突破安全瓶颈 NGFW下一代防火墙演进正当时

为了保护某一区域，人们往往在区域的四周建起围墙，以阻隔危险的靠近，现实世界如此，虚拟的网络世界也不例外，无论是以公司为单位的企业用户还是个人用户，作为互联网上的一分子，都有可能受到来自外部的安全威胁，于是，防火墙产品便应运而生了。

有了它，就相当于在计算机与网络之间建起了一道屏障，它对流经它的网络通信数据进行扫描，从而过滤掉一些攻击。当然，与现实世界的实体墙易攻难守相比，网络世界里的防火墙功能更加多样而丰富，除了网罗不安全因素之外，它还能够做到关闭不使用的端口，以及禁止特定端口的流出通信，封锁特洛伊木马。而且通过禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

传统防火墙已经无法满足新的安全需求

道高一尺，魔高一丈

但是随着安全形势的变化，传统的安全防护正在失效，如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代安全威胁的作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头，分析和监视网络层(L3)和协议层(L4)，基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。

网络防火墙在安全防护中起到重要作用，但是也应该看到它的不足之处。如今，知识渊博的黑客，均能利用网络防火墙开放的端口，巧妙躲过网络防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统网络防火墙。传统的网络防火墙，存在着以下不足之处：1、无法检测加密的Web流量;2、普通应用程序加密后，也能轻易躲过防火墙的检测;3、对于Web应用程序，防范能力不足;4、应用防护特性，只适用于简单情况;5、无法扩展带深度检测功能。

应用层受到攻击的概率越来越大，而传统网络防火墙在这方面有存在着不足之处。对此，少数防火墙供应商也开始意识到应用层的威胁，在防火墙产品上增加了一些弹性概念的特征，试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳。

邪不压正

黑客很嚣张，但安全专家也不是用来做摆设的，面对网络的高速发展、应用的不断增多，防火墙的概念也被重新演义，下一代防火墙(Next-Generation Firewall，以下简称NGFW)应运而生。如同这个速食社会任何新出现的名词一样，虽然NGFW的概念已经热火朝天，但却很难确定一个统一的标准，而业内普遍认同的关于NGFW的定义，则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。

在文中，Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

那么，如何界定是否属于下一代防火墙呢?它应该具备下列最低属性：支持在线BITW(线缆中的块)配置，同时不会干扰网络运行;可作为网络流量检测与网络安全策略执行的平台，并具有下列最低特性：

1)标准的第一代防火墙功能;

2)集成式而非托管式网络入侵防御;

3)业务识别与全栈可视性;

4)超级智能的防火墙。

随着带宽需求的增加以及成功的攻击使企业有了更新防火墙的需求，下一代防火墙的概念也从虚无飘渺落到了具体产品上面，虽然在刚开始的时候，存在着概念先行，产品滞后的问题，但经过一段时间的发展，现在已经有众多厂商涉足这一领域，像SonicWALL、Check Point、Palo Alto、梭子鱼与深信服科技等厂商都先后发布了各自的NGFW产品，据估计，到2014年底下一个防火墙更新周期，60%新购买的防火墙将是NGFW。