下一代防火墙NGFW解读：你知道的和你不知道的

下一代防火墙，缩写为NGFW，它是各路防火墙厂商以及Gartner这样的咨询公司常常挂在嘴上的一个流行术语，主要是为了和传统的基于端口的防火墙加以区别，下一代防火墙将包含更多的安全防御和基于身份的应用程序控制能力。

NGFW不是一个科学术语，它更多的是承载着防火墙厂商的营销意图，但它不只是市场炒作，Gartner早在几年前就开始使用NGFW这一术语了，准确地说，NGFW这个缩略语是由Gartner创造的。防火墙厂商显然受到了Gartner的影响，竞相推出更复杂的，背离传统的基于端口的检查和控制的新型防火墙，当然，他们也更乐意称之为下一代防火墙，毕竟噱头更多，更有卖相。

Gartner对NGFW的定义是什么？

必须有标准的防火墙功能，如网络地址转换，状态检测，VPN和大企业需要的功能。

入侵防御系统和防火墙真正一体化。

应用程序感知能力，自动识别和控制应用程序。

额外的防火墙智能，为辅助决策提供更多信息，如信誉分析，与活动目录(AD)集成，有用的阻塞或漏洞列表。

那如果一个防火墙厂商声称它的产品属于NGFW，是不是它的产品就应该包含所有这些功能呢?

不一定。使用NGFW这个术语有许多营销目的，许多防火墙厂商正在努力改造现有的产品线，以满足NGFW的定义。成立于2007年的Palo Alto网络公司被公认为是业界第一家真正的下一代防火墙厂商，它的产品给传统防火墙厂商产生了颠覆性的影响，从而加剧了传统防火墙厂商研发下一代防火墙的欲望和脚步，Palo Alto也继续为它的产品增加新功能，以便巩固自己的地位。

NGFW会被广泛使用吗？

不会，Gartner估计只有不到1%的安全互联是由NGFW支持的，但Gartner安全顾问预计到2014年这一数字会上升到35%，尽管目前都在炒作，但NGFW市场总有一天会火起来的。

什么是统一威胁管理（UTM）？

UTM是IDC公司创造的一个术语，它和NGFW的概念一样，都指的是一种多用途综合安全设备，UTM也不是科学术语，但也并非完全炒作，虽然这个术语是IDC创造的，Gartner却对它的含义做了新的解释，声称UTM只不过是面向中小型企业的一种安全设备，同样，IDC也嘲笑过Gartner对NGFW做的定义。IDC分析师Charles Kolodgy最近总结出一种他认为很有趣的一种说法，“我很怀疑NGFW是否会发展成为一种市场，我认为它应该属于防火墙市场，说下一代有点模棱两可”，有些厂商既使用了NGFW又使用UTM进行市场营销，这两个术语之争不应该影响到购买决策，特别是有大量的进化产品产生，真正应该关心的是NGFW或UTM在指定网络环境中的表现。

是否有独立的NGFW测试报告，以辅助决策？

很遗憾，目前还没有看到独立的NGFW测试报告，但一些厂商也承认收到了独立实验室发来的问题报告。我们应该因NGFW具有综合安全功能，如入侵防御或反恶意软件过滤而购买它吗?购买NGFW的成本会比单独购买具有这些功能的独立产品更贵吗?

预计会更贵，但一些早期使用者表示NGFW的优势在于简化管理和运维，与此同时，有些人说他们不想完全放弃使用传统的防火墙或独立的IPS，因为他们对一个设备管理一切的做法感到不安，至少仍然心存疑虑。

基于身份的应用程序控制背后的思想是什么？

大多数厂商都表示他们的NGFW允许对1000多个应用程序实施基于策略的控制，并和微软的活动目录提供了紧密集成，目标是确定哪些应用程序需要通过互联网，以及企业用户可以访问哪些Web服务，不能访问哪些服务，如p2p或社交网络可能会被明确禁止，使用NGFW时，对应用程序的控制可能会是一个缓慢的过程，因为IT和企业管理人员都需要学习这些类型的控制，有一个要问的问题是，NGFW如何保护使用移动设备的用户。

我的组织应该使用整合了IPS和基于身份的应用控制的防火墙吗？

在迁移到NGFW时会遇到各种问题，规则，策略和人员培训都需要考虑，Gartner建议至少要追踪厂商在做什么，以及他们的路线图，以便在真正要采购防火墙之前进行准确评估，特别是在谈判阶段更具主动性，避免被厂商牵着鼻子走。