有客戶抱怨，給下一代防火墻修改一條規則，跟遭一場天災似的。企業內部設置的規程，讓防火墻規則的修改相當不易。如今，企業紛紛在內網部署下一代防火墻進行訪問控制和數據泄露預防。但這一解決方案，最好的情況下，作用也是有限的。這些防火墻檢測不出數據泄露，也阻止不了內部威脅。

主要原因有三：

策略是靜態的，適應不了動態威脅

無法學習和特征化用戶行為

威脅響應能力缺乏粒度

首先，下一代防火墻在區分好壞上是非常確定的。我們知道，內部威脅和安全違規的特點是，惡意攻擊者模擬合法用戶的行為——通常通過盜取憑證來實現。因此，盡管用戶可能是合法的，使用這些合法憑證的人的行為卻可能非法。內部人士想要濫用自身憑證的情況與之區別不大。下一代防火墻會確保用戶是合法的，只要憑證合法，訪問便會被放行。

其次，雖然獲取用戶資料和創建詳細的防火墻規則是可能的，但卻很不實際。用戶角色會變，他們的項目會變，他們所在的組也在變。想讓防火墻管理員跟上這些變化以確保安全，即便不是不可能，也是極其不切實際的。深入理解并特征化網絡中的每個用戶和實體，是防止繼續遭受侵害的要求，而下一代防火墻并沒有能力處理如此頻繁的變化。

再次，當威脅被檢測到的時候，如果唯一能用的響應僅僅是“允許”或“阻止”，那么，任何誤報或用戶行為的合法改變，都將導致用戶無法進行他/她的工作。因此，下一代防火墻的入侵檢測和預防模塊中極少看到“阻止”規則。安全管理員可不想因為一個誤報封鎖了CEO的網絡流量就被炒了。未確認嚴重性和置信度的威脅，需要更細粒度的響應。

因此，如果你想要檢測并封鎖此類內部威脅和安全違規，你需要的是行為防火墻。行為防火墻有3項能力可以克服下一代防火墻的局限：

能夠學習用戶行為

能動態演進策略以匹配用戶行為

細粒度的響應可使業務流程不受影響

行為防火墻可提供危險用戶、終端、被黑賬戶和特權用戶行為的可見性。通過監視和學習網絡中每個用戶、組、設備的行為，監測他們的登錄時間/地點、他們的角色、系統權限、口令強度等等，行為防火墻能夠特征化用戶和終端的預期正常行為。

一旦這樣的基線建立起來，便可自動或手動產生防火墻策略以確定怎樣響應不同的威脅。舉個例子，如果一個用戶突然遠程訪問一組網絡服務器，此前他從未進行過此類行為，且遠程訪問超出了該公司常規，那么，系統便會要求進行雙因子身份驗證以確認身份?；蛘?，安全管理員可以創建一條規則，不允許遠程訪問之前沒有訪問過的服務器。建立這樣的策略，當類似威脅被發現時，系統就能夠檢測并響應之，安全管理員也可以放下心來了。

最后，響應威脅，尤其是嚴重性未經確認的威脅，是一場賭博。要求的，是在下一代防火墻的“允許”/“阻止”之類常規響應之外，再加上細粒度自動化響應機制，雙因子身份驗證、通知、重復驗證等等。這樣的粒度能確保維系安全的同時合法用戶不會被妨礙到工作。

下一代防火墻已經風光了近10年，在網絡邊界防護上依然很不錯。但涉及到企業邊界內部的防護，它們的能力缺口就太大了，而它們能被如何重新設計以克服這些局限，目前還是未知數。