防火墻必須演進，才能夠更主動地阻止新威脅(例如僵尸網絡和定位攻擊)。隨著攻擊變得越來越復雜，企業必須更新網絡防火墻和入侵防御能力來保護業務系統。

不斷變化的業務流程、企業部署的技術，以及威脅，正推動對網絡安全性的新需求。不斷增長的帶寬需求和新應用架構(如Web2.0)，正在改變協議的使用方式和數據的傳輸方式。安全威脅將焦點集中在誘使用戶安裝可逃避安全設備及軟件檢測的有針對性的惡意執行程序上。在這種環境中，簡單地強制要求在標準端口上使用合適的協議和阻止對未打補丁的服務器的探測，不再有足夠的價值。為了應對這些挑戰，防火墻必須演進為被著名市場研究公司Gartner稱之為“下一代防火墻(NextGenerationFirewall，簡稱NGFW)”的產品。如果防火墻廠商不進行這些改變的話，企業將要求通過降價來降低防火墻的成本并尋求其他安全解決方案來應對新的威脅環境。

一、什么是NGFW?

對于使用僵尸網絡傳播方式的威脅，第一代防火墻基本上是看不到的。隨著面向服務的架構和Web2.0使用的增加，更多的通信通過更少的端口(如HTTP和HTTPS)和使用更少的協議傳輸，這意味著基于端口/協議的政策已經變得不太合適和不太有效。深度包檢測入侵防御系統(IPS)的確是檢查針對沒有打補丁的操作系統和軟件的已知攻擊方法，但不能有效地識別和阻止應用程序的濫用，更不要說應用程序中的特殊性了。

Gartner將網絡防火墻定義為在不同信任級別的網絡之間實時執行網絡安全政策的聯機控制。Gartner使用“下一代防火墻”這個術語來說明防火墻在應對業務流程使用IT的方式和威脅試圖入侵業務系統的方式發生變化時應采取的必要的演進。

NGFW至少具有以下屬性：

1．支持聯機“bump-in-the-wire”配置，不中斷網絡運行。

2．發揮網絡傳輸流檢查和網絡安全政策執行平臺的作用，至少具有以下特性：

（1）標準的第一代防火墻能力：包過濾、網絡地址轉換(NAT)、狀態性協議檢測、VPN等等。

（2）集成的而非僅僅共處一個位置的網絡入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應當大于這兩部分效果的總和。例如提供防火墻規則來阻止某個地址不斷向IPS加載惡意傳輸流。這個例子說明，在NGFW中，應該由防火墻建立關聯，而不是操作人員去跨控制臺部署解決方案。集成具有高質量的IPS引擎和特征碼，是NGFW的一個主要特征。

（3）應用意識和全棧可見性：識別應用和在應用層上執行獨立于端口和協議，而不是根據純端口、純協議和純服務的網絡安全政策。例子包括允許使用Skype，但關閉Skype中的文件共享或始終阻止GoToMyPC。

（4）額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優化的阻止規則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

3．支持新信息饋送和新技術集成的升級路徑來應對未來的威脅。

舉個例子，NGFW可以阻止細粒度的網絡安全政策違規或發出報警。如使用Web郵件、匿名服務器、對等網絡技術或PC遠程控制，只簡單地根據目的IP地址來阻止對提供這些服務的已知源地址的訪問是不夠的。政策的顆粒度要求僅阻止某些類型的應用與目的IP地址的通信，而允許其他類型的應用與這些目的IP地址通信。轉向器使確定的黑名單不可能實現，這意味著有許多NGFW可以識別和阻止不受歡迎的應用，即使這些應用被設計為逃避檢查或用SSL加密。應用識別的一個額外好處是帶寬控制。因為，消除了不受歡迎的對等網絡傳輸流可以大大減少帶寬的使用。

二、什么不是NGFW?

現在有一些與NGFW相近，但不相同的基于網絡的安全產品領域：

1．中小企業多功能防火墻或UTM設備：這類設備是提供多種安全功能的單一設備。盡管它們總是包含第一代防火墻和IPS功能，但它們不提供應用意識功能，而且不是集成的、單引擎產品。它們適合于在分支辦事機構中節省費用，適用于較小的公司，但它們不能滿足大型企業的需要。這類產品包括與低質量IPS搭配的第一代防火墻，其深度檢查和應用控制特性，只不過同時出現在一臺設備中，而不是緊密的集成。

2．基于網絡的數據丟失防御(DLP)設備：這類設備執行對網絡傳輸流的深度包檢查，但將重點放在檢測以前識別的數據類型是否經過檢查點。它們在執行數據安全政策時沒有實時要求，不能執行線速網絡安全政策。

3．安全Web網關(SWG)：這類設備側重于通過集成的URL過濾和Web殺毒，執行出站的用戶訪問控制和進站的惡意軟件防御。它們側重于在“使用任意協議的任意源到任意目的地”基礎上，執行以用戶為中心的Web安全政策，而不是網絡安全政策。

4．消息安全網關：這類設備重點放在執行容忍延時的出站內容政策和執行入站防垃圾郵件和防惡意軟件上，它們不執行線速網絡安全政策。

盡管這些產品可能基于網絡并使用類似的技術，但它們執行屬于企業內不同運營部門的責任和權力的安全政策。Gartner認為，在IT和安全組織責任從根本上改變之前，這些領域不會融合在一起。

NGFW也不是“身份防火墻”，不是一種基于身份的訪問控制機制。在多數環境中，網絡安全部門沒有在應用層上執行基于用戶的訪問控制政策的責任和權力。Gartner認為，NGFW將能夠通過部門級合并身份信息來做出更好的網絡安全決定，但它們一般將不用于執行細粒度的用戶級執行決定。

三、NGFW將逐漸成功

目前，有一些已經將他們的產品升級為提供應用意識和一些NGFW特性的防火墻和IPS廠商，以及一些關注NGFW能力的新興公司。隨著防火墻和IPS更新周期的自然到來，或者隨著帶寬需求的增加和隨著成功的攻擊，促使更新防火墻，大企業將用NGFW替換已有的防火墻。Gartner認為不斷變化的威脅環境，以及不斷變化的業務和IT流程將促使網絡安全經理在他們的下一個防火墻/IPS更新周期時尋找NGFW。NGFW廠商成功的關鍵將是以同樣或略高于第一代防火墻的價格，提供包含第一代防火墻和IPS特性的NGFW。

目前僅有不到1%的Internet連接采用NGFW來保護。Gartner認為，到2014年底，這個比例將增加到占安裝量的35%，60%新購買的防火墻將是NGFW。