下一代防火墻NGFW

自Gartner在2009年提出了下一代防火墻概念以來，眾多國內外網絡安全廠商都陸續(xù)推出了下一代防火墻產品。另據Gartner的研究報告顯示，在2014年，60%的新購防火墻都將是下一代防火墻。可以看出，無論是企業(yè)用戶還是廠商，都在順應IT趨勢的變革，也都看到了其中的機遇。

2012年，NGFW（Next generation firewall）即下一代防火墻已經成為業(yè)界的熱點聲音。云計算、WEB2.0及移動互聯網等一系列新應用技術被廣泛使用，Gartner于2009年定義NGFW時的認知已經明顯不足。眾網絡安全廠商和相關機構，紛紛為此下“定義”，但至今爭執(zhí)不下，足見此概念的熱度。

我們暫且這樣陳述，下一代防火墻并不是簡單的功能堆砌和性能疊加，下一代防火墻以全局的視角，從解決用戶網絡面臨的實際問題出發(fā)來定義才更為妥當。下一代防火墻并不是憑空而出的產品，也不會是防火墻的終極形態(tài)。下一代防火墻需要安全廠商不斷的關注IT環(huán)境和客戶需求的變化、持續(xù)專注的技術積累及創(chuàng)新，而厚積薄發(fā)的產品成果。

業(yè)界的主流觀點認為，下一代防火墻應該實實在在實現以下六大功能：

基于用戶防護

傳統防火墻策略都是依賴IP或MAC地址來區(qū)分數據流，不利于管理也很難完成對網絡狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統，實現了分級、分組、權限、繼承關系等功能，充分考慮到各種應用環(huán)境下不同的用戶需求。此外還集成了安全準入控制功能，支持多種認證協議與認證方式，實現了基于用戶的安全防護策略部署與可視化管控。

面向應用安全

在應用安全方面，下一代防火墻應該包括“智能流檢測”和“虛擬化遠程接入”兩點。一方面可以做到對各種應用的深層次的識別；另外在解決數據安全性問題方面，通過將虛擬化技術與遠程接入技術相結合，為遠程接入終端提供虛擬應用發(fā)布與虛擬桌面功能，使其本地無需執(zhí)行任何應用系統客戶端程序的情況下完成與內網服務器端的數據交互，就可以實現了終端到業(yè)務系統的“無痕訪問”，進而達到終端與業(yè)務分離的目的。

高效轉發(fā)平臺

為了突破傳統網關設備的性能瓶頸，下一代防火墻可以通過整機的并行多級硬件架構設計，將NSE（網絡服務引擎）與SE（安全引擎）獨立部署。網絡服務引擎完成底層路由/交換轉發(fā)，并對整機各模塊進行管理與狀態(tài)監(jiān)控；而安全引擎負責將數據流進行網絡層安全處理與應用層安全處理。通過部署多安全引擎與多網絡服務引擎的方式來實現整機流量的分布式并行處理與故障切換功能。

多層級冗余架構

下一代防火墻設備自身要有一套完善的業(yè)務連續(xù)性保障方案。針對這一需求，必須采用多層級冗余化設計。在設計中，通過板卡冗余、模塊冗余以及鏈路冗余來構建底層物理級冗余；使用雙操作系統來提供系統級冗余；而采用多機冗余及負載均衡進行設備部署實現了方案級冗余。由物理級、系統級與方案級共同構成了多層級的冗余化架構體系。

全方位可視化

下一代防火墻還要注意“眼球經濟”，必須提供豐富的展示方式，從應用和用戶視角多層面的將網絡應用的狀態(tài)展現出來，包括對歷史的精確還原和對各種數據的智能統計分析，使管理者清晰的認知網絡運行狀態(tài)。實施可視化所要達到的效果是，對于管理范圍內任意一臺主機的網絡應用情況及安全事件信息可以進行準確的定位與實時跟蹤；對于全網產生的海量安全事件信息，通過深入的數據挖掘能夠形成安全趨勢分析，以及各類圖形化的統計分析報告。

安全技術融合

動態(tài)云防護和全網威脅聯防是技術融合的典范。下一代防火墻的整套安全防御體系都應該是基于動態(tài)云防護設計的。一方面可以通過“云”來收集安全威脅信息并快速尋找解決方案，及時更新攻擊防護規(guī)則庫并以動態(tài)的方式實時部署到各用戶設備中，保證用戶的安全防護策略得到及時、準確的動態(tài)更新；另一方面，通過 “云”，使得策略管理體系的安全策略漂移機制能夠實現物理網絡基于“人”、虛擬計算環(huán)境基于“VM”（虛擬機）的安全策略動態(tài)部署。