當前各種網絡威脅層出不窮，企業的網絡安全重要性日益凸顯，拋開傳統的IP、端口，并基于應用層進行重構安全的下一代防火墻，已成為企業網絡安全防護的新選擇。然而調查數據顯示，企業用戶（特別是中小型企業用戶）對于下一代防火墻的認知仍有不足，他們很難明確區分下一代防火墻與傳統防火墻、UTM的區別，這就拖慢了下一代防火墻的普及步伐。對此，下文將會對為何要遷移到下一代防火墻展開剖析。

　　下一代防火墻是什么？

從最早的包過濾防火墻至今，防火墻已經歷了5代的演進，每一個時代的進化都向防火墻注入新的技術和活力。而隨著網絡活動的急劇增加并日趨復雜，網絡攻擊也呈現出多樣化、復合化的趨勢。傳統防火墻和UTM在應對網絡新威脅面前，性能越發捉襟見肘，無法滿足企業用戶的安全需求。

　　面對網絡新威脅，傳統的防火墻已無法勝任網絡安全重任

對此，知名咨詢機構Gartner于2009年提出了為應對當前與未來新一代網絡安全威脅，有必要將防火墻升級為“下一代防火墻”的理念。

下一代防火墻（Next-Generation Firewall，縮寫為NGFW）是一款可以全面應對應用層威脅的高性能防火墻。它是一種融合式網絡設備平臺，可將多種安全功能整合其上。除了傳統的防火墻功能之外，還包括線上深度封包檢測（DPI），入侵預防系統（IPS），應用層偵測與控制，SSL/SSH檢測，網站過濾，以及QoS/帶寬管理等功能，使得這個系統能夠應對復雜而高級的網絡攻擊行為。

如今，距離下一代防火墻概念首度提出已時隔5年，知名咨詢機構IDC又對下一代防火墻所必須具備的5大核心要素進行了歸納，一起來了解下吧。

下一代防火墻必備5大核心要素

IDC認為下一代防火墻所必須具備的5大核心要素分別是：

第一，針對應用、用戶、終端及內容的高精度管控。

訪問控制始終是防火墻類產品的核心功能，面對應用爆炸式發展、用戶接入手段多樣化、信息泄密問題突出等多重挑戰，當今的下一代防火墻應持續增強其訪問控制的精細度。

應用控制絕非傳統意義的阻斷應用，出于精細化控制的需求，下一代防火墻應該能夠控制各類平臺化應用的子功能，如QQ的文件傳輸等，同時還要能夠基于用戶和終端進行控制，而非傳統的IP地址，并且能夠對某些特定文件的內容進行深入過濾，以削減信息泄密的風險。

應用識別技術無疑成為滿足上述需求的本質，下一代防火墻在未來仍將持續提升對應用、用戶、終端和內容的識別能力，并對加密流量、隧道封裝的數據進行識別，隨著應用識別技術在廣泛度和精細度等方面的提升，企業將逐步由目前的黑名單訪問控制過渡至安全級別更高的白名單模式。

第二，一體化引擎多安全模塊智能數據聯動。

當今網絡威脅均為采用多種手段的復合式攻擊，無論是事中的防御還是事后的溯源，都要求下一代防火墻能夠將多種安全檢測技術融合。為此，下一代防火墻應采用“一體化引擎”架構，使其能夠全方位的防護安全威脅并實現智能的數據聯動。

產品專家認為，采用一體化引擎的優越性諸多，除了提升自身的防御能力外，還體現在其他兩個方面。首先，一體化引擎實現了數據的單路徑匹配，數據包僅需一次解碼即可匹配所有威脅特征，有助于設備性能的大幅提升，讓所有安全功能模塊能夠真正的開啟并發揮作用。

其次，對于隱蔽性極強的新型威脅，單維的分析散落多處的信息對于盡早感知威脅已毫無幫助。多安全模塊的融合，使得各個安全模塊在對數據檢測過程中產生的信息能夠充分關聯，徹底改變傳統安全設備信息割裂的詬病，用戶無需進行人工挖掘和分析即可全面掌握威脅全貌。

