摘 要：NGFW（下一代防火墻）自從2009年得到Gartner的“正名”開始，便迅速成為邊界安全技術(shù)范疇最為炙手可熱的話題。國內(nèi)外廠商更是借勢紛紛發(fā)布各自的NGFW產(chǎn)品，但時至今日，所謂NGFW的業(yè)界標(biāo)準(zhǔn)卻依然沒有形成統(tǒng)一。因此，在當(dāng)前表現(xiàn)較為混亂的防火墻市場環(huán)境下，廣大用戶在面對形形色色的NGFW產(chǎn)品時，更需要關(guān)注的是本質(zhì)，而非表象。

關(guān)鍵詞：NGFW；標(biāo)準(zhǔn)；本質(zhì)

1 NGFW概念

2009年，Gartner《定義下一代防火墻》首次對NGFW這一概念進(jìn)行了釋義，其關(guān)鍵內(nèi)容如下：

（1）標(biāo)準(zhǔn)的第一代防火墻能力：包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、狀態(tài)性協(xié)議檢測、VPN等等。

（2）集成的而非僅僅共處一個位置的網(wǎng)絡(luò)入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應(yīng)當(dāng)大于這兩部分效果的總和。

（3）應(yīng)用意識和全棧可見性：識別應(yīng)用和在應(yīng)用層上執(zhí)行獨立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。

（4）額外的防火墻智能：防火墻收集外來信息來做出更好地阻止決定或建立優(yōu)化的阻止規(guī)則庫。

首先對Gartner的觀點做個簡單解讀。包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、狀態(tài)性協(xié)議檢測、VPN等安全功能傳統(tǒng)防火墻都能滿足；“集成的而非僅僅共處一個位置的網(wǎng)絡(luò)入侵檢測”則指出NGFW需要集成IPS功能，在IPS與防火墻之間能夠建立起自動化的聯(lián)動機(jī)制，使IPS引擎檢測到源自某個IP地址的攻擊行為后，能夠自動由防火墻引擎采用最簡單的方式直接對其進(jìn)行阻斷；“應(yīng)用意識和全棧可見性”更加關(guān)注應(yīng)用層控制；“額外的防火墻智能”表達(dá)了NGFW應(yīng)該能夠通過獲取外部信息，來幫助其作出更加合理與有效的安全策略。

通常情況下，傳統(tǒng)防火墻定性為面向網(wǎng)絡(luò)層安全，而NGFW則是更加關(guān)注應(yīng)用層安全。通過對Gartner的NGFW定義進(jìn)行解讀后不難發(fā)現(xiàn)，其似乎更像是對當(dāng)時防火墻技術(shù)發(fā)展的一個階段性總結(jié)。

2 NGFW發(fā)展現(xiàn)狀

在國外安全市場中，PaloAlto被認(rèn)為是最先將NGFW概念應(yīng)用于產(chǎn)品的安全廠商，其通過“App-ID”、“User-ID”和“Content-ID”來詮釋NGFW產(chǎn)品對于“應(yīng)用”、“用戶”和“內(nèi)容”三個方面的安全控制與可視化管理，成為了業(yè)界NGFW產(chǎn)品特性描述的經(jīng)典。

反觀我們身處其中的國內(nèi)市場，NGFW產(chǎn)品的情況卻顯得有些復(fù)雜。從2011年開始，國內(nèi)廠商陸續(xù)發(fā)布各自的下一代防火墻產(chǎn)品。有些廠商此前并無防火墻技術(shù)積累與市場基礎(chǔ)，但為了滿足自身發(fā)展需要，實現(xiàn)業(yè)務(wù)的快速擴(kuò)張，便開始向防火墻市場進(jìn)軍，作為“新人”往往需要用些心思來體現(xiàn)自己的與眾不同。因此，在市場策略方面，將NGFW作為市場切入點或許是這類廠商再合適不過的選擇。除此以外，該類產(chǎn)品雖然擁有NGFW對“用戶”、“應(yīng)用”和“內(nèi)容”進(jìn)行控制的相似功能，但由于底層缺乏一套強(qiáng)大的安全系統(tǒng)架構(gòu)支撐，對于一款NGFW產(chǎn)品而言在專業(yè)性方面明顯不足，從“里”到“外”更像是在傳統(tǒng)上網(wǎng)行為管理產(chǎn)品基礎(chǔ)上進(jìn)行的一個簡單修改。也就是說，該類廠商所謂的NGFW產(chǎn)品實質(zhì)上只是“優(yōu)化后的ACM+WAF”，僅此而已！

