Gartner报告 关于下一代防火墙

防火墙必须演进，才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web2.0)，正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测，不再有足够的价值。为了应对这些挑战，防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(NextGenerationFirewall，简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话，企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。

一、什么是NGFW?

对于使用僵尸网络传播方式的威胁，第一代防火墙基本上是看不到的。随着面向服务的架构和Web2.0使用的增加，更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输，这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法，但不能有效地识别和阻止应用程序的滥用，更不要说应用程序中的特殊性了。

Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

NGFW至少具有以下属性：

1．支持联机“bump-in-the-wire”配置，不中断网络运行。

2．发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：

（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、科学等等。

（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征。

（3）应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype，但关闭Skype中的文件共享或始终阻止GoToMyPC。

（4）额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。

3．支持新信息馈送和新技术集成的升级路径来应对未来的威胁。

举个例子，NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制，只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信，而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现，这意味着有许多NGFW可以识别和阻止不受欢迎的应用，即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为，消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。

二、什么不是NGFW?

现在有一些与NGFW相近，但不相同的基于网络的安全产品领域：

1．中小企业多功能防火墙或UTM设备：这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能，但它们不提供应用意识功能，而且不是集成的、单引擎产品。它们适合于在分支办事机构中节省费用，适用于较小的公司，但它们不能满足大型企业的需要。这类产品包括与低质量IPS搭配的第一代防火墙，其深度检查和应用控制特性，只不过同时出现在一台设备中，而不是紧密的集成。

2．基于网络的数据丢失防御(DLP)设备：这类设备执行对网络传输流的深度包检查，但将重点放在检测以前识别的数据类型是否经过检查点。它们在执行数据安全政策时没有实时要求，不能执行线速网络安全政策。

3．安全Web网关(SWG)：这类设备侧重于通过集成的URL过滤和Web杀毒，执行出站的用户访问控制和进站的恶意软件防御。它们侧重于在“使用任意协议的任意源到任意目的地”基础上，执行以用户为中心的Web安全政策，而不是网络安全政策。

4．消息安全网关：这类设备重点放在执行容忍延时的出站内容政策和执行入站防垃圾邮件和防恶意软件上，它们不执行线速网络安全政策。

尽管这些产品可能基于网络并使用类似的技术，但它们执行属于企业内不同运营部门的责任和权力的安全政策。Gartner认为，在IT和安全组织责任从根本上改变之前，这些领域不会融合在一起。

NGFW也不是“身份防火墙”，不是一种基于身份的访问控制机制。在多数环境中，网络安全部门没有在应用层上执行基于用户的访问控制政策的责任和权力。Gartner认为，NGFW将能够通过部门级合并身份信息来做出更好的网络安全决定，但它们一般将不用于执行细粒度的用户级执行决定。

三、NGFW将逐渐成功

目前，有一些已经将他们的产品升级为提供应用意识和一些NGFW特性的防火墙和IPS厂商，以及一些关注NGFW能力的新兴公司。随着防火墙和IPS更新周期的自然到来，或者随着带宽需求的增加和随着成功的攻击，促使更新防火墙，大企业将用NGFW替换已有的防火墙。Gartner认为不断变化的威胁环境，以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。NGFW厂商成功的关键将是以同样或略高于第一代防火墙的价格，提供包含第一代防火墙和IPS特性的NGFW。

目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为，到2014年底，这个比例将增加到占安装量的35%，60%新购买的防火墙将是NGFW。