相信對于IT人士來說，下一代防火墻（NGFW）這款產(chǎn)品并不陌生。從2007年P(guān)alo Alto Networks發(fā)布世界第一款下一代防火墻產(chǎn)品至今已經(jīng)有五年多的光景，這期間不少國內(nèi)外的廠商相繼推出了NGFW。例如：梭子魚（Barracuda Networks）、Check Point、深信服、網(wǎng)康、天融信等。展現(xiàn)出一場群雄爭霸的局面，拋開各個廠家產(chǎn)品的性能來說，這種現(xiàn)象昭示著NGFW已經(jīng)逐漸被市場所接受和認同。

NGFW應(yīng)企業(yè)需求而生

隨著互聯(lián)網(wǎng)的快速發(fā)展，各種應(yīng)用程序的爆發(fā)，企業(yè)面臨著常用應(yīng)用程序中的漏洞帶來的風險。

網(wǎng)絡(luò)通信不再像以前一樣緊緊是依賴于存儲和轉(zhuǎn)發(fā)應(yīng)用程序（例如電子郵件），而且已經(jīng)擴展到涵蓋實時協(xié)作工具、Web2.0應(yīng)用程序、即時消息（IM）和P2P應(yīng)用程序、語音IP電話（VoIP）、流媒體和電話會議，這些都帶來潛在的風險。很多企業(yè)無法區(qū)分網(wǎng)絡(luò)中使用的具有合法業(yè)務(wù)目的應(yīng)用程序與那些不是關(guān)鍵型應(yīng)用程序（只是消耗帶寬或者帶來危險）。

惡意軟件和網(wǎng)絡(luò)攻擊者瞄準了這個場所，讓企業(yè)面臨如數(shù)據(jù)泄露、潛在的滲透等風險。除了帶來安全風險，這些應(yīng)用程序也消耗帶寬和生產(chǎn)力，并且與關(guān)鍵業(yè)務(wù)型應(yīng)用程序搶奪網(wǎng)絡(luò)帶寬。因此，企業(yè)需要工具來保證業(yè)務(wù)關(guān)鍵應(yīng)用程序的帶寬，并需要應(yīng)用程序智能和控制來保護入站和出站的流量，同時確保速度和安全性以提供高效的工作環(huán)境。

應(yīng)企業(yè)需求，在多種多樣大量的應(yīng)用程序環(huán)境下，僅靠傳統(tǒng)防火墻的功能似乎顯得力不從心，它們的技術(shù)實際上已經(jīng)過時，因為它們無法檢查攻擊者散播的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)負載。而NGFW可以提供應(yīng)用智能控制、入侵防御、惡意軟件防護和SSL檢查，還可擴展到支持最高性能網(wǎng)絡(luò)。

NGFW與傳統(tǒng)防火墻

“下一代”這似乎是個飽含炒作意味的詞匯，它代表了多功能、高性能，也是對于傳統(tǒng)設(shè)備軟件和硬件技術(shù)的革新。顧名思義有“下一代”必然有上一代，既是傳統(tǒng)防火墻。相較于傳統(tǒng)防火墻，NGFW站在更高山峰，以全局視角解決用戶網(wǎng)絡(luò)面臨的實際問題，不是簡單的功能堆砌和性能疊加，而是真正的集成，貼切網(wǎng)絡(luò)環(huán)境與用戶需求，基于用戶防護、面向應(yīng)用安全、涵蓋傳統(tǒng)防火墻功能、加入入侵防御系統(tǒng)（IPS）功能等等一系列NGFW功能讓人對網(wǎng)絡(luò)的管理更具信心。

NGFW作為一個整合深度數(shù)據(jù)流檢測、應(yīng)用安全識別，以及攻擊防護的安全平臺，必須要具備傳統(tǒng)企業(yè)級防火墻的全部功能。當然，作為一款高性能的防火墻產(chǎn)品的NGFW，與傳統(tǒng)防火墻應(yīng)用是有所區(qū)別的，既要有強大的技術(shù)研發(fā)實力做后盾，又要足夠了解用戶應(yīng)用環(huán)境的變遷，而且還應(yīng)具備強大的產(chǎn)品服務(wù)團隊，在后期的服務(wù)上能為用戶提供更細致的幫助。

NGFW與UTM

也許有人會疑惑，如上所說NGFW相比傳統(tǒng)的防火墻有如此多的優(yōu)秀強悍的功能，那么相比統(tǒng)一威脅管理（UTM）產(chǎn)品來說，哪個更好呢？

