從2007年P(guān)alo Alto Networks發(fā)布世界第一款下一代防火墻（NGFW）產(chǎn)品至今已經(jīng)有五年多的光景，這期間不少國內(nèi)外的廠商相繼推出了NGFW。例如：深信服、梭子魚（Barracuda Networks）、Check Point、網(wǎng)康、天融信等。在防火墻市場，已經(jīng)展現(xiàn)出一場群雄爭霸的局面。

NGFW應(yīng)企業(yè)需求而生

隨著互聯(lián)網(wǎng)的快速發(fā)展，各種應(yīng)用程序的爆發(fā)，企業(yè)面臨著常用應(yīng)用程序中的漏洞帶來的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)通信不再像以前一樣僅僅是依賴于存儲(chǔ)和轉(zhuǎn)發(fā)應(yīng)用程序（例如電子郵件），而且已經(jīng)擴(kuò)展到涵蓋實(shí)時(shí)協(xié)作工具、Web2.0應(yīng)用程序、即時(shí)消息（IM）和P2P應(yīng)用程序、語音IP電話（VoIP）、流媒體和電話會(huì)議，這些都帶來潛在的風(fēng)險(xiǎn)。很多企業(yè)無法區(qū)分網(wǎng)絡(luò)中使用的具有合法業(yè)務(wù)目的應(yīng)用程序與那些不是關(guān)鍵型應(yīng)用程序（只是消耗帶寬或者帶來危險(xiǎn)）。

惡意軟件和網(wǎng)絡(luò)攻擊者瞄準(zhǔn)了這個(gè)場所，讓企業(yè)面臨如數(shù)據(jù)泄露、潛在的滲透等風(fēng)險(xiǎn)。除了帶來安全風(fēng)險(xiǎn)，這些應(yīng)用程序也消耗帶寬和生產(chǎn)力，并且與關(guān)鍵業(yè)務(wù)型應(yīng)用程序搶奪網(wǎng)絡(luò)帶寬。因此，企業(yè)需要工具來保證業(yè)務(wù)關(guān)鍵應(yīng)用程序的帶寬，并需要應(yīng)用程序智能和控制來保護(hù)入站和出站的流量，同時(shí)確保速度和安全性以提供高效的工作環(huán)境。

應(yīng)企業(yè)需求，在多種多樣大量的應(yīng)用程序環(huán)境下，僅靠傳統(tǒng)防火墻的功能似乎顯得力不從心，它們的技術(shù)實(shí)際上已經(jīng)過時(shí)，因?yàn)樗鼈儫o法檢查攻擊者散播的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)負(fù)載。而NGFW可以提供應(yīng)用智能控制、入侵防御、惡意軟件防護(hù)和SSL檢查，還可擴(kuò)展到支持最高性能網(wǎng)絡(luò)。

眾說紛紜NGFW

市場呼喚新的防火墻產(chǎn)品。需要注意的是，機(jī)構(gòu)對下一代防火墻所做出的定義是其最小化的功能集合，而從安全廠商的角度看，則會(huì)根據(jù)自身技術(shù)積累的情況，在產(chǎn)品上集成更多的安全功能。這導(dǎo)致不同廠商的NGFW產(chǎn)品在功能上可能存在差異，它們更像一個(gè)大而全的集中化解決方案，讓用戶感到迷惑。而在國內(nèi)，業(yè)內(nèi)對于Gartner的下一代防火墻定義一直存在爭議，而下一代防火墻在各個(gè)安全廠商及不同用戶心目中也還未能形成一個(gè)統(tǒng)一的概念。

2009年，Gartner在題為《Defining the Next-Generation Firewall》的報(bào)告中對下一代防火墻進(jìn)行了定義，Gartner認(rèn)為，NGFW應(yīng)該是一個(gè)線速(wire-speed)網(wǎng)絡(luò)安全處理平臺(tái)，定位于企業(yè)網(wǎng)絡(luò)防火墻(Enterprise Network Firewall，F(xiàn)irewall指宏觀意義上的防火墻)市場(這里的企業(yè)指的是大型企業(yè))，文章作者Greg Young認(rèn)為，NGFW要具備的四大基本要素是：集成傳統(tǒng)防火墻、可與之聯(lián)動(dòng)的IPS、應(yīng)用管控/可視化和智能化聯(lián)動(dòng)。

