何谓下一代防火墙

　　防火墙必需不断发展更新，才能更为主动的阻止各类新型威胁，如：僵尸网络与目标攻击等。而企业则需要更新其网络防火墙与入侵防御功能，以保护其业务系统安全，因为现在对于企业系统的攻击更为日趋复杂。

　　关于下一代防火墙的调研：

　　第一代防火墙具有的状态协议过滤与有限有业务识别功能再无法高效的应对当前与日益层出不穷的威胁。

　　分别使用各种防火墙与入侵防御设备会带来高额的运营成本，且在优化后的集成平台上无法得到更高的安全性。

　　下一代防火墙(NG Firewall，简称NGFW)面世，此类防火墙可探测到针对具体应用的攻击，并可对进出站流量执行具体的应用细粒度安全策略。

　　下一代防火墙是与其它层安全控制措施协作时最高效的解决方案。

　　如您的企业尚未部署网络入侵防御系统，则需要在您下一次防火墙更新时使用需要下一代防火墙功能的供应商产品。

　　如果您已部署了网络防火墙与网络入侵防御系统，则需对这两类产品技术保持同步更新循环，以便逐渐向下一代防火墙的功能过渡。

　　如果您使用的是受管控的周边安全服务，应在下一次合同续约时将服务升级为受管控的下一代防火墙服务。

　　下一代防火墙的背景

　　随着业务程序的变化，企业所采用的技术以及面临的威胁都促使了网络安全新要求的产生。带宽需求的增加以及新型应用架构(如：Web2.0)都在改变着协议的应用以及数据的传输。各类威胁主要针对易受攻击的用户，使其安装目标恶意可执行文件，即：可避开探测的文件。过去所一直采用的在标准端口执行适当的协议来阻止黑客们针对未部署补丁的服务器发起攻击的防御方式已再不能应对当前环境中的攻击。因此，面对这些问题，防火墙必需升级至Gartner所称之“下一代防火墙”。如防火墙提供商无法提供此类升级，则企业会要求价格折扣，以大幅降低其第一代防火墙成本，并寻求其它安全解决方案来解决当前新环境中的威胁问题

　　为应对当前与未来新一代的网络安全威胁，Gartner认为防火墙必需要再一次升级为“下一代防火墙”(参见“工具包：评估信息安全预算，2007年升级版”)。例，第一代防火墙现已基本无法探测到利用僵尸网络作为传输方法的威胁(参见“案例研究：计算机早期探测功能被僵尸网络客户端所威胁”)。由于当前采用的是基于服务的架构与Web2.0使用的普及，更多的通讯量都只是通过少数几个端口(如：HTTP与HTTPS)及采用有限的几个协议进行，这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查，但却不能有效的识别与阻止应用程序的滥用，更不用说对于应用程序中的具体特性的保护了。Gartner一直用“下一代防火墙”这一术语来说明可应对此类问题的下一阶段升级产品。

　　Gartner将网络防火墙定义为在线安全控制措施，即：可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性，以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。

　　何谓下一代防火墙

　　根据上述说法，梭子鱼网络有限公司对下一代防火墙做了一个更为明确的定义，即是集成了虚拟化软件和硬件架构的智能网络平台，可对各种流量实施深层探测并阻止各类攻击。下一代防火墙需具备下列最低属性：

　　· 支持在线BITW(线缆中的块)配置，同时不会干扰网络运行。

　　· 可作为网络流量检测与网络安全策略执行的平台，并具有下列最低特性：

　　1)标准的第一代防火墙功能：具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等。

　　2)集成式而非托管式网络入侵防御：支持基于漏洞的签名与基于威胁的签名。IPS与防火墙间的协作所获得的性能要远高于部件的叠加，如：提供推荐防火墙规则，以阻止持续某一载入IPS及有害流量的地址。这就证明，在下一代防火墙中，互相关联作用的是防火墙而非由操作人员在控制台制定与执行各种解决方案。高质量的集成式IPS引擎与签名也是下一代防火墙的主要特性。所谓集成可将诸多特性集合在一起，如：根据针对注入恶意软件网站的IPS检测向防火墙提供推荐阻止的地址。

　　3)业务识别与全栈可视性：采用非端口与协议vs仅端口、协议与服务的方式，识别应用程序并在应用层执行网络安全策略。范例中包括允许使用Skype但禁用Skype内部共享或一直阻止GoToMyPC。

　　4)超级智能的防火墙: 可收集防火墙外的各类信息，用于改进阻止决策，或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

　　· 支持新信息流与新技术的集成路径升级，以应对未来出现的各种威胁。

　　哪些产品不属于下一代防火墙

　　1、 中小型企业(SMB)的多功能防火墙或统一威胁管理(UTM)设备

　　2、 基于网络的数据丢失防范(DLP)设

　　3、 WEB安全网关(Web Filter)

　　4、 即时通讯类网关(IM Firewall)

　　下一代防火墙的未来应用

　　大型企业都将随着正常的防火墙与IPS更新循环的到来逐渐采用下一代防火墙代替其现有的防火墙，或因带宽需求的增高或遭受了攻击而进行防火墙升级。现在，许多防火墙与IPS供应商都已升级了其产品，以提供业务识别与部分下一代防火墙特性，且有许多新兴公司都十分关注下一代防火墙功能。Gartner认为随着威胁情况的变化以及业务与IT程序的改变都促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品。而下一代防火墙的供应商们成功占有市场的关键则在于需要证明第一代防火墙与IPS特性既可与当前的第一代功能相匹配，又能同时兼具下一代防火墙功能，或具有一定价格优势。

　　Gartner认为目前仅有不到1%的互联网连接采用了下一代防火墙保护。因此，有理由相信到2014年年末使用这一产品进行保护的比例将上升至35%，同时，其中将有60%都为重新购买下一代防火墙。