自2009年Gartner定義了下一代防火墻概念以來，下一代防火墻便開始雨后春筍般的出現。眾多國內外安全廠商都推出了其下一代防火墻產品，甚至一些原本專注于其他領域的廠商也開始涉足下一代防火墻。在國內，下一代防火墻市場可謂異常火熱，各家在基于Gartner定義的下一代防火墻概念基礎上，結合自身優勢推出了各具特色的下一代防火墻產品。

　　如此復雜繁多的下一代防火墻產品，哪個才是真正實用的下一代防火墻？哪個才能代表未來的發展趨勢？對于用戶，該如何區分和選擇適合自己的下一代防火墻產品？基于此，我們采訪了綠盟科技的兩位安全專家，請他們共同來探討這些話題。

　　當前網絡安全環境探討

　　隨著云計算、移動、社交網絡等新興IT技術的發展，給企業IT基礎架構帶來了翻天覆地的變化，同時也為企業IT系統的安全帶來全新的挑戰，在這種趨勢下，企業IT的安全發生了根本性的變化。綠盟科技產品市場經理段繼平表示，這些新的趨勢給IT帶來的第一個變化就是傳統網絡邊界逐漸變得模糊或者消失，這使得企業現有防護策略體系變得千瘡百孔，而傳統的基于IP地址和端口的用戶和應用識別及管理機制可以說已完全失效。

　　段繼平接著談到，面對這些新的變化，企業需要重新梳理和規劃現有安全體系架構，通過建立體系化的安全防護體系，實現對企業IT架構的全面防御，而不能向過去那樣一味的堆積產品，或者通過補洞的方式對現在的安全體系進行修修補補。另外企業在選擇安全防護方案的時候也要重點考慮能夠適應企業全新IT架構的新一代的網絡安全解決方案，避免選擇一些過時的方案搞重復建設，這對企業來說是不夠明智的。

　　而下一代防火墻是否能夠適應企業當前的IT架構變革呢？下一代防火墻能為企業帶來哪些好處呢？綠盟科技產品推廣經理黃海認為，下一代防火墻不能說完全解決企業目前面臨的問題，但確實改善了很多問題。像目前的應用流量泛濫、難以管控的問題，通過下一代防火墻的應用識別和與策略結合的能力就可以得到很好的解決。過去采用IP地址進行管理和日志記錄會導致配置和溯源上的困難，下一代防火墻也可以通過用戶身份管理的功能來解決，這樣可以使IT管理人員不需再關心網絡層面的IP地址和端口的問題，僅需要從業務的角度進行安全策略配置并回溯問題就可以。

　　“下一代防火墻內部引擎的高效實現又保障了設備擁有比過去更優良的性能，讓單臺設備支持多種安全能力成為了一種可能，從而實現過去需要購買多臺設備才能完成的安全組網現在僅需一臺設備就能完成。這也從實際上降低了企業對安全設備投資和管理維護成本，把很多企業從安全與投資這個矛盾問題當中解救出來。”黃海這樣介紹到。

　　下一代防火墻發展趨勢探討

　　1、NGFW應用識別技術

　　Web2.0時代的到來使得大量的應用進入企業網絡，這些應用幫助企業提高了工作效率，但同時也帶來了更多的安全風險。因此，針對應用層的安全防護能力成為判斷下一代防火墻能力的重要標準。黃海介紹到，目前下一代防火墻的應用識別技術主要有三種：深度包檢測、深度流檢測和會話關聯檢測，深度包檢測主要對單個報文中的明顯應用特征進行匹配，技術實現上比較簡單和原始，但應用還是較多的；深度流檢測可以對一條流上的多個前后相關聯的報文進行檢查和匹配，有時候甚至是雙向的報文都要檢測，這樣能更好的應對多變的應用環境；會話關聯檢測主要是針對一些多會話應用，要做到會話之間的關聯識別，保證最終的結果無遺漏。

　　黃海談到，“技術上的大同小異使得很多廠家在推廣產品宣傳應用識別能力的時候會集中在特征庫大小這個問題上，現在來看，各個廠家的應用庫數量已經從過去的幾百全面的過渡到了1000+，但這里其實還是有一些陷阱和誤區，就是一些老舊應用特征是不是應該算到這個庫里的問題，算進去就可以增加特征庫數量甚至達到幾千種應用，但對于用戶使用來講意義卻不大。”

