所謂下一代防火墻(NGFW)指擁有對信息具有更高入侵防止能力的企業防火墻/ VPN。其可被認為擁有智能，可使用諸如互聯網可靠分析等信息幫助進行惡意插件過濾或與Active Directory進行整合。

向NGFW轉型真正實現需要多長時間呢?

成立于2007年的新興公司Palo Alto Networks被認為是首家推出下一代防火墻安全設備的廠商。目前該公司的客戶已經超過了2200名。Fortinet、思科、 Check Point,邁克菲和Barracuda Networks等廠商都在調整他們的防火墻產品以符合下一代防火墻的概念。此外，IPS(入侵阻止系統)廠商Sourcefire表示，他們明年將在具有應用識別的防火墻中整合IPS。盡管如此，目前這種新型防火墻的實際使得率還非常低。

市場研究機構Gartner在過去幾年一直支持NGFW。Gartner分析師Greg Young稱：“目前受NGFW保護的互聯還不到1%，不過到2014年這一比率將上升至35%。”

不過，NGFW并不是一個科學術語，它只是一個純粹的市場營銷用語，因為它的定義還沒有明確下來。目前也沒有哪一家第三方獨立實驗室能夠對所謂的NGFW進行測試。Fortinet 稱，目前ICSA實驗室正在討論對多種NGFW產品進行可能的測試。這在很大程度上是因為目前NGFW沒有明確的定義。雖然Gartner對NGFW有著自己的描述，但是他們也承認“一些廠商在應用控制上占有優勢，另一些廠商在IPS上具有優勢。目前大多數的防火墻廠商處于NGFW的初級階段。Palo Alto是率先進入這一領域的廠商。”

隨著IDC的統一威脅管理(UTM)概念的推出，新一代防火墻的描述變得更為混亂。IDC分析師Charles Kolodgy稱，UTM與NGFW大體相似。不過Gartner認為IDC創造的UTM一詞指只適用于小型和中型市場的設備，NGFW適用于1000名雇員以上的企業。

目前安全廠商已經認識到將多用途企業安全應用整合在一起的需求將會上升。

Fortinet 公司產品營銷副總裁Patrick Bedwell 稱：“市場趨勢正在這一個方向發展。” Patrick在上周剛剛推出了該公司5000系列設備中的新成員Fortigate-5001B安全刀片，該產品吞吐量提升到了40Gbps，與以前8Gbps產品相比有了很大的飛越。他稱隨著威脅日趨復雜，重點應當放在應用控制上。老的防火墻已經跟不上這一趨勢了。

FortiGate防火墻/VPN安全刀片可以識別1300個應用，可以根據用戶對應用的使用習慣建立細微控制。此外，還可以對時間進行限制，對帶寬進行管理。

目前已經有不少廠商加入到NGFW陣營中。邁克菲正在考慮將他們在去年六月份推出企業防火墻v. 8版進行升級以使其成為一款NGFW產品。

邁克菲產品營銷和網絡防御總監Greg Brown稱：“我們正在重新設計應用引擎，新引擎可以讓我們探測并監控1000多個應用。我們讓新引擎具備可擴展性。我們每周都會進行應用升級。”

邁克菲企業防火墻v. 8版已經達到了10Gbps。為了獲得更快的速度，邁克菲與Crossbeam系統公司展開了合作，以讓他們的平臺達到40Gbps。目前邁克菲正在致力于讓他們的設備達到更快的速度。

無所不能，無所不知的防火墻真的擁有與獨立IPS一樣有效的IPS功能嗎?Brown承認這是一個很難回答的問題，目前還沒有對它們進行過獨立的測試。他稱：“我們的意圖是讓它們與獨立的IPS一樣有效。”

Brown稱，由于普通的防火墻主要是關注IP網絡范圍，因此與普通的防火墻相比，NGFW是在應用控制方面進行工作，因此對于大多數客戶來說這是一種新技術。

目前已經出現了整合微軟Active Directory等功能的呼聲，如根據授權應用建立用戶團體。迄今為止，大多數邁克菲用戶正在試用與部分應用，而不是全部應用有關的先進防火墻功能，以看一下策略控制的影響是什么。

24 Hour Fitness公司在美國和海外擁有超過400家俱樂部，他們在去年夏天開始部署Palo Alto Networks公司生產的具有應用識別功能的防火墻。

該公司IT運營和安全總監Justin Kwong稱，換用Palo Alto的整合架構不僅成本合算，而且IT雇員通過使用諸如基于信譽的過濾等功能對正在發生什么有著更為清楚的認識。

公司正在利用Palo Alto與Active Directory的整合建立起關于雇員應用的策略控制。Kwong表示，目前策略還沒有細化，他們正在學習關于應用控制的一些知識。與此同時，Kwong并不認為他的公司需要徹底轉型為NGFW模式，原因是對應用識別控制的需求還沒有出現在所有的和數據中心。

IDC分析師Kolodgy稱，對基于應用的控制應該是有限度的使用，直到適應后再擴展它的使用范圍。這是IDS向IPS過渡的方法。

此外，盡管NGFW代表著安全整合，但是Kwong對此卻有所保留。他稱，除了使用Palo Alto IPS功能外，他還準備繼續使用開源的IPS作為“第二只眼睛”。他稱：“我從來都不把所有的雞蛋放在一個籃子里，我也從來不會只依賴于一個廠商。”

如果用戶不在防火墻后，如帶著筆記本電腦出差或使用移動設備，NGFW安全應用程度是多少呢?

Palo Alto Networks產品營銷總裁Chris King稱：“我們能夠將道口擴展到用戶不在網絡上的電腦。” Palo Alto已經有了一個VPN客戶端，其可以將用戶的信息拖回客戶的NGFW點，明年早期時候Palo Alto將提供稱之為GlobalProtect的智能VPN客戶端。這種智能VPN客戶端知道用戶在世界的哪個地方，將客戶與最近的網關連接。King稱：“管理大量網關需要一個網關層級制度，客戶知道哪個網關距他們最近。”他稱，這種功能在一定程度可以防止數據損失。

Palo Alto還表示，在信任環境中用戶的桌面證書將被共享，他們將有能力根據可信任環境為數據包做SSL檢查，而SSL檢查則可以打開流入與流出的數據。King稱：“我們打開它們是為了確定是否是一人被允許的應用，檢查完后再重新加密。”

【編輯推薦】

1. 關于下一代防火墻你應該知道的事情
2. 下一代防火墻如何才能應對新的安全威脅
3. 下一代防火墻何時會替換現有防火墻？
4. 擎天系列防火墻指明下一代防火墻發展方向