安全分析:下一代防火墙应对安全新变化

　　什么不是NGFW?

　　现在有一些与NGFW相邻但不相等的基于网络的安全产品领域：

　　中小企业多功能防火墙或UTM设备：这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能，但它们不提供应用意识功能，而且不是通常集成的、单引擎产品。它们适合于在分支办事机构中节省费用，适用于较小的公司，但它们不能满足大型企业的需要。这类产品包括与低质量IPS搭配的第一代防火墙，并且/或者深度检查和应用控制特性只不过同时出现在一台设备中而不是紧密的集成。

　　基于网络的数据丢失防御(DLP)设备：这类设备执行对网络传输流的深度包检查，但将重点放在检测以前识别的数据类型是否经过检查点。它们在执行数据安全政策时没有实时要求，不能执行线速度网络安全政策。

　　安全Web网关(SWG)：这类设备侧重于通过集成的URL过滤和Web杀毒，执行出站的用户访问控制和进站的恶意件防御。它们侧重于在“使用任意协议的任意源到任意目的地”基础上，执行以用户为中心的Web安全政策，而不是网络安全政策。

　　消息安全网关：这类设备重点放在执行容忍延时的出站内容政策和执行入站防垃圾邮件和防恶意件上。它们不执行线速度网络安全政策。

　　尽管这些产品可能基于网络并使用类似的技术，但它们执行属于企业内不同运营部门的责任和权力的安全政策。Gartner认为在IT和安全组织责任从根本上改变之前，这些领域不会融合在一起。

　　NGFW也不是“身份防火墙”，不是一种基于身份的访问控制机制。在多数环境中，网络安全部门没有在应用层上执行基于用户的访问控制政策的责任和权力。Gartner认为NGFW将能够在部门级合并身份信息来做出更好的网络安全决定，但它们一般将不用于执行细粒度的用户级执行决定。

　　NGFW将逐渐成功

　　目前，有一些已经将他们的产品升级为提供应用意识和一些NGFW特性的防火墙和IPS厂商和一些关注NGFW能力的新兴公司。随着防火墙和IPS更新周期的自然到来，或者随着带宽需求的增加，或者随着成功的攻击促使更新防火墙，大企业将用NGFW替换已有的防火墙。Gartner认为不断变化的威胁环境以及不断变化的业务和IT流程，将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。NGFW厂商成功的关键将是以同样或略高于第一代防火墙的价格，提供包含NGFW能力又具有第一代防火墙和IPS特性的NGFW。

　　目前仅有不到1%的Internet连接采用NGFW来保护。我们认为到2014年底，这个数字将增加到占安装基础的35%，60%新购买的防火墙将是NGFW。

　　关键结论

　　第一代防火墙提供的状态性协议过滤和有限的应用意识在对付当前和新出现的威胁时不再有效。

　　与优化的组合平台相比，使用分离的防火墙和入侵防御设施导致更高的运营成本，并且没有提高安全性。

　　可以检测针对特定应用的攻击和执行针对特定应用的细粒度安全政策(不管是入站还是出站传输流)的下一代防火墙(NGFW)正在出现。

　　NGFW在与其他安全控制层结合时最为有效。

　　建议

　　如果你还没有部署入侵检测，到了更新防火墙时，要求厂商提供NGFW。

　　如果你已经部署了网络防火墙和网络入侵检测系统，同步这两种技术的更新周期，向NGFW迁移。

　　如果你使用托管的外围防线安全服务，在下一次更新合同时，将服务升级为NGFW服务。