　　除了優秀的應用識別能力，下一代防火墻還必須具備對應用威脅的分類和分析能力。由于應用的數量實在太多，而一些用戶所不熟悉的應用卻又是潛在風險最多的，如何區分、鑒別這些威脅成為一個很重要的問題。黃海介紹到，綠盟科技在下一代防火墻中首度嘗試了對所有應用進行多維度分類，將應用按照類型、威脅大小、實現技術和功能特點進行歸類，并最終通過一個應用過濾器方便用戶篩選出一個更精確的應用集中來制定策略，這樣才可以提供更安全的應用環境。

　　2、NGFW與UTM對比

　　從NGFW概念提出之初，人們對于NGFW和UTM的對比就沒停止過。那么到底兩者區別在哪呢？在本次的采訪中，黃海分別從兩款產品的市場定位和技術實現為我們做了詳細的解釋。

　　從市場定位來看UTM和NGFW是完全不同的，UTM定位在提供全面的安全防護能力，會盡可能多的集成各種安全功能，而下一代防火墻定位在基礎安全功能的高效集成。當前來看兩款產品很多功能出現了重疊，比如IPS、流量管控。這主要是因為隨著技術發展，大家對基礎安全功能的定義出現了變化，過去的基礎安全功能可能也就是包過濾，NAT，VPN，但是隨著技術進步各種業務對安全的需要也越來越高，而Gartner在2009年推出了下一代防火墻的分析報告，這個時候人們開始逐漸的意識到當前的一些IPS，應用識別等安全功能也將逐漸的成為基礎功能，所以下一代防火墻成為了一種新的選擇。

　　從技術實現上講UTM為了實現全面的功能集成，各個模塊間往往沒有很強的關聯，可以認為是多個軟件模塊在一個盒子里面堆的堆疊，這個時候如果是高端的插板式設備，可以通過增加插板來保證業務模塊的增加不會影響設備性能，但是如果是中低端設備，就會面臨業務模塊互相爭奪資源的問題，結果是模塊越多性能越低。而下一代防火墻在技術實現上則強調多種功能的高效集成，如綠盟科技下一代防火墻就是利用一體化引擎將IPS、應用識別等7層安全功能集成，在引擎內部僅作一次解碼就可以將多個功能模塊并行處理完成。

　　黃海談到，未來隨著大家安全意識的逐步提高，基礎安全定義逐漸擴展，不排除下一代防火墻替代UTM產品的可能，但這還需要一定的時間，畢竟現在很多UTM產品集成的安全功能太多了，要做到這些安全功能的高效集成一方面需要技術上突破一些瓶頸，另一方面還需要安全廠商在自身能力建設上走的更遠。如果現在就快速簡單的把很多功能拿過來堆在一起，那下一代防火墻就真的成為了噱頭，和UTM設備沒什么差別了。

　　3、云安全服務是福是禍？

　　隨著云計算的深入發展，近兩年來出現了大量的云安全服務，如DDoS防護、郵件安全、網站安全等。云安全服務的出現對傳統安全硬件市場是否會帶來沖擊呢？段繼平認為，與其說帶來沖擊，不如說更多是帶來改變和機會。對于硬件防火墻市場來說，傳統的硬件防火墻雖然過去很長一段時間內確實滿足了客戶很多安全需求，但是隨著近幾年安全威脅的發展，單獨依靠硬件防火墻已經無法解決用戶面臨的新問題，如果防火墻自己不求變化，會很大的制約防火墻技術本身和防火墻產品市場的發展，而由于云安全服務的出現，對硬件防火墻來說是一個機遇，因為云安全其實為安全企業和用戶之間提供了一個便利的連接管道，它可以使企業的安全能力更加容易的交付給用戶，并且可以通過類似于閉環安全響應，實時安全事件監控等方式切切實實幫助他們去解決他們面臨的很多問題。