第三，外部的安全智能。

防火墻本地的運算性能和檢測能力始終是有限的，下一代防火墻應該具備聯動外部安全智能系統的能力。盡管這項要求早在2009年的定義中便有提及，但在當時的技術背景下，除了與用戶認證系統聯動之外，并未明確描述與其他系統的聯動。

伴隨云計算、大數據技術的不斷成熟，將云端的海量資源及大數據的高度智能用于判別日趨復雜的威脅，已成為業界公認的技術發展方向。近年來市場上也已經涌現出了不少以云沙箱檢測、病毒云查殺、威脅情報分析等為核心的新技術產品。因此，下一代防火墻應當具有與外部云計算聯動的能力，并且能夠利用大數據分析技術應對威脅特征庫中并未收錄的未知威脅。

第四，可視化智能管理。

防火墻設備的洞察力往往是廠商和用戶長期忽視的一項能力，然而在更復雜的威脅面前，用戶需要更加及時的掌握網絡現狀、風險、威脅、事件以及防御效果等用于支撐安全決策，下一代防火墻的可視化技術。

“智能”一詞對于下一代防火墻而言同樣是一項新的要求，專家認為，下一代防火墻要實現的可視化智能管理，絕非傳統意義上的日志呈現和TOP 10排名，真正的“智能”應該是在多維統計的基礎上加以深入的分析，并將結果呈現出來，以幫助用戶更加快速的了解網絡風險并及時部署防御措施。

同時，安全產品的有效性取決于操作安全產品的人員，在信息安全專業人才緊缺以及安全設備用戶范圍日趨廣泛的大環境下，下一代防火墻應當簡化配置難度、降低技術門檻并持續提升產品易用性。

第五，高性能處理架構。

性能的高低決定了下一代防火墻能夠部署的場景和位置，以及能否為更多的網絡和系統提供保護。鑒于很多大型網絡、數據中心出口出于性能的考慮無法開啟所謂的“下一代”安全功能，為下一代防火墻搭載高性能處理架構顯得尤為重要。

未來的網絡安全是應用層安全，所有的流量都要進行應用層的深入分析，因此下一代防火墻已將深度包檢測（DPI，用于應用識別及其它應用層安全功能）作為其架構中的基礎部件，設備開機即處于啟動狀態，并且鼓勵用戶打開全部安全功能。對于下一代防火墻用戶而言，真正有價值的參數是其應用層性能以及開啟全部安全功能后的性能。因此，下一代防火墻要滿足大型數據中心、運營商網絡環境的性能要求，必須持續提高應用層性能及多威脅安全檢測性能。

同傳統防火墻、UTM的區別

從前面了解到，為順應安全新形勢，下一代防火墻必須能夠針對應用、用戶、終端及內容進行高精度管控，具備一體化引擎并實現多安全模塊智能數據聯動，可擴展外部的安全智能并提供高處理性能，幫助用戶安全地開展業務并簡化用戶的網絡安全架構。那么下一代防火墻同傳統的防火墻以及UTM又有哪些區別呢？

傳統防火墻弱在哪兒？

傳統防火墻具有數據包過濾、網絡地址轉換（NAT）、協議狀態檢查以及VPN功能等功能。相對而言，下一代防火墻的檢測則更加精細化。不僅如此，傳統防火墻采用端口和IP協議進行控制的固有缺陷明顯已經落伍，對于利用僵尸網絡作為傳輸方法的威脅，基本無法探測到。

同時，由于采用的是基于服務的架構與Web2.0使用的普及，更多的通訊量都只是通過少數幾個端口及采用有限的幾個協議進行，這也就意味著基于端口/協議類安全策略的關聯性與效率都越來越低。深層數據包檢查入侵防御系統（IPS）可根據已知攻擊對操作系統與漏失部署補丁的軟件進行檢查，但卻不能有效的識別與阻止應用程序的濫用，更不用說對于應用程序中的具體特性的保護了。

不同于傳統的防火墻，下一代防火墻可基于應用進行智能識別、精細控制和一體化掃描

因此，由于固有缺陷和過時的管控策略，傳統的防火墻已經不能滿足企業網絡的安全需求了。而且隨著云計算、大數據、移動互聯加社交網絡的快速發展，傳統的防火墻更是無法應對新的攻擊威脅。

UTM不給力!

