像智能手機取代了功能手機，傳統防火墻必將被下一代防火墻所取代

在2009年，Gartner***次提出了下一代防火墻(NGFW，Next Generation Firewall)的概念，將應用識別、IPS防護與傳統防火墻功能融合到了一起，幾個環節還可以智能聯動。如果說智能手機是互聯網寬帶化、移動化、社交化的趨勢下用戶對內容訪問終端的要求。下一代防火墻的出現則是這些趨勢對網絡安全帶來新挑戰的結果。首先，Web2.0技術的發展和社交化的趨勢使基于Web開發的應用數量大大增加，僅靠傳統的防火墻無法區分運行在相同80端口上的不同業務應用，必須準確識別應用以達到訪問控制和業務加速的目的。其次，寬帶化和移動化的趨勢使信息資產的重要性達到了***的高度，以自我證明為目的的黑客行為逐漸形成龐大的產業。各自為戰的傳統安全網關難以抵御變換無窮的新威脅，下一代防火墻必須集成多種防護功能并進行智能的聯動。再次，越來越多的應用層流量保護使UTM力不從心，性能不足以支撐。因此需要下一代防火墻在開啟多項應用層防護功能后仍能正常使用。綜上可以看出，不是誰去選擇、創造了下一代防火墻，而是ICT技術發展的大勢逼迫企業將這樣一種設備應用在新一代的網絡防護上。

下一代防火墻：從“過去將來式”變為“現在進行式”

下一代防火墻的概念是五年前提出的，到了今天已經由“過去將來式”轉變為“現在進行式”。經過多年的實踐，下一代防火墻產品已進入成熟期，在海內外各個行業已經有很多成功的應用。知名咨詢機構Gartner在《2014年企業防火墻魔力象限》報告中指出，下一代防火墻已經成為網絡防火墻市場的領軍產品，并預測2014年企業在邊界防火墻的新采購中70%都會選擇下一代防火墻。面對這樣的市場熱潮，各廠商紛紛推出自己的下一代防火墻產品，但在實際的使用中表現卻參差不齊。企業在采購中必須擦亮眼睛，重點關注下一代防火墻幾個方面的表現。

***，應用識別的數量更多精度更準。應用識別也是下一代防火墻區別與傳統防火墻的重要特征，因此，識別數量和精度是判別下一代防火墻優劣最重要的指標之一。首先，應用識別會用于訪問控制。安全制度嚴格的大企業，會基于應用進行訪問控制，僅放行必需的應用。例如，僅允許網盤應用的下載，但禁止向網盤上傳。這種情況下，識別數量和精度上的不足會直接影響業務。其次，應用識別會用于業務帶寬管理和QoS優化。例如，優先轉發網頁瀏覽等高優先級應用流量，卻限制P2P等流量耗費型應用的應用帶寬，將VoIP這類重要的業務流量轉向高質量、有保障的鏈路通道。這些都依賴于應用識別的能力。再次，應用識別的結果還會用于后期的智能聯動防護。例如：對Oracle流量進行僅和Oracle相關特定漏洞的IPS防護，從而提升性能、降低誤報率。由此看來，應用識別能力有限的下一代防火墻產品防護效果也有限，業界領先的產品的應用識別數量基本在3000以上。

第二，功能全面性與應用防護性能兼備。客戶在選擇產品時常常僅看到功能的全面性，卻忽視了開啟這些功能后的性能，以至于購買的設備僅能作為傳統防火墻使用。這樣的下一代防火墻只是徒有其名，真實的能力只是和UTM差不多。下一代防火墻至少應融合IPS的防護，各廠家根據各自的理解還集成了其他更多的功能。IPS是下一代防火墻的重要功能，優秀的下一代防火墻產品開啟該功能后整機性能下降不應超過50%。

第三，設備更加智能化，成為身邊的安全專家。這里說的易用性并不只是界面友好這么簡單。下一代防火墻增加了應用識別和IPS等更多功能后變的更加復雜，學習成本急劇增加。而安全設備非常依賴使用者的經驗和技能，如果沒有部署恰當的安全策略，再好的設備也無法發揮作用。企業通常缺乏專職的安全管理員，沒有深厚的安全專業技能就很難做出正確的決策。這就要求下一代防火墻應當更加智能，從一個單純的策略執行者轉變為使用者身邊的安全專家，輔助使用者做出決策。