3 NGFW發(fā)展方向

從Gartner定義下一代防火墻到現(xiàn)在已有五年時間，隨著關(guān)于NGFW的各種討論持續(xù)升溫并且越發(fā)深入，使NGFW產(chǎn)品正在向著理性方向發(fā)展。真正的NGFW應(yīng)該具有如下幾個必要特征。

3.1 更精準(zhǔn)的應(yīng)用管控能力

下一代防火墻的應(yīng)用識別引擎不僅需要識別出底層的承載協(xié)議（例如標(biāo)準(zhǔn)的HTTP協(xié)議），還能進(jìn)一步區(qū)分出上層的精確應(yīng)用協(xié)議類型。除此以外，相比以往的安全網(wǎng)關(guān)類產(chǎn)品，下一代防火墻更應(yīng)該關(guān)注應(yīng)用的識別率，而非特征庫的規(guī)模。下一代防火墻對于主流網(wǎng)絡(luò)應(yīng)用的識別率應(yīng)至少達(dá)到90%以上，而對于加密應(yīng)用的識別率則需要達(dá)到更高標(biāo)準(zhǔn)，尤其是對帶寬資源占用較大的各種P2P加密流量，只有這樣，才能使我們的網(wǎng)絡(luò)帶寬資源真正得到有效控制。

3.2 更加關(guān)注未知威脅的識別與防御

下一代防火墻需要以深度、精細(xì)、高效的流量安全檢測技術(shù)為基礎(chǔ)，提供入侵防御、病毒防御、僵尸網(wǎng)絡(luò)阻斷、WEB安全防護(hù)、數(shù)據(jù)防泄漏等更為全面的應(yīng)用層威脅防御能力，才能有效阻止已知的各類安全威脅。

面對未知威脅，下一代防火墻當(dāng)然也需要提供相應(yīng)防御方案。沙箱技術(shù)目前被認(rèn)為是確定未知威脅最為有效的技術(shù)手段，而下一代防火墻借助沙箱技術(shù)能夠為防御未知威脅提供一套更為有效的解決方案。

3.3 全棧高性能安全處理

高性能尤其是應(yīng)用層高性能也是下一代防火墻必須要逾越的一道障礙。隨著硬件技術(shù)的飛速發(fā)展，多核硬件架構(gòu)逐漸在安全產(chǎn)品中得到廣泛應(yīng)用，主要包括X86多核與MIPS多核兩個陣營。就多核技術(shù)的當(dāng)前現(xiàn)狀與發(fā)展趨勢看來，X86多核技術(shù)能夠為下一代防火墻突破性能瓶頸提供更加有力的硬件支撐。

3.4 由內(nèi)而外的風(fēng)險可視化設(shè)計

隨著安全網(wǎng)關(guān)類產(chǎn)品與技術(shù)的不斷發(fā)展，在業(yè)務(wù)層面，不僅使網(wǎng)關(guān)類產(chǎn)品獲得了更全面的安全防護(hù)功能與更強(qiáng)大的數(shù)據(jù)處理能力，而管理層面的各種特性也正在成為越來越多廠商的眾矢之的。其中，通過對轉(zhuǎn)發(fā)的業(yè)務(wù)數(shù)據(jù)、檢測的安全威脅等網(wǎng)絡(luò)流量信息進(jìn)行監(jiān)控、統(tǒng)計和分析，并從用戶、應(yīng)用、內(nèi)容等多維度將網(wǎng)絡(luò)應(yīng)用及安全狀態(tài)為管理員提供全面的可視化圖表展現(xiàn)，從而使通過網(wǎng)絡(luò)傳播的安全風(fēng)險得到有效掌控，這些，已經(jīng)成為網(wǎng)關(guān)產(chǎn)品的一個基礎(chǔ)特性。而作為下一代防火墻產(chǎn)品，除了關(guān)注通過網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險以外，還可以在事先對源自設(shè)備內(nèi)部的各種安全風(fēng)險信息進(jìn)行有效識別。