隨著網(wǎng)絡(luò)安全威脅的手法越來越多，傳統(tǒng)防火墻功能早就已經(jīng)有鞭長莫及之感。在這樣的狀況下，逐漸出現(xiàn)稱作次世代防火墻（NextGenerationFirewall，NGFW）的產(chǎn)品，不少調(diào)查機構(gòu)與研究單位，也開始發(fā)表對于NGFW的定義。

這讓人不禁開始想探究，到底什么樣的設(shè)備，才能被稱為NGFW？而NGFW又會替企業(yè)的網(wǎng)絡(luò)架構(gòu)帶來什么樣的改變？目前NGFW還沒有一個肯定的定義，但是對于企業(yè)來說，很多現(xiàn)有產(chǎn)品和研究報告所歸納出來的線索，或許已經(jīng)可以提供給企業(yè)使用者在選購符合未來需求的設(shè)備時，一條明路。

NGFW沒有統(tǒng)一定義，但功能已有明確方向

雖然目前NGFW還沒有一個統(tǒng)一的定義，不過很多功能已經(jīng)是眾所公認為NGFW應(yīng)該要具備的功能。其中最重要的，就是NGFW必須要有能力辨識應(yīng)用層，看到不同應(yīng)用程序的流量；在這之后，還必須要能夠針對不同應(yīng)用內(nèi)細部的不同功能，做到管控的能力。舉例來說，可以把Skype的文件傳輸功能關(guān)閉，但保留其他的功能。

或許透過不同研究機構(gòu)的報告，可以更貼切的描述NGFW該具備的功能。2009年10月，調(diào)查機構(gòu)Gartner推出了一份名為”DefiningtheNextGenerationFirewall”報告，里面對于他們心目中的次世代防火墻，就提供了幾個應(yīng)該具備功能的定義。Gartner列出的幾點NGFW該具備的功能如下：能夠做為封包檢測或安全政策執(zhí)行的據(jù)點；并且擁有傳統(tǒng)防火墻的功能，如NAT、封包過濾、VPN、傳輸協(xié)定檢測等。除此之外，NGFW還需要具備有IDP的功能，并且有能力和防火墻的功能互相溝通，必要時可以透過防火墻阻斷危險的流量。

在這些功能之外，Gartner在報告中也特別提到了應(yīng)用程序流量辨識的能力，并且把這項能力視為NGFW的重點之一。也就是說，NGFW必須提供可視度（Visibility），不光是像過去的防火墻一樣，只是透過特徵和連接池的號碼來管控流量，還必須有能力看得懂第七層應(yīng)用層，辨識流經(jīng)的不同流量，分別屬于哪些應(yīng)用、哪些人使用、透過什么裝置使用等信息。

因此，該份報告中還指出，NGFW必須有能力取得其他設(shè)備提供的信息，進而透過這些信息達到阻斷惡意流量的效果。舉例來說，NGFW可能要能夠和身分辨識的AD架構(gòu)、RADIUS等設(shè)備溝通，取得使用者身分的信息，然后輔以應(yīng)用辨識的能力，將不合企業(yè)內(nèi)安全政策與可能的惡意威脅流量阻斷，并且能夠快速的辨識出使用者位在何方。

最后，報告中談到，NGFW還必須具備客制化擴充的能力，如此一來，在面對新威脅時，才能快速的反應(yīng)。Gartner這份報告，排除了傳統(tǒng)UTM和中小企業(yè)，并且也不列入DLP（DataLeakagePrevention）、Web安全閘道器、信息安全閘道器等功能，報告中認為，這些功能都不算是NGFW需要必備的功能。

不過另一個安全訓(xùn)練與研究機構(gòu)SANS（SysAdmin、Audit、Network、Security）協(xié)會，所定義的NGFW，則又是另一番面貌。SANS在2009年2月發(fā)表了一份探討NGFW功能的報告，在其中指出，NGFW應(yīng)該是除了具備傳統(tǒng)防火墻功能外，還能提供包括基礎(chǔ)DLP、NAC（NetworkAccessControl）、IDP、防蠕蟲、防中介軟件、網(wǎng)站過濾、VPN、SSLProxy、QoS等功能。

