相信對于IT人士來說，下一代防火墻（NGFW）這款產品并不陌生。從2007年Palo Alto Networks發布世界第一款下一代防火墻產品至今已經有五年多的光景，這期間不少國內外的廠商相繼推出了NGFW。例如：梭子魚（Barracuda Networks）、Check Point、深信服、網康、天融信等。展現出一場群雄爭霸的局面，拋開各個廠家產品的性能來說，這種現象昭示著NGFW已經逐漸被市場所接受和認同。

NGFW應企業需求而生

隨著互聯網的快速發展，各種應用程序的爆發，企業面臨著常用應用程序中的漏洞帶來的風險。

網絡通信不再像以前一樣緊緊是依賴于存儲和轉發應用程序（例如電子郵件），而且已經擴展到涵蓋實時協作工具、Web2.0應用程序、即時消息（IM）和P2P應用程序、語音IP電話（VoIP）、流媒體和電話會議，這些都帶來潛在的風險。很多企業無法區分網絡中使用的具有合法業務目的應用程序與那些不是關鍵型應用程序（只是消耗帶寬或者帶來危險）。

惡意軟件和網絡攻擊者瞄準了這個場所，讓企業面臨如數據泄露、潛在的滲透等風險。除了帶來安全風險，這些應用程序也消耗帶寬和生產力，并且與關鍵業務型應用程序搶奪網絡帶寬。因此，企業需要工具來保證業務關鍵應用程序的帶寬，并需要應用程序智能和控制來保護入站和出站的流量，同時確保速度和安全性以提供高效的工作環境。

應企業需求，在多種多樣大量的應用程序環境下，僅靠傳統防火墻的功能似乎顯得力不從心，它們的技術實際上已經過時，因為它們無法檢查攻擊者散播的網絡數據包的數據負載。而NGFW可以提供應用智能控制、入侵防御、惡意軟件防護和SSL檢查，還可擴展到支持最高性能網絡。

NGFW與傳統防火墻

“下一代”這似乎是個飽含炒作意味的詞匯，它代表了多功能、高性能，也是對于傳統設備軟件和硬件技術的革新。顧名思義有“下一代”必然有上一代，既是傳統防火墻。相較于傳統防火墻，NGFW站在更高山峰，以全局視角解決用戶網絡面臨的實際問題，不是簡單的功能堆砌和性能疊加，而是真正的集成，貼切網絡環境與用戶需求，基于用戶防護、面向應用安全、涵蓋傳統防火墻功能、加入入侵防御系統（IPS）功能等等一系列NGFW功能讓人對網絡的管理更具信心。

NGFW作為一個整合深度數據流檢測、應用安全識別，以及攻擊防護的安全平臺，必須要具備傳統企業級防火墻的全部功能。當然，作為一款高性能的防火墻產品的NGFW，與傳統防火墻應用是有所區別的，既要有強大的技術研發實力做后盾，又要足夠了解用戶應用環境的變遷，而且還應具備強大的產品服務團隊，在后期的服務上能為用戶提供更細致的幫助。

NGFW與UTM

也許有人會疑惑，如上所說NGFW相比傳統的防火墻有如此多的優秀強悍的功能，那么相比統一威脅管理（UTM）產品來說，哪個更好呢？

在功能上NGFW與UTM沒有明顯的差別，只是UTM需要部署在防火墻的后方。總的說來它們都是比較復雜的產品，由于缺乏統一的行業標準，因此很難對不同廠家的此類產品進行橫向對比。要判斷某個產品的功能是否能夠幫助你，你必須深刻了解企業的需求，并進行大量的測試：

架構：NGFW設備應該將各種安全功能融入一個獨立的架構中，以證明其是真正意義上的集成，而不是簡單的將多個安全設備堆疊到一起，塞進叫防火墻的外殼里。缺乏集成性能也許表示該產品的安全性能不能令人滿意。

吞吐量性能：具備了多種安全功能的設備，吞吐量是必須考慮的問題。所有的附加安全功能、檢測功能無疑都會在一定程度上降低數據流的速度。當開啟了所有的安全功能后，設備的數據吞吐量應仍然能夠達到企業的要求。另外，在測試過程中，還要考慮到防火墻所采用的策略或規則數量，因為這些因素同樣會對防火墻處理速度有影響。

使用便利性：選擇NGFW的一個重要原因是企業管理人員希望能夠簡化多種安全設備維護和管理所帶來的不便。因此，NGFW應該具有直觀的管理界面，簡單的規則或策略制定流程。而一些集成度不夠好的產品，在不同的安全功能設置界面上，會出現很明顯的差異。

和其他安全產品一樣，NGFW也不是網絡安全的萬靈藥。部署NGFW也需要大量的工作，并需要不斷的維護。不過一旦成功部署NGFW，確實可以有效的減輕管理員的工作壓力，并提升應對新型網絡攻擊的防護效果。

管理挑戰

NGFW將通過集成入侵防御和應用于用戶監控功能來提升網絡安全性，但是它們也會帶來新的管理挑戰。由于傳統防火墻充斥了大量廢棄的規則，所以防火墻管理總是一個有挑戰的工作，但是在使用NGFW管理技術之后，網絡安全專業人員將需要維護更多的規則和策略。

NGFW的管理對于用戶來說有著不小的挑戰，主要表現在：確認訪問策略與網絡分片策略是否正確實施、維護入侵防御系統簽名、以及優化防火墻規則集。

傳統防火墻管理就是變更控制，擁有成熟防火墻變更管理方法的企業更能避免安全漏洞和性能破壞問題。在NGFW中，隨著防火墻環境變得越來越復雜，有些無法通過手工流程進行可靠地管理，因此自動化也變得越來越重要。

總結

雖然關于NGFW的概念不一，但是總結起來NGFW主要有以下幾個要素：

1、可根據應用行為和特征實現對應用的識別和控制。

2、涵蓋傳統防火墻、IPS和UTM的主要功能。

3、具備智能的流量管理控制和策略配合。

目前，安全市場中的NGFW產品越來越智能，越來越復雜！面對防火墻的更新換代，用戶需要更加成熟與協調的管理方法。而且隨著云計算的發展，NGFW如何適應云計算的新功能，快速融入云計算為用戶提供安全防護也成為NGFW廠商需要考慮的問題。那么具備以上三個要素的NGFW未來究竟如何？筆者只能說，安全威脅瞬息萬變，促使安全產品更新換代，而下一代防火墻的未來仍將面臨諸多挑戰。