下一代防火墻NGFW技術探討

摘 要：NGFW（下一代防火墻）自從2009年得到Gartner的“正名”開始，便迅速成為邊界安全技術范疇最為炙手可熱的話題。國內外廠商更是借勢紛紛發布各自的NGFW產品，但時至今日，所謂NGFW的業界標準卻依然沒有形成統一。因此，在當前表現較為混亂的防火墻市場環境下，廣大用戶在面對形形色色的NGFW產品時，更需要關注的是本質，而非表象。

關鍵詞：NGFW；標準；本質

1 NGFW概念

2009年，Gartner《定義下一代防火墻》首次對NGFW這一概念進行了釋義，其關鍵內容如下：

（1）標準的第一代防火墻能力：包過濾、網絡地址轉換（NAT）、狀態性協議檢測、VPN等等。

（2）集成的而非僅僅共處一個位置的網絡入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應當大于這兩部分效果的總和。

（3）應用意識和全棧可見性：識別應用和在應用層上執行獨立于端口和協議，而不是根據純端口、純協議和純服務的網絡安全政策。

（4）額外的防火墻智能：防火墻收集外來信息來做出更好地阻止決定或建立優化的阻止規則庫。

首先對Gartner的觀點做個簡單解讀。包過濾、網絡地址轉換（NAT）、狀態性協議檢測、VPN等安全功能傳統防火墻都能滿足；“集成的而非僅僅共處一個位置的網絡入侵檢測”則指出NGFW需要集成IPS功能，在IPS與防火墻之間能夠建立起自動化的聯動機制，使IPS引擎檢測到源自某個IP地址的攻擊行為后，能夠自動由防火墻引擎采用最簡單的方式直接對其進行阻斷；“應用意識和全棧可見性”更加關注應用層控制；“額外的防火墻智能”表達了NGFW應該能夠通過獲取外部信息，來幫助其作出更加合理與有效的安全策略。

通常情況下，傳統防火墻定性為面向網絡層安全，而NGFW則是更加關注應用層安全。通過對Gartner的NGFW定義進行解讀后不難發現，其似乎更像是對當時防火墻技術發展的一個階段性總結。

2 NGFW發展現狀

在國外安全市場中，PaloAlto被認為是最先將NGFW概念應用于產品的安全廠商，其通過“App-ID”、“User-ID”和“Content-ID”來詮釋NGFW產品對于“應用”、“用戶”和“內容”三個方面的安全控制與可視化管理，成為了業界NGFW產品特性描述的經典。

反觀我們身處其中的國內市場，NGFW產品的情況卻顯得有些復雜。從2011年開始，國內廠商陸續發布各自的下一代防火墻產品。有些廠商此前并無防火墻技術積累與市場基礎，但為了滿足自身發展需要，實現業務的快速擴張，便開始向防火墻市場進軍，作為“新人”往往需要用些心思來體現自己的與眾不同。因此，在市場策略方面，將NGFW作為市場切入點或許是這類廠商再合適不過的選擇。除此以外，該類產品雖然擁有NGFW對“用戶”、“應用”和“內容”進行控制的相似功能，但由于底層缺乏一套強大的安全系統架構支撐，對于一款NGFW產品而言在專業性方面明顯不足，從“里”到“外”更像是在傳統上網行為管理產品基礎上進行的一個簡單修改。也就是說，該類廠商所謂的NGFW產品實質上只是“優化后的ACM+WAF”，僅此而已！

3 NGFW發展方向

從Gartner定義下一代防火墻到現在已有五年時間，隨著關于NGFW的各種討論持續升溫并且越發深入，使NGFW產品正在向著理性方向發展。真正的NGFW應該具有如下幾個必要特征。

3.1 更精準的應用管控能力

下一代防火墻的應用識別引擎不僅需要識別出底層的承載協議（例如標準的HTTP協議），還能進一步區分出上層的精確應用協議類型。除此以外，相比以往的安全網關類產品，下一代防火墻更應該關注應用的識別率，而非特征庫的規模。下一代防火墻對于主流網絡應用的識別率應至少達到90%以上，而對于加密應用的識別率則需要達到更高標準，尤其是對帶寬資源占用較大的各種P2P加密流量，只有這樣，才能使我們的網絡帶寬資源真正得到有效控制。

3.2 更加關注未知威脅的識別與防御

下一代防火墻需要以深度、精細、高效的流量安全檢測技術為基礎，提供入侵防御、病毒防御、僵尸網絡阻斷、WEB安全防護、數據防泄漏等更為全面的應用層威脅防御能力，才能有效阻止已知的各類安全威脅。

面對未知威脅，下一代防火墻當然也需要提供相應防御方案。沙箱技術目前被認為是確定未知威脅最為有效的技術手段，而下一代防火墻借助沙箱技術能夠為防御未知威脅提供一套更為有效的解決方案。

3.3 全棧高性能安全處理

高性能尤其是應用層高性能也是下一代防火墻必須要逾越的一道障礙。隨著硬件技術的飛速發展，多核硬件架構逐漸在安全產品中得到廣泛應用，主要包括X86多核與MIPS多核兩個陣營。就多核技術的當前現狀與發展趨勢看來，X86多核技術能夠為下一代防火墻突破性能瓶頸提供更加有力的硬件支撐。

3.4 由內而外的風險可視化設計

隨著安全網關類產品與技術的不斷發展，在業務層面，不僅使網關類產品獲得了更全面的安全防護功能與更強大的數據處理能力，而管理層面的各種特性也正在成為越來越多廠商的眾矢之的。其中，通過對轉發的業務數據、檢測的安全威脅等網絡流量信息進行監控、統計和分析，并從用戶、應用、內容等多維度將網絡應用及安全狀態為管理員提供全面的可視化圖表展現，從而使通過網絡傳播的安全風險得到有效掌控，這些，已經成為網關產品的一個基礎特性。而作為下一代防火墻產品，除了關注通過網絡傳輸的安全風險以外，還可以在事先對源自設備內部的各種安全風險信息進行有效識別。