UTM（統一威脅管理，Unified Threat Management的縮寫）是由傳統的防火墻觀念進化而成，它將多種安全功能都整合在單一的產品之上，其中包括了網絡防火墻，防止網絡入侵（IDS），防毒網關（gateway antivirus，AV），反垃圾信件網關（gateway anti-spam），虛擬私人網絡（VPN），內容過濾（content filtering），負載平衡，防止資料外泄，以及設備報告等。

該UTM方案是由IDC提出，是指由硬件、軟件和網絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，將多種安全特性集成于一個硬設備里，構成一個標準的統一管理平臺。

雖然UTM與下一代防火墻有一些交集，但二者還是有本質區別。UTM只是將防火墻、IPS、AV進行簡單的功能堆砌，其致命缺陷就是采用串行掃描方式，包括吞吐量問題。特別是在較大的網絡中，在功能全部開放時的處理效率非常低下，而下一代防火墻自設計之初，就采用了一體化的引擎，它會一次性的對數據流完成識別、掃描，因而可以達到更高的性能。

綠盟下一代防火墻亮相正當其時

在了解了下一代防火墻的優勢后，部署什么樣的下一代防火墻更能為企業用戶帶來安全保障呢？綠盟下一代防火墻（NSFOCUS NF）的出現無疑成為企業用戶提供了不錯選擇。綠盟下一代防火墻是基于新一代64位多核硬件平臺，采用最新的應用層安全防護理念，同時結合先進的多核高速數據包并發處理技術，研發而成的企業級下一代邊界安全產品。

除了具有下一代防火墻廣義上的各個功能，綠盟下一代防火墻的核心理念更立足于用戶的網絡邊界，在以應用為核心的網絡安全策略、以內網資產風險識別、云端安全管理等方面擁有特色的安全防護體系。

　　綠盟下一代防火墻可進行快速的內網資產風險識別

其中綠盟下一代防火墻的七大優勢，包括全面的應用和用戶識別能力，細致的應用層控制手段，專業的應用層安全防護能力，卓越的應用層安全處理性能，首創的內網資產風險管理，先進的云端安全管理模式，以及完全涵蓋傳統防火墻功能特性。

　　綠盟下一代防火墻具有先進的云端安全管理模式

除了搭載有新一代64位多核并發、高速硬件平臺和雙引擎設計模式之外，其還采用了綠盟自主研發的并行操作系統，將管理、數通、安全平面并行部署在多核平臺上，借助于多平面并發處理，緊密協作，可顯著提升網絡數據包的安全處理性能。

綠盟下一代防火墻實測數據匯總

那么在實測中綠盟下一代防火墻的表現如何呢？在此前通過思博倫TestCenter和Avalance，以及IXIA Breaking Point三款專業測試設備對綠盟NX3系列G4000M下一代防火墻展開的實測中了解到，在考慮到實際場景已有基礎流量且部分功能開啟的前提下，綠盟NX3系列G4000M的實際測試結果可以成功超越了綠盟自己所公布的標稱數據。其中，最大并發會話數的測試結果為400萬，而每秒新建會話數的測試結果則約為9萬，成績不凡。

　　實測綠盟下一代防火墻性能表現

那么綠盟下一代防火墻在應用層吞吐性能測試上又表現如何呢？經過實測，綠盟NX3系列G4000M應用層實測成績達到了超過了5Gbps，再次超越給出的標稱應用層吞吐性能（4Gbps），同樣成績斐然！

應用層吞吐性能測試：

　　應用層吞吐性能測試結果：5Gbps-5.5Gbps

通過綠盟下一代防火墻展開的實際測試，可以驗證其采用雙引擎多核并發在多個CPU核心之上的這種設計，的確有著獨到的高速運行優勢。這種各司其職的創新架構不僅保證了基礎網絡數據包的高速轉發，更加確保了應用層安全處理的高性能。

綜上所述，作為新時代下網絡安全的新一代守護者，下一代防火墻的優勢顯而易見，而其中綠盟下一代防火墻更展示了強勁的防護性能，為廣大企業用戶提供了優質的網絡安全設備。相信未來的下一代防火墻必定會在應用識別、移動互聯網安全、整合威脅情報、擴展防御技術以及不斷改善用戶體驗等幾方面持續發展，成為企業網絡的重要防御利器。