火墻的思路和理念。但只是并未概念化，將其歸納為"下一代"。但實際上，業界對下一代防火墻的的幾個必備要素已經基本達成共識，只有擁有這些基本要素的才可稱為下一代防火墻.

對于用戶企業而言，面對業界紛紛擾擾的概念爭論和林林總總的新產品，應避免對廠商包裝后的概念的膚淺認識，理解NGFW和UTM的本質特性，而不必拘泥于尚未完全統一的概念本身。最重要的是，在此基礎上，根據本企業的新的安全需求，選用最適合的安全產品和解決方案。