不過，國內(nèi)一些安全廠商認(rèn)為，在云計(jì)算、WEB2.0及移動(dòng)互聯(lián)網(wǎng)等一系列新應(yīng)用技術(shù)被廣泛使用的今天，Gartner2009年定義NGFW時(shí)的認(rèn)知已經(jīng)明顯不足。有國內(nèi)廠商在此基礎(chǔ)上，又提出了一代防火墻必須具備的六大特質(zhì)：基于用戶防護(hù)、面向應(yīng)用安全、高效轉(zhuǎn)發(fā)平臺(tái)、多層級冗余架構(gòu)、全方位可視化、安全技術(shù)融合。

以國內(nèi)首個(gè)推出下一代防火墻的深信服為例，其下一代防火墻NGAF就有三個(gè)最顯著的特點(diǎn)：完整應(yīng)用層安全防御（包括主流的Web攻擊、漏洞攻擊等各類型的應(yīng)用層攻擊）；獨(dú)特的雙向內(nèi)容檢測（不僅檢測由外到內(nèi)流量中是否有攻擊，對服務(wù)器、終端外發(fā)的流量也會(huì)進(jìn)行深入內(nèi)容的安全檢測）；智能的安全防御體系（采用了自動(dòng)建模技術(shù)和模塊間聯(lián)動(dòng)技術(shù)。）

一些廠商還聲稱，其下一代防火墻產(chǎn)品在把多業(yè)務(wù)全開之后，性能下降不超過25%，以此與UTM區(qū)分開來。另外，這些廠商還要求在下一代防火墻產(chǎn)品中集成網(wǎng)絡(luò)設(shè)備的特性，使其成為具備交換特性、路由特性的全功能一體機(jī)。

令人欣慰的是，一些業(yè)內(nèi)人士已經(jīng)看到，在國內(nèi)，需要把下一代防火墻的技術(shù)結(jié)合中國市場環(huán)境更好地得以實(shí)施。首先要滿足中國市場上的用戶需求；其次要考慮針對中國市場的政策要求，如，下一代防火墻能夠集成防病毒特性，這些病毒庫就需要用國內(nèi)廠商的病毒庫；最后，還要考慮到中國用戶的使用水平，簡化部署。

挑燈細(xì)看NGFW

與傳統(tǒng)防火墻相比，下一代防火墻性能有了很大的提升，體現(xiàn)了極強(qiáng)的可視性、融合性、智能化。那么，究竟何為NGFW的本質(zhì)特征？NGFW的必備功能是什么？NGFW與UTM的區(qū)別究竟在哪里？

從Gartner定義看，對比傳統(tǒng)防火墻，NGFW有三個(gè)顯著的優(yōu)勢：第一，支持聯(lián)動(dòng)的集成化IPS，支持面向安全漏洞的特征碼和面向威脅的特征碼。第二，應(yīng)用管控與可視化，能識別應(yīng)用和在應(yīng)用層上執(zhí)行獨(dú)立于端口和協(xié)議。第三，智能化聯(lián)動(dòng)，防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。

NGFW的功能至少應(yīng)該包括：基于用戶防護(hù)：下一代防火墻應(yīng)具備用戶身份管理系統(tǒng)，實(shí)現(xiàn)分級、分組、權(quán)限、繼承關(guān)系等功能，充分考慮到各種應(yīng)用環(huán)境下不同的用戶需求。面向應(yīng)用安全：在應(yīng)用安全方面，下一代防火墻應(yīng)該包括"智能流檢測"和"虛擬化遠(yuǎn)程接入"兩點(diǎn)。安全技術(shù)融合：動(dòng)態(tài)云防護(hù)和全網(wǎng)威脅聯(lián)防是技術(shù)融合的典范。下一代防火墻的整套安全防御體系都應(yīng)該是基于動(dòng)態(tài)云防護(hù)設(shè)計(jì)的。

NGFW與UTM有三大區(qū)別：集成化、單引擎；能適應(yīng)不同規(guī)模的企業(yè)；性能更有保證，管理更高效。

目前，對于下一代防火墻，仍存在一些明顯的爭論，如：NGFW就是個(gè)加強(qiáng)型的UTM；NGFW純粹是廠商概念炒作，沒什么新東西；NGFW其實(shí)早就有，只是沒歸納成概念。

實(shí)際上，對于用戶企業(yè)而言，面對業(yè)界紛紛擾擾的概念爭論和林林總總的新產(chǎn)品，根本不必拘泥于尚未統(tǒng)一的概念本身，而應(yīng)避免對廠商包裝后的概念的膚淺認(rèn)識，理解NGFW和UTM的本質(zhì)特性。最重要的是，在此基礎(chǔ)上，根據(jù)本企業(yè)的特定安全需求，選用最適合的防火墻產(chǎn)品和解決方案。