下一代防火墙的市场分析及其核心解决方案建议

下一代防火墙的市场分析及其核心解决方案建议

合肥工业大学贾庆磊

摘要：自出现之日起，下一代防火墙（Next-Generation Firewall，简称NGFW）

就一直在争议中前行，在2011年的上半年达到了一个顶峰，国内外的安全厂家相继推出了自己的下一代防火墙产品，梭子鱼与深信服科技在国内先后发布了各自的NGFW产品，加上产品已经正式在售的SonicWALL、Check Point和Palo Alto，市场上俨然一副山雨欲来风满楼的景象。但热潮退去，下一代防火墙市场逐渐趋于冷静，与此同时，市场上也出现了一些质疑的声音。究其原因，还是概念提出得比较超前，产品跟进却相对缓慢。那么，NGFW究竟是如何定义的？它与传统防火墙、UTM又有哪些不同？其产品与市场前景究竟如何？用户部署NGFW又需从哪些角度考虑？面对云计算带来的挑战，下一代网络安全产品和防火墙的出路在哪里？现在让我们一去走进NGFW的神奇世界，共同领略这类新产品的价值和魅力。

关键字：下一代防火墙（NGFW) 应用识别与控制云火墙

一、NGFW的出现——顺应时代潮流

何为NGFW：什么是下一代防火墙？这一代、上一代防火墙指的又是什么？在讨论NGFW之前，我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后，防火墙的概念正在变得模糊，在不同语境中有着不同的含义。在描述具体产品时，防火墙大部分指代的是采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的作用在2-4层的访问控制设备；而宏观意义上的防火墙，实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备（Gateway）。

虽然下一代防火墙产品还没有一个统一的标准，但业内普遍认同的关于NGFW的定义，则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。2009 年，Gartner 在《Defining the Next-Generation Firewall》一文中首次定义了NGFW 这个术语，用来形容应对攻击行为、业务流程和使用IT 方式的不断变化，防火墙产品发展所要经历的必然阶段。Gartner 认为，下一代防火墙(NGFW)是一种多功能集成式线速网络安全处理平台，包含所有标准功能，即常见的网络功能，如网络地址转换(NAT)、包过滤和全状态包检测功能，而应用识别、控制和可视化是其重要的核心特性。

NGFW包含第一代防火墙的所有标准功能，即常见的网络功能，如网络地址转换（NAT）、包过滤和全状态包检测功能。

NGFW的主要特点是应用感知以及网络堆栈的完全可视化。NGFW不会像传统防火墙一样只依靠端口或协议来阻止流量，而是会根据深度包检测引擎识别到的流量在应用层执行网络安全策略。流量控制不再是单纯地阻止或允许特定应用，而是可用来管理带宽或优先排序应用层流量。深度流量检测让IT部门可针对单个应用组件执行细粒度策略。例如，可允许用户使用即时通讯客户端，但禁止文件共享。

NGFW还集成了网络入侵防御功能，这可不是在传统防火墙架构上简单添加入侵

防御子系统这么简单。NGFW集成的入侵防御功能是安全引擎的核心组件，无需经多个独立的安全层传输同样的流量，从而提高了性能，增强了安全性。

动态应对变化多端的威胁是NGFW的另一大重要特点。设备的签名库将不断更新，用于识别新的威胁，更从容地应对不断升级的恶意软件。

顺应时代潮流：当我们思考下一代防火墙推动力的时候，用户需求所趋是我们的答案，NGFW的出现顺应了时代潮流。归纳起来，下一代防火墙产品的出现有以下几个原因。

第一，以太网标准现在已经由万兆开始向40G/100G迈进，网络带宽的增长十分迅猛。另外，数据量也在成爆炸性增长，我国各类数据中心和机房总量已经达到50余万个。无论是带宽增长还是数据增长，都对网关安全产品的性能和功能提出了新的要求。对于一些大型企业来说，网络环境趋于复杂，需要寻找新的安全解决方案来满足除了抵挡外部攻击以外的安全需求。

第二，网络环境的变化。传统的网络攻击手段一般都是基于第三层的网络层，而随着Web2.0时代的到来，大量的应用程序都建立在了http和https等协议之上，而传统的防火墙对这些应用程序却望尘莫及。基于网络层的操作就意味着传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量，但是对于上述的http和https流量却是无能为力。虽然现在有针对应用层的IPS设备，但是IPS 却无法识别具体的应用，达不到目前用户所需的精细力度的应用层控制，因而也无法对特定应用进行防护。

第三，自防火墙的概念诞生以来已经经过了十几年的发展，但是可以发现，在这么长的时间里防火墙的功能并没有变革性的改进，功能、性能方面与网络的飞速前进并不匹配，网络环境的新需求迫使防火墙进行根本性的变革。

第四，概念炒作的嫌疑。就像UTM的出现一样，下一代防火墙一出现就成了安全厂商，尤其是传统防火墙厂商占据制高点的关键。

第五，安全厂商竞相发布下一代防火墙产品，不管是否是概念炒作，也不管产品是否成熟。从市场需求来看，下一代防火墙产品的出现很大一部分程度上是代表了时代的潮流。传统防火墙产品的不足已是共识，新产品的出现已是必然。

二、应用识别与控制——下一代防火墙的焦点

应用识别是防火墙未来发展的重要技术方向，基于应用的攻击的不断变化也要求防御技术必须有所提升。对于这样的变化，传统防火墙只能望而兴叹，因为它在应用层无法起到良好的防御效果；而IPS 仅关注应用层检测，防火墙功能极弱，这也是有些用户把IPS 当做IDS 使用的一个原因；UTM 则是一个集大成的产品，能够很好的融合各种安全技术，但一个缺乏统一指挥、统一资源调配的庞大团队，其效率低下是无法避免的。NGFW 的使命，就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃，满足用户新的防御和管理需求。

相对传统防火墙和UTM 产品而言，NGFW 与它们的主要区别在于：

一、传统防火墙局限于IP 地址、接口层面的安全防护。从基于简单包过滤技术防火墙到基于状态检测技术的防火墙，重点的防护还仅仅是停留在OSI 模型的四层以内。

二、UTM 是在“瘦防火墙”基础上发展而来的，集防火墙、IPS、VPN 等安全功能于一体的集成安全网关，或者说是“胖防火墙”，其不足之处在于处理机制繁琐，效率低下，内部安全模块间缺少智能关联。

三、NGFW 除了具备传统防火墙功能外，更关注针对应用层面的安全防护。