防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用,合理的分隔了安全域,有效的阻止了外部的网络***。然而面对网络应用的高速发展以及网络规划的复杂化,传统防火墙显得力不从心。 对于使用僵尸网络等传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(HTTPHTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测***防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知***方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊性了。 Gartner2009年发布了一份名为《Defining the Next-GenerationFirewall》,将下一代防火墙(NGFW)定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用下一代防火墙这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图***业务系统的方式发生变化时应采取的必要的演进。 根据Gartner的理论,NGFW 应该是一个线速(wire-speed)网络安全处理平台,至少应当具备以下几个属性: 1、联机bump-in-the-wire配置,不中断网络运行。 2、发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性: (1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、×××等等。 (2)集成的而非仅仅共处一个位置的网络***检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。 (3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。 

4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。 Gartner认为,随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加和成功的***,促使更新防火墙,大企业将用NGFW替换已有的防火墙。不断变化的威胁环境,以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。 Gartner预计到2014年底,用户采购防火墙的比例将增加到占安装量的35%60%新购买的防火墙将是NGFW。 

下一代防火墙的革新 

应用识别是防火墙未来发展的重要技术方向,基于应用的***不断变化,也要求防御技术必须有所提升。对于这样的变化,传统防火墙只能望而兴叹。因为它在应用层无法起到良好的防御效果,而IPS仅关注应用层检测,防火墙功能较弱,这也是有些用户把IPS当做IDS使用的一个原因。UTM则是一个集大成的产品,能够很好地融合各种安全技术。 下一代防火墙在性能、安全性、易用性、可管理性等方面有了质的飞跃,满足用户新的防御和管理需求。相比传统防火墙和UTM,下一代防火墙与它们的主要区别在于: 1)传统防火墙局限于IP地址、接口层面的安全防护。从基于简单包过滤技术防火墙到基于状态检测技术的防火墙,重点的防护还仅仅是停留在OSI模型的四层以内; 2)UTM是在瘦防火墙基础上发展而来的,集防火墙、IPS、×××等安全功能于一体的集成安全网关,其不足之处在于处理机制烦琐,效率低下,内部安全模块间缺少智能关联; 

3)下一代防火墙除了具备传统防火墙功能外,更关注针对应用层面的安全防护。实时性、准确性、高效性也成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果,自动识别到该流量在应用层执行的安全策略。流量控制需要更精细化的管理,不仅仅能够对异常***流量进行阻止或允许动作,更可用来进行基于应用层的QoS控制,控制粒度更为细致。例如,可允许用户使用Netmeeting会议,但禁止其白板功能等,检测顺序也更为高效。设备对数据流仅需进行一次检测,IPS、FW模块并行进行识别判断。