隨著網絡安全威脅的手法越來越多，傳統防火墻功能早就已經有鞭長莫及之感。在這樣的狀況下，逐漸出現稱作次世代防火墻（NextGenerationFirewall，NGFW）的產品，不少調查機構與研究單位，也開始發表對于NGFW的定義。

這讓人不禁開始想探究，到底什么樣的設備，才能被稱為NGFW？而NGFW又會替企業的網絡架構帶來什么樣的改變？目前NGFW還沒有一個肯定的定義，但是對于企業來說，很多現有產品和研究報告所歸納出來的線索，或許已經可以提供給企業使用者在選購符合未來需求的設備時，一條明路。

NGFW沒有統一定義，但功能已有明確方向

雖然目前NGFW還沒有一個統一的定義，不過很多功能已經是眾所公認為NGFW應該要具備的功能。其中最重要的，就是NGFW必須要有能力辨識應用層，看到不同應用程序的流量；在這之后，還必須要能夠針對不同應用內細部的不同功能，做到管控的能力。舉例來說，可以把Skype的文件傳輸功能關閉，但保留其他的功能。

或許透過不同研究機構的報告，可以更貼切的描述NGFW該具備的功能。2009年10月，調查機構Gartner推出了一份名為”DefiningtheNextGenerationFirewall”報告，里面對于他們心目中的次世代防火墻，就提供了幾個應該具備功能的定義。Gartner列出的幾點NGFW該具備的功能如下：能夠做為封包檢測或安全政策執行的據點；并且擁有傳統防火墻的功能，如NAT、封包過濾、VPN、傳輸協定檢測等。除此之外，NGFW還需要具備有IDP的功能，并且有能力和防火墻的功能互相溝通，必要時可以透過防火墻阻斷危險的流量。

在這些功能之外，Gartner在報告中也特別提到了應用程序流量辨識的能力，并且把這項能力視為NGFW的重點之一。也就是說，NGFW必須提供可視度（Visibility），不光是像過去的防火墻一樣，只是透過特徵和連接池的號碼來管控流量，還必須有能力看得懂第七層應用層，辨識流經的不同流量，分別屬于哪些應用、哪些人使用、透過什么裝置使用等信息。

因此，該份報告中還指出，NGFW必須有能力取得其他設備提供的信息，進而透過這些信息達到阻斷惡意流量的效果。舉例來說，NGFW可能要能夠和身分辨識的AD架構、RADIUS等設備溝通，取得使用者身分的信息，然后輔以應用辨識的能力，將不合企業內安全政策與可能的惡意威脅流量阻斷，并且能夠快速的辨識出使用者位在何方。

最后，報告中談到，NGFW還必須具備客制化擴充的能力，如此一來，在面對新威脅時，才能快速的反應。Gartner這份報告，排除了傳統UTM和中小企業，并且也不列入DLP（DataLeakagePrevention）、Web安全閘道器、信息安全閘道器等功能，報告中認為，這些功能都不算是NGFW需要必備的功能。

不過另一個安全訓練與研究機構SANS（SysAdmin、Audit、Network、Security）協會，所定義的NGFW，則又是另一番面貌。SANS在2009年2月發表了一份探討NGFW功能的報告，在其中指出，NGFW應該是除了具備傳統防火墻功能外，還能提供包括基礎DLP、NAC（NetworkAccessControl）、IDP、防蠕蟲、防中介軟件、網站過濾、VPN、SSLProxy、QoS等功能。

SANS還在該份報告中指出，現有市面號稱為NGFW的產品，在DLP、NAC、SSLProxy這三項功能的提供上比較欠缺，未來NGFW的發展，應該要往增加這些功能的方向前進。

同時，報告中也指出NGFW所能帶來的優勢與可能面臨的挑戰。首先，由于NGFW能夠整合了多種不同功能在單一設備上，于是部分對于時效性要求特別高的功能，如IPS與防火墻的聯防，就能更有效率，也比較不會有互通上的難度。舉例來說，當網站過濾的功能偵測到有使用者連上惡意的網站，就能快速的透過防火墻阻斷連線，或是導引到其他地方。報告中也指出，這一點優勢是十分重要的能力，因為根據研究，當使用者連上惡意位址而感染了惡意程序后，一般來說網絡上的安全設備，如IDP等，要發現這項威脅，往往都在感染已經發生了數天或數月之后，無法防范于未然。此外，這樣的做法也可以省下多數設備的投資，提供企業經濟上的效益；并且管理和控管上也更為簡便。

不過SANS的報告中也明白的指出，反過來看，這會讓企業的網絡安全防護更容易傾向只依賴少數的廠商，因為功能都整合到單一設備上，有可能會是一個隱憂。另外就是效能的問題，要提供這么多功能，效能很有可能會是瓶頸。SANS的報告中并沒有排除DLP功能和UTM設備，從這一點來看，該份報告所描述的功能細節比起Gartner更為詳細，但相對的包含的功能也比較發散。

更靈活的架構與擴充性，也將成為重點

由上述兩份針對NGFW所做的報告內容，應該已經可以掌握NGFW大概的方向。不過畢竟這些報告主要針對的還是網絡上單點設備的描述，事實上，隨著虛擬化技術的發展，網絡安全的需求已經越來越需要從網絡架構的整體面來考量。因此，我們還可以再進一步歸納出報告中沒有談到的重點，那就是靈活的架構與擴充性。

更靈活的架構除了前述報告中談到的客制化能力，還有一點很重要的就是硬件資源透過虛擬化技術進行分配的能力。舉例來說，NGFW很有可能有能力可以將多臺防火墻串連虛擬為單一的防火墻設備，或是將單臺防火墻虛擬為多臺小型的防火墻，達到分開處理流量的效果。而同時這些虛擬技術，都將讓NGFW在分配硬件資源上更靈活，而不再受限于實體的限制。目前已經有不少網絡安全設備廠商，已經在往這個方面發展，或是已經有類似的功能，如Juniper、Fortinet等。

而為了達到更靈活分配硬件資源的目標，NGFW其實還有一個發展趨勢很值得注意，那就是軟、硬件功能臍帶割離的趨勢。未來的NGFW，功能將不會再受到硬件的限制，取而代之的，將會逐漸轉向以”空白的硬件”的方式，讓設備的擴充性更佳。

接下來我們將列出NGFW應具備的6項重要功能，這些功能都是透過歸納市面上的產品現狀，輔以各家調查機構所列出重點的整理而成。Gartner在報告中，建議企業現在在選擇防火墻這樣的設備時，已經可以逐漸往NGFW的功能考量。而整理出的這6項功能，也同樣希望能夠提供讀者對NGFW這個概念有一定的認識。