　　因此，從安全行業的角度來講，增加了云安全服務的硬件防火墻市場等于是為硬件防火墻打了一針強心劑，同時為防火墻市場重新注入了一種活力。目前對于下一代防火墻來說，主流的產品形態還是以硬件為主，但是相信將來肯定會出現基于云安全服務的下一代防火墻，但不管是硬件還是云安全服務，最終依托基礎還是廠商的安全能力，這個是核心，如果沒有這個核心，云安全服務就無從談起。

　　下一代防火墻應用實踐

　　1、下一代防火墻選型參考

　　下一代防火墻對于業界來說已經是一個談論火熱的話題，但對于企業來講還是一個全新的概念，如果企業要選擇下一代防火墻，那具體該怎樣選型？黃海給出了參考建議：其實從選型和部署的流程上來講，下一代防火墻與傳統設備之間沒有太明顯的區別。還是要先明確業務，再確定需求，然后選擇設備，最終確定方案，只是在各個環節上需要考慮的問題比以前多了。

　　在明確業務階段，過去可能只需要了解下網絡規劃和網絡中的業務類型、流量走向和重要服務器的物理分布就可以開始防火墻組網的規劃，但下一代防火墻由于IPS和防病毒等安全功能的出現，在明確業務階段如果加入信息資產評估和風險管理的相關工作就會對整體的方案選擇提供較大幫助和參考。

　　在確定需求階段，過去主要就是傳統防火墻的幾個功能點，現在需要考慮的更多，由于當前下一代防火墻產品眾多，良莠不齊，對性能的考慮要比之前更謹慎，單純的考慮傳統三層轉發性能已經遠遠不夠，還需要重點參考七層安全性能。

　　在產品選擇階段重點考慮三點，一是產品對需求的滿足程度以及各種功能在未來的擴展性；二是廠商的安全實力和服務能力，這里要考慮的是安全研究方面的儲備和安全業務的一個長期穩定性，要保證設備的安全功能長期可用，并且好用，否則投資無法保障；三是價格，要在前面性能需求可以很好滿足的情況下去進行參考。

　　在方案制定階段，很多廠商都能夠提供各種建議并進行實施，而且現在的下一代防火墻在各種組網方案的適應性都要比以前要好，所以這方面用戶不需要太過操心。

　　2、下一代防火墻運維實踐

　　根據業界調研顯示，由于下一代防火墻功能的增多，其運維的難度并沒有向一些下一代防火墻廠商所說的簡化了運維，反而是增加了運維的復雜性。分析原因，黃海解釋到，造成這個問題的原因主要有兩點：

　　第一是我國當前的網絡發展狀況與國際相比還處于稍顯落后的位置，很多和下一代防火墻配套的設施和技術發展緩慢，這就讓很多下一代防火墻的新理念難以實行，反而成了麻煩事。比如用戶識別的概念，這是下一代防火墻為了簡化運維，改進溯源而提供的一個重要功能。但現實情況是，有些用戶在采購防火墻設備之前根本沒有統一的用戶認證服務器，即使在采購了下一代防火墻之后也不考慮在下一代防火墻上使用本地認證。原因一方面可能是用戶信息較多不愿意去做，另一方面可能是還沒認識到用戶識別所能帶來的好處。最終的結果就是客戶用了下一代防火墻之后沒有改善運維復雜度，反而還要在所有策略選項里多用戶這么一個沒用的選項。但隨著時間的推移，我們國家的網絡管理運維理念會逐漸的升級，那這個問題就能迎刃而解，并不是最主要的問題。

　　二是當前一些廠家在下一代防火墻的定義和定位上把握不準，產品本身又走了UTM的老路，很多廠商在下一代防火墻產品上集成了大量功能，有些甚至支持了漏洞掃描等功能。從表面看，是下一代防火墻對UTM進行了完全替代，但從內核上看，產品內部各個功能模塊之間還是孤立的，這樣的產品實際上就是個UTM。而真正的下一代防火墻產品在有了一體化引擎這樣一個好的功能實現載體之后，在它上面可以開發出一體化策略配置功能，這個一體化策略配置功能可以讓管理員在一個界面就配置完所有的安全策略，而且便于后期查看。