在功能上NGFW與UTM沒有明顯的差別，只是UTM需要部署在防火墻的后方。總的說來它們都是比較復雜的產(chǎn)品，由于缺乏統(tǒng)一的行業(yè)標準，因此很難對不同廠家的此類產(chǎn)品進行橫向?qū)Ρ取Ｒ袛嗄硞€產(chǎn)品的功能是否能夠幫助你，你必須深刻了解企業(yè)的需求，并進行大量的測試：

架構(gòu)：NGFW設(shè)備應(yīng)該將各種安全功能融入一個獨立的架構(gòu)中，以證明其是真正意義上的集成，而不是簡單的將多個安全設(shè)備堆疊到一起，塞進叫防火墻的外殼里。缺乏集成性能也許表示該產(chǎn)品的安全性能不能令人滿意。

吞吐量性能：具備了多種安全功能的設(shè)備，吞吐量是必須考慮的問題。所有的附加安全功能、檢測功能無疑都會在一定程度上降低數(shù)據(jù)流的速度。當開啟了所有的安全功能后，設(shè)備的數(shù)據(jù)吞吐量應(yīng)仍然能夠達到企業(yè)的要求。另外，在測試過程中，還要考慮到防火墻所采用的策略或規(guī)則數(shù)量，因為這些因素同樣會對防火墻處理速度有影響。

使用便利性：選擇NGFW的一個重要原因是企業(yè)管理人員希望能夠簡化多種安全設(shè)備維護和管理所帶來的不便。因此，NGFW應(yīng)該具有直觀的管理界面，簡單的規(guī)則或策略制定流程。而一些集成度不夠好的產(chǎn)品，在不同的安全功能設(shè)置界面上，會出現(xiàn)很明顯的差異。

和其他安全產(chǎn)品一樣，NGFW也不是網(wǎng)絡(luò)安全的萬靈藥。部署NGFW也需要大量的工作，并需要不斷的維護。不過一旦成功部署NGFW，確實可以有效的減輕管理員的工作壓力，并提升應(yīng)對新型網(wǎng)絡(luò)攻擊的防護效果。

管理挑戰(zhàn)

NGFW將通過集成入侵防御和應(yīng)用于用戶監(jiān)控功能來提升網(wǎng)絡(luò)安全性，但是它們也會帶來新的管理挑戰(zhàn)。由于傳統(tǒng)防火墻充斥了大量廢棄的規(guī)則，所以防火墻管理總是一個有挑戰(zhàn)的工作，但是在使用NGFW管理技術(shù)之后，網(wǎng)絡(luò)安全專業(yè)人員將需要維護更多的規(guī)則和策略。

NGFW的管理對于用戶來說有著不小的挑戰(zhàn)，主要表現(xiàn)在：確認訪問策略與網(wǎng)絡(luò)分片策略是否正確實施、維護入侵防御系統(tǒng)簽名、以及優(yōu)化防火墻規(guī)則集。

傳統(tǒng)防火墻管理就是變更控制，擁有成熟防火墻變更管理方法的企業(yè)更能避免安全漏洞和性能破壞問題。在NGFW中，隨著防火墻環(huán)境變得越來越復雜，有些無法通過手工流程進行可靠地管理，因此自動化也變得越來越重要。

總結(jié)

雖然關(guān)于NGFW的概念不一，但是總結(jié)起來NGFW主要有以下幾個要素：

1、可根據(jù)應(yīng)用行為和特征實現(xiàn)對應(yīng)用的識別和控制。

2、涵蓋傳統(tǒng)防火墻、IPS和UTM的主要功能。

3、具備智能的流量管理控制和策略配合。

目前，安全市場中的NGFW產(chǎn)品越來越智能，越來越復雜！面對防火墻的更新?lián)Q代，用戶需要更加成熟與協(xié)調(diào)的管理方法。而且隨著云計算的發(fā)展，NGFW如何適應(yīng)云計算的新功能，快速融入云計算為用戶提供安全防護也成為NGFW廠商需要考慮的問題。那么具備以上三個要素的NGFW未來究竟如何？筆者只能說，安全威脅瞬息萬變，促使安全產(chǎn)品更新?lián)Q代，而下一代防火墻的未來仍將面臨諸多挑戰(zhàn)。