安全市场群雄争霸 你我细品下一代防火墙

相信对于IT人士来说，下一代防火墙（NGFW）这款产品并不陌生。从2007年Palo Alto Networks发布世界第一款下一代防火墙产品至今已经有五年多的光景，这期间不少国内外的厂商相继推出了NGFW。例如：梭子鱼（Barracuda Networks）、Check Point、深信服、网康、天融信等。展现出一场群雄争霸的局面，抛开各个厂家产品的性能来说，这种现象昭示着NGFW已经逐渐被市场所接受和认同。

NGFW应企业需求而生

随着互联网的快速发展，各种应用程序的爆发，企业面临着常用应用程序中的漏洞带来的风险。

网络通信不再像以前一样紧紧是依赖于存储和转发应用程序（例如电子邮件），而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息（IM）和P2P应用程序、语音IP电话（VoIP）、流媒体和电话会议，这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序（只是消耗带宽或者带来危险）。

恶意软件和网络攻击者瞄准了这个场所，让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险，这些应用程序也消耗带宽和生产力，并且与关键业务型应用程序抢夺网络带宽。因此，企业需要工具来保证业务关键应用程序的带宽，并需要应用程序智能和控制来保护入站和出站的流量，同时确保速度和安全性以提供高效的工作环境。

应企业需求，在多种多样大量的应用程序环境下，仅靠传统防火墙的功能似乎显得力不从心，它们的技术实际上已经过时，因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查，还可扩展到支持最高性能网络。

NGFW与传统防火墙

“下一代”这似乎是个饱含炒作意味的词汇，它代表了多功能、高性能，也是对于传统设备软件和硬件技术的革新。顾名思义有“下一代”必然有上一代，既是传统防火墙。相较于传统防火墙，NGFW站在更高山峰，以全局视角解决用户网络面临的实际问题，不是简单的功能堆砌和性能叠加，而是真正的集成，贴切网络环境与用户需求，基于用户防护、面向应用安全、涵盖传统防火墙功能、加入入侵防御系统（IPS）功能等等一系列NGFW功能让人对网络的管理更具信心。

NGFW作为一个整合深度数据流检测、应用安全识别，以及攻击防护的安全平台，必须要具备传统企业级防火墙的全部功能。当然，作为一款高性能的防火墙产品的NGFW，与传统防火墙应用是有所区别的，既要有强大的技术研发实力做后盾，又要足够了解用户应用环境的变迁，而且还应具备强大的产品服务团队，在后期的服务上能为用户提供更细致的帮助。

NGFW与UTM

也许有人会疑惑，如上所说NGFW相比传统的防火墙有如此多的优秀强悍的功能，那么相比统一威胁管理（UTM）产品来说，哪个更好呢？

在功能上NGFW与UTM没有明显的差别，只是UTM需要部署在防火墙的后方。总的说来它们都是比较复杂的产品，由于缺乏统一的行业标准，因此很难对不同厂家的此类产品进行横向对比。要判断某个产品的功能是否能够帮助你，你必须深刻了解企业的需求，并进行大量的测试：

架构：NGFW设备应该将各种安全功能融入一个独立的架构中，以证明其是真正意义上的集成，而不是简单的将多个安全设备堆叠到一起，塞进叫防火墙的外壳里。缺乏集成性能也许表示该产品的安全性能不能令人满意。

吞吐量性能：具备了多种安全功能的设备，吞吐量是必须考虑的问题。所有的附加安全功能、检测功能无疑都会在一定程度上降低数据流的速度。当开启了所有的安全功能后，设备的数据吞吐量应仍然能够达到企业的要求。另外，在测试过程中，还要考虑到防火墙所采用的策略或规则数量，因为这些因素同样会对防火墙处理速度有影响。

使用便利性：选择NGFW的一个重要原因是企业管理人员希望能够简化多种安全设备维护和管理所带来的不便。因此，NGFW应该具有直观的管理界面，简单的规则或策略制定流程。而一些集成度不够好的产品，在不同的安全功能设置界面上，会出现很明显的差异。

和其他安全产品一样，NGFW也不是网络安全的万灵药。部署NGFW也需要大量的工作，并需要不断的维护。不过一旦成功部署NGFW，确实可以有效的减轻管理员的工作压力，并提升应对新型网络攻击的防护效果。

管理挑战

NGFW将通过集成入侵防御和应用于用户监控功能来提升网络安全性，但是它们也会带来新的管理挑战。由于传统防火墙充斥了大量废弃的规则，所以防火墙管理总是一个有挑战的工作，但是在使用NGFW管理技术之后，网络安全专业人员将需要维护更多的规则和策略。

NGFW的管理对于用户来说有着不小的挑战，主要表现在：确认访问策略与网络分片策略是否正确实施、维护入侵防御系统签名、以及优化防火墙规则集。

传统防火墙管理就是变更控制，拥有成熟防火墙变更管理方法的企业更能避免安全漏洞和性能破坏问题。在NGFW中，随着防火墙环境变得越来越复杂，有些无法通过手工流程进行可靠地管理，因此自动化也变得越来越重要。

总结

虽然关于NGFW的概念不一，但是总结起来NGFW主要有以下几个要素：

1、可根据应用行为和特征实现对应用的识别和控制。

2、涵盖传统防火墙、IPS和UTM的主要功能。

3、具备智能的流量管理控制和策略配合。

目前，安全市场中的NGFW产品越来越智能，越来越复杂！面对防火墙的更新换代，用户需要更加成熟与协调的管理方法。而且随着云计算的发展，NGFW如何适应云计算的新功能，快速融入云计算为用户提供安全防护也成为NGFW厂商需要考虑的问题。那么具备以上三个要素的NGFW未来究竟如何？笔者只能说，安全威胁瞬息万变，促使安全产品更新换代，而下一代防火墙的未来仍将面临诸多挑战。