時值新年伊始之際，各大媒體都在對過去一年的網絡安全市場做各種盤點，而“下一代防火墻”無一例外成為各種盤點中的熱門主題詞，被公認為最火熱的安全技術發展趨勢。然而不得不說，作為一個產品品類名稱，“下一代防火墻”這個名字太過模糊了。我們所熟知的 “路由器”、“交換機”、“防火墻”等等，僅僅通過名字，我們就可以對其產品的功能內涵做出一個大致的推測。然而，“下一代防火墻”卻不是這樣，我們最多就能了解到這是一款與傳統防火墻不一樣的安全產品，而究竟哪里不一樣，這是一種什么樣的安全產品則完全沒有提及。事實上也正是因為這種命名上的模糊，才導致了當前的下一代防火墻市場標準混雜，實現各異，令廣大用戶是莫衷一是。甚至連許多業內人士也無法準確的說出下一代防火墻究竟是什么，所以孔子才說“必也正名乎”!本文將對下一代防火墻的來龍去脈做一個簡單的梳理，并分別從“主要防御風險”和“主要防御技術”兩個維度來對下一代防火墻進行描述，希望通過這樣一篇文章，讀者可以清晰的理解，為什么要“下一代”，什么才是下一代。

首先從威脅的角度來看一下。傳統網絡安全產品防護的主要是“病毒”、DDOS攻擊、系統漏洞掃描與攻擊。與之相應的產品是“傳統防火墻”、“UTM”、“IPS”等。然而網絡安全的情況已經有了很大變化。當前網絡安全的主要威脅已經變成了“木馬”“釣魚網站”“數據泄露”“僵尸網絡”等問題。傳統的網絡威脅一般與正常應用有很大區別，特征容易被識別和防御，攻擊一般發生在單一時點。而當代威脅則變得更加隱蔽、主要通過各種網絡應用為載體，混雜在正常的網絡應用中，用傳統手段很難被識別和防御，而且從滲透到駐留再到發生實際的攻擊行為，往往會持續很長時間。“威脅”與“防護”，始終是一個魔道相長的過程，威脅已經發生了變化，防護技術也必須相應的發生變化。“下一代防火墻”就是針對這種變化，以“木馬”“釣魚網站”“數據泄露”“僵尸網絡”等下一代威脅為主要防范對象的網絡安全產品。

再來說一下安全技術。過去的網絡安全設備，最主要的技術就是兩個——基于網絡層地址和傳輸層端口的訪問控制技術和基于特征匹配的殺毒和攻擊防護技術。這樣的技術在新的網絡威脅面前已經逐漸失去了作用。由于“木馬”“僵尸網絡”“釣魚網站”等威脅基本都是通過正常應用注入的，而僅僅通過網絡層和傳輸層特征是無法將網絡威脅和正常應用區分開的，并且由于安全策略配置在特定端口上還會導致由端口跳變帶來的威脅逃逸。因此必須引入更為先進的，與端口無關且可以分辨出網絡流量的用戶特征、應用特征、內容特征的“應用識別”技術才有可能在保證正常網絡應用同時對網絡威脅進行防護。同時，由于很多應用都采取一些加密技術，而威脅往往會隱藏在加密后的流量中，從而導致威脅無法被檢查。所以對于加密、隧道、代理等逃逸技術的應對成為了另外一項關鍵能力。而由于“木馬”往往都有著很強的變形能力，使得基于特征匹配的查殺手段很難跟上“木馬”的變形速度，因此“云查殺”也就成為了下一代安全的又一個必然選擇。另外，基于“網絡行為分析”的主動防御技術，則成為了防御僵尸網絡和間諜軟件的有力武器。綜上所述，下一代防火墻在技術上與傳統的網絡安全產品有著本質的區別，他主要是通過“應用識別”、“防逃逸”、“云安全”、“網絡行為分析”等技術來保護網絡安全, 關于這一點，在現有的產品實現中，比如PALO ALTO 的PA系列產品，和網康的NGFW產品身上都得到了明確的體現。

通過對 “主要防護威脅”和“主要安全技術”這兩個維度的分析，我們可以清晰的看到，下一代防火墻是通過“應用識別”、“云查殺”、“行為分析”等先進技術，針對“木馬”、“僵尸網絡”、“數據泄露”等當代網絡的主要威脅進行防護的下一代網絡安全產品。“下一代防火墻”是企業IT架構和IT應用日益復雜化差異化的客觀需要，是應對下一代威脅的必然需求，也是下一代安全技術的集大成者。