话说下一代防火墙（NGFW）的“三个”

下一代防火墙"NGFW"，一个从产生到日渐成熟仍旧拥有一定热度的词汇，相较于传统的防火墙，NGFW的安全性能有了很大的提升，体现了极强的可视性、融合性、智能化。本文来和大家说说下一代防火墙的"三个"。

下一代防火墙发展的三个拐点

事物的更新迭代是必然的，就像是一个朝代的兴起与衰落，而防火墙性能的提升自然也不会例外，于是下一代防火墙应景而生。同很多新生事物一样，它也需要慢慢的发展而后变得成熟。下面我们一起看看它的经历。

拐点一：下一代防火墙的萌动发展

随着国外用户对应用的增多、攻击复杂，传统的防火墙已经不能满足人们的需求。于是美国的PaloAlto公司率先发布了下一代防火墙的产品，并凭借仅有的一条产品线在国外市场获得众多用户的青睐。2009年，著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义了防火墙，它集成了深度包检测入侵测试、应用识别与精细控制。这个定义一经发布便受到了国外一些安全厂商的热捧，认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。

拐点二：下一代防火墙热潮汹涌

随着国外防火墙的升级发展，国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势，一股下一代防火墙的热潮被掀起。这其中比较知名的厂商有：梭子鱼、深信服、锐捷、天融信、东软等，各家产品有着各自不同的特点。总的来说，下一代防火墙相比传统的防火墙功能更加的全面，性能更是强劲。

拐点三：下一代防火墙日渐成熟

热潮过后，厂商不断的反思对下一代防火墙进行改进升级。从2011年国内的下一代防火墙开始发展至今，这近两年的时间过后，下一代防火墙越来越成熟，越来越被人们认可接受。很多的用户使用下一代防火墙来构建自己的网络安全防御体系，各行业也逐步在制定下一代防火墙的行业规范。越来越多的用户发现，在选择五花八门的各类传统安全产品如防火墙、入侵防御、防病毒、web应用防火墙的时候下一代防火墙似乎能更好的满足其对网络安全建设的需求，因此越来越多的用户也逐步过渡到使用下一代防火墙的大军中来。根据Gartner的预测，到 2014 年，35% 的企业将会安装下一代防火墙，而60%用户新购买的防火墙将是NGFW。相比这个数字在国内很快就会得到验证。 

NGFW对比传统防火墙三大优势：

优势一，支持联动的集成化IPS。集成的网络入侵检测，支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。

第二，应用管控与可视化。应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。

第三，智能化联动。额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。如：利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。  

NGFW三大必备功能：

第一，基于用户防护。传统防火墙策略都是依赖IP或MAC地址来区分数据流，不利于管理也很难完成对网络状况的清晰掌握和精确控制。下一代防火墙则具备用户身份管理系统，实现了分级、分组、权限、继承关系等功能，充分考虑到各种应用环境下不同的用户需求。此外还可集成安全准入控制功能，支持多种认证协议与认证方式，实现基于用户的安全防护策略部署与可视化管控。一些下一代防火墙产品的设计十分看重产品的实用性，对数据转发和安全业务处理流程进行了最大化的整合优化。

第二，面向应用安全。在应用安全方面，下一代防火墙应该包括"智能流检测"和"虚拟化远程接入"。一方面对各种应用深度识别；另一方面，在解决数据安全性问题时，通过将虚拟化技术与远程接入技术相结合，为远程接入终端提供虚拟应用发布与虚拟桌面功能，使其本地无需执行任何应用系统客户端程序就可完成与内网服务器端的数据交互，实现终端到业务系统的"无痕访问"，进而达到终端与业务分离的目的。如，一些下一代防火墙系统内置有上千种应用的特征库。

第三，融合安全技术，实现智能防护。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。首先，可以通过"云"来收集安全威胁信息并快速寻找解决方案，及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中，保证用户的安全防护策略得到及时、准确的动态更新，如：一些NGFW供应商就采取了"全球化"的网络安全响应机制；其次，通过 "云"，使得策略管理体系的安全策略漂移机制能够实现物理网络基于"人"、虚拟计算环境基于"VM"（虚拟机）的安全策略动态部署。 

NGFW与UTM的三大区别：

第一，集成化、单引擎：UTM也提供多种安全功能的单一设备，尽管也包含第一代防火墙和IPS功能，但它们不提供应用意识功能，而且不是集成的、单引擎产品，它只是把多种安全引擎叠加在了一起，这会使数据流在每个安全引擎分别执行解码、状态复原等操作，导致大量的资源消耗。而NGFW产品自设计之初，就采用了一体化的引擎。

第二，能适应不同规模的企业：UTM适合在分支办事机构中节省费用，适用于较小的公司，但满足不了大型企业需要。

第三，性能更强，管理更高效：传统UTM在功能叠加上无法实现应用高效，在管理控制上也有不足之处。一些UTM设备有很多功能，如：防火墙、上网行为、应用识别、IPS等，但这仅仅是各种功能的堆叠，当这些功能全开时，性能会大打折扣。下一代防火墙采用一体化引擎，可一次性对数据流完成识别、扫描，达到更高的性能，通过融合，还可让管理者更加轻松。如，德国一家企业用了3000台下一代防火墙，却只需2个网管人员，这是因为它有一个集中设备管理器，以此可以高效低监控所有设备。  

关于NGFW的三大争论：

争论一，NGFW就是个加强型的UTM。

这种观点认为，与UTM相比，下一代防火墙并没有本质的区别。二者在功能上确实有相似之处，都强调安全功能的整合。UTM是集成了常用安全功能的设备，包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。但如前所述，NGFW并非简单地对UTM的加强。

争论二，NGFW纯粹是厂商概念炒作，没什么新东西。

这种观点认为，下一代防火墙只是安全厂商在遭遇市场瓶颈后的新一轮概念炒作，并没有本质的功能提升。我们不能完全排除一些厂商炒作的成分，但从客户需求本身来，传统的防火墙已然在应对新的安全威胁中力不从心，市场呼唤有一种新的更加有效安全防护方式来应对这些新威胁。下一代防火墙的应运而生也就不能称之为炒作。

争论三，NGFW其实早就有，只是没归纳成概念。

一些厂商认为，从与用户企业的沟通中，根据用户的需求，在自家产品中很早就将"应用管控"、"可视化"等功能融入其中，这已经符合了下一代防火墙的思路和理念。但只是并未概念化，将其归纳为"下一代"。但实际上，业界对下一代防火墙的的几个必备要素已经基本达成共识，只有拥有这些基本要素的才可称为下一代防火墙。

对于用户企业而言，面对业界纷纷扰扰的概念争论和林林总总的新产品，应避免对厂商包装后的概念的肤浅认识，理解NGFW和UTM的本质特性，而不必拘泥于尚未完全统一的概念本身。最重要的是，在此基础上，根据本企业的新的安全需求，选用最适合的安全产品和解决方案。