【51CTO 12月21日外電頭條】傳統(tǒng)的基于端口的企業(yè)防火墻，看上去不像是一個(gè)后衛(wèi)，更像是Web應(yīng)用程序的中途停車點(diǎn)，在新一代更強(qiáng)大、快速和智能的防火墻面前，它正慢慢失去話語(yǔ)權(quán)。

所謂的下一代防火墻（NGFW）指的是一種能有效執(zhí)行入侵防御保護(hù)，能智能感知應(yīng)用程序，強(qiáng)制實(shí)施基于身份控制的企業(yè)級(jí)防火墻/VPN，它可以利用互聯(lián)網(wǎng)信譽(yù)分析信息幫助過(guò)濾惡意軟件或與活動(dòng)目錄（AD）集成實(shí)施更細(xì)粒度的控制。

NGFW什么時(shí)候才能真正到來(lái)？

Palo Alto網(wǎng)絡(luò)公司被認(rèn)為是業(yè)界第一家真正能提供NGFW產(chǎn)品的廠商，早在2007年，Palo Alto就推出了多用途應(yīng)用程序感知安全設(shè)備，截至目前已經(jīng)發(fā)展了2200家客戶，其它如Fortinet，思科，Check Point，McAfee和Barracuda Networks等廠商都擴(kuò)展或重新設(shè)計(jì)了現(xiàn)有防火墻產(chǎn)品，以符合NGFW定義的規(guī)格。此外，IPS廠商，如Sourcefire已經(jīng)明確表示明年將會(huì)推出一款帶有應(yīng)用程序感知防火墻功能的IPS，盡管如此，目前使用這些高級(jí)防火墻的客戶還很少。

Gartner分析師Greg Young說(shuō)："截至目前，據(jù)我們掌握的數(shù)據(jù)來(lái)看，只有不到1%的安全連接使用了NGFW，但這一數(shù)字到2014年預(yù)計(jì)會(huì)上升到35%"。

NGFW還是UTM？

NGFW并不是科學(xué)術(shù)語(yǔ)，也不只是市場(chǎng)營(yíng)銷使用的一個(gè)詞，有太多不確定因素，也沒(méi)有任何獨(dú)立的第三方實(shí)驗(yàn)室測(cè)試這些NGFW產(chǎn)品，F(xiàn)ortinet公司表示，ICSA實(shí)驗(yàn)室正在討論測(cè)試各種NGFW產(chǎn)品，但眼下最大的挑戰(zhàn)是明確NGFW的定義，Gartner對(duì)此給出了自己的定義，Young說(shuō)："有些廠商在應(yīng)用程序控制方面做得很好，有些廠商在IPS方面更先進(jìn)，大多數(shù)企業(yè)防火墻廠商仍處于早期階段，總的來(lái)說(shuō)，Palo Alto處于領(lǐng)先地位"。

IDC分析師Charles Kolodgy創(chuàng)造了另一個(gè)術(shù)語(yǔ)UTM（統(tǒng)一威脅管理），很快便有了NGFW和UTM術(shù)語(yǔ)之爭(zhēng)，Kolodgy說(shuō)UTM和NGFW的含義大致相同，但Gartner卻不這么認(rèn)為，它指出UTM安全設(shè)備只適合中小型企業(yè)使用，而NGFW才適合員工大于1000的大型企業(yè)使用。

廠商已經(jīng)開(kāi)始行動(dòng)

盡管存在術(shù)語(yǔ)之爭(zhēng)，安全廠商也清醒地認(rèn)識(shí)到，整合多用途的企業(yè)級(jí)安全設(shè)備需求會(huì)急劇上升。Fortinet產(chǎn)品營(yíng)銷副總裁Patrick Bedwell說(shuō)："市場(chǎng)正朝這個(gè)方向傾斜，傳統(tǒng)防火墻已不能滿足客戶的需求，重點(diǎn)是對(duì)應(yīng)用程序的控制，并且威脅也變得越來(lái)越復(fù)雜"，F(xiàn)ortinet上周推出了Fortigate-5001B安全刀片，最高可達(dá)40Gbps，上一代產(chǎn)品最大只能達(dá)到8Gbps，可謂有一個(gè)質(zhì)的飛躍。

FortiGate防火墻/VPN安全刀片可感知約1300種應(yīng)用程序，可以根據(jù)應(yīng)用程序?qū)τ脩粜袨閷?shí)施細(xì)粒度的控制，如時(shí)段限制和帶寬管理。其它廠商也不甘落后，McAfee去年6月發(fā)布的Enterprise Firewall v8就聲稱是NGFW產(chǎn)品。McAfee網(wǎng)絡(luò)防御產(chǎn)品營(yíng)銷總監(jiān)Greg Brown說(shuō)："我們改造了應(yīng)用程序引擎，現(xiàn)在它可以檢測(cè)和全面檢查1000多種應(yīng)用程序，我們還設(shè)計(jì)了引擎擴(kuò)展功能，每周都會(huì)有應(yīng)用程序更新"。

