下一代防火墙：从概念回归本质

从2007年Palo Alto Networks发布世界第一款下一代防火墙（NGFW）产品至今已经有五年多的光景，这期间不少国内外的厂商相继推出了NGFW。在防火墙市场，已经展现出一场群雄争霸的局面。

NGFW应企业需求而生

随着互联网的快速发展，各种应用程序的爆发，企业面临着常用应用程序中的漏洞带来的风险。

网络通信不再像以前一样紧紧是依赖于存储和转发应用程序（例如电子邮件），而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息（IM）和P2P应用程序、语音IP电话（VoIP）、流媒体和电话会议，这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序（只是消耗带宽或者带来危险）。

恶意软件和网络攻击者瞄准了这个场所，让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险，这些应用程序也消耗带宽和生产力，并且与关键业务型应用程序抢夺网络带宽。因此，企业需要工具来保证业务关键应用程序的带宽，并需要应用程序智能和控制来保护入站和出站的流量，同时确保速度和安全性以提供高效的工作环境。

应企业需求，在多种多样大量的应用程序环境下，仅靠传统防火墙的功能似乎显得力不从心，它们的技术实际上已经过时，因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查，还可扩展到支持最高性能网络。

众说纷纭NGFW

市场呼唤新的防火墙产品。需要注意的是，机构对下一代防火墙所做出的定义是其最小化的功能集合，而从安全厂商的角度看，则会根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异，它们更像一个大而全的集中化解决方案，让用户感到迷惑。而在国内，业内对于Gartner的下一代防火墙定义一直存在争议，而下一代防火墙在各个安全厂商及不同用户心目中也还未能形成一个统一的概念。

2009年，Gartner在题为《Defining the Next-Generation Firewall》的报告中对下一代防火墙进行了定义，Gartner认为，NGFW应该是一个线速（wire-speed）网络安全处理平台，定位于企业网络防火墙（Enterprise Network Firewall，Firewall指宏观意义上的防火墙）市场（这里的企业指的是大型企业），文章作者Greg Young认为，NGFW要具备的四大基本要素是：集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动。

不过，国内一些安全厂商认为，在云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用的今天，Gartner2009年定义NGFW时的认知已经明显不足。有国内厂商在此基础上，又提出了一代防火墙必须具备的六大特质：基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。

以国内首个推出下一代防火墙的深信服为例，其下一代防火墙NGAF就有三个最显著的特点：完整应用层安全防御（包括主流的Web攻击、漏洞攻击等各类型的应用层攻击）；独特的双向内容检测（不仅检测由外到内流量中是否有攻击，对服务器、终端外发的流量也会进行深入内容的安全检测）；智能的安全防御体系（采用了自动建模技术和模块间联动技术。）