SANS還在該份報告中指出，現(xiàn)有市面號稱為NGFW的產(chǎn)品，在DLP、NAC、SSLProxy這三項功能的提供上比較欠缺，未來NGFW的發(fā)展，應(yīng)該要往增加這些功能的方向前進。

同時，報告中也指出NGFW所能帶來的優(yōu)勢與可能面臨的挑戰(zhàn)。首先，由于NGFW能夠整合了多種不同功能在單一設(shè)備上，于是部分對于時效性要求特別高的功能，如IPS與防火墻的聯(lián)防，就能更有效率，也比較不會有互通上的難度。舉例來說，當(dāng)網(wǎng)站過濾的功能偵測到有使用者連上惡意的網(wǎng)站，就能快速的透過防火墻阻斷連線，或是導(dǎo)引到其他地方。報告中也指出，這一點優(yōu)勢是十分重要的能力，因為根據(jù)研究，當(dāng)使用者連上惡意位址而感染了惡意程序后，一般來說網(wǎng)絡(luò)上的安全設(shè)備，如IDP等，要發(fā)現(xiàn)這項威脅，往往都在感染已經(jīng)發(fā)生了數(shù)天或數(shù)月之后，無法防范于未然。此外，這樣的做法也可以省下多數(shù)設(shè)備的投資，提供企業(yè)經(jīng)濟上的效益；并且管理和控管上也更為簡便。

不過SANS的報告中也明白的指出，反過來看，這會讓企業(yè)的網(wǎng)絡(luò)安全防護更容易傾向只依賴少數(shù)的廠商，因為功能都整合到單一設(shè)備上，有可能會是一個隱憂。另外就是效能的問題，要提供這么多功能，效能很有可能會是瓶頸。SANS的報告中并沒有排除DLP功能和UTM設(shè)備，從這一點來看，該份報告所描述的功能細節(jié)比起Gartner更為詳細，但相對的包含的功能也比較發(fā)散。

更靈活的架構(gòu)與擴充性，也將成為重點

由上述兩份針對NGFW所做的報告內(nèi)容，應(yīng)該已經(jīng)可以掌握NGFW大概的方向。不過畢竟這些報告主要針對的還是網(wǎng)絡(luò)上單點設(shè)備的描述，事實上，隨著虛擬化技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的需求已經(jīng)越來越需要從網(wǎng)絡(luò)架構(gòu)的整體面來考量。因此，我們還可以再進一步歸納出報告中沒有談到的重點，那就是靈活的架構(gòu)與擴充性。

更靈活的架構(gòu)除了前述報告中談到的客制化能力，還有一點很重要的就是硬件資源透過虛擬化技術(shù)進行分配的能力。舉例來說，NGFW很有可能有能力可以將多臺防火墻串連虛擬為單一的防火墻設(shè)備，或是將單臺防火墻虛擬為多臺小型的防火墻，達到分開處理流量的效果。而同時這些虛擬技術(shù)，都將讓NGFW在分配硬件資源上更靈活，而不再受限于實體的限制。目前已經(jīng)有不少網(wǎng)絡(luò)安全設(shè)備廠商，已經(jīng)在往這個方面發(fā)展，或是已經(jīng)有類似的功能，如Juniper、Fortinet等。

而為了達到更靈活分配硬件資源的目標，NGFW其實還有一個發(fā)展趨勢很值得注意，那就是軟、硬件功能臍帶割離的趨勢。未來的NGFW，功能將不會再受到硬件的限制，取而代之的，將會逐漸轉(zhuǎn)向以”空白的硬件”的方式，讓設(shè)備的擴充性更佳。

接下來我們將列出NGFW應(yīng)具備的6項重要功能，這些功能都是透過歸納市面上的產(chǎn)品現(xiàn)狀，輔以各家調(diào)查機構(gòu)所列出重點的整理而成。Gartner在報告中，建議企業(yè)現(xiàn)在在選擇防火墻這樣的設(shè)備時，已經(jīng)可以逐漸往NGFW的功能考量。而整理出的這6項功能，也同樣希望能夠提供讀者對NGFW這個概念有一定的認識。