McAfee Enterprise Firewall v8可達(dá)到10Gbps，但這并不是最高速度，McAfee和Crossbeam Systems合作，在他們的平臺(tái)上實(shí)現(xiàn)了40Gbps的速度，McAfee正在努力提高在自己設(shè)備上的速度。

全功能防火墻帶有的IPS功能是否比得上獨(dú)立的IPS產(chǎn)品？Brown表示這是個(gè)未知數(shù)，目前還沒(méi)有獨(dú)立測(cè)試報(bào)告出現(xiàn)。他說(shuō)："和傳統(tǒng)控制IP網(wǎng)絡(luò)的防火墻比較，NGFW代表了更先進(jìn)的技術(shù)，因?yàn)樗刂频氖菓?yīng)用程序，和微軟的活動(dòng)目錄集成后，還可以設(shè)置用戶組授權(quán)，到目前為止，已經(jīng)有一部分McAfee用戶在嘗試高級(jí)防火墻帶來(lái)的應(yīng)用程序控制功能"。

NGFW案例分析

24小時(shí)健身連鎖在美國(guó)和其它國(guó)家共有400多個(gè)俱樂(lè)部，去年夏天他們部署了Palo Alto的應(yīng)用程序感知防火墻，其IT運(yùn)營(yíng)和安全高級(jí)主管Justin Kwong說(shuō)："切換到Palo Alto整合架構(gòu)的目的不僅僅是成本，IT人員能知道更多正在發(fā)生的事情，能實(shí)施更細(xì)粒度的控制，如基于信譽(yù)的過(guò)濾。我們正在將Palo Alto防火墻和活動(dòng)目錄集成，實(shí)現(xiàn)基于員工的應(yīng)用程序策略控制指日可待"。但Kwong不相信公司會(huì)完全遷移到NGFW模型，因?yàn)閷?duì)于網(wǎng)絡(luò)和數(shù)據(jù)中心部分，沒(méi)有應(yīng)用程序感知控制需求。

NGFW部署建議

IDC分析師Kolodgy說(shuō)他已經(jīng)預(yù)料到人們基于應(yīng)用程序控制的看法，他的建議是"先在局部進(jìn)行試用，直到感到滿意在擴(kuò)大使用范圍，這和從IDS過(guò)渡到IPS的過(guò)程很類似"。

此外，雖然NGFW象征著安全整合，但Kwong對(duì)此仍然持保留意見(jiàn)，他說(shuō)："除了Palo Alto IPS功能外，他還會(huì)繼續(xù)使用開(kāi)源的IPS作為第二只眼睛，我永遠(yuǎn)不會(huì)考慮把一切工作分配給一個(gè)設(shè)備去完成，我也不會(huì)把自己綁定到一家廠商"。

但對(duì)于筆記本電腦和移動(dòng)設(shè)備該如何處理呢？Palo Alto產(chǎn)品營(yíng)銷總監(jiān)Ckris King說(shuō)："我們可以擴(kuò)展到不常在網(wǎng)絡(luò)上的機(jī)器，我們有VPN客戶端可以將用戶的通信導(dǎo)回到客戶的NGFW，明年我們會(huì)推出GlobalProtect智能VPN客戶端，它能知道用戶在哪里，然后將用戶導(dǎo)向最近的網(wǎng)關(guān)，有一個(gè)網(wǎng)關(guān)列表，客戶端知道最近的網(wǎng)關(guān)是哪個(gè)，這個(gè)功能能防止某種水平的數(shù)據(jù)丟失"。

Palo Alto還能檢查SSL，它基于可信環(huán)境中用戶共享的桌面證書(shū)打開(kāi)入站和出站通信，King說(shuō)："我們打開(kāi)它確定這是一個(gè)得到允許的應(yīng)用程序，然后重新加密傳輸，如果應(yīng)用程序?yàn)榈玫皆试S，我們就終止傳輸"。

作者：Ellen Messmer 

原文名：Is a next-generation firewall in your future?

原文出處：http://www.networkworld.com/news/2010/120110-next-generation-firewall.html

【編輯推薦】

1. 下一代防火墻常見(jiàn)問(wèn)答
2. 更快更智能 下一代防火墻新技術(shù)初探
3. Gartner報(bào)告 關(guān)于下一代防火墻 
4. 企業(yè)需要帶有入侵防御系統(tǒng)及應(yīng)用可見(jiàn)的下一代防火墻