NGFW

NGFW(Next generation firewall)即下一代防火牆 是目前業界的熱點聲音。

Gartner最早在2009年給NGFW定義：必須有標準的防火牆功能，如網路地址轉換，狀態檢測，VPN和大企業需要的功能如:IPS、AV、行為管理等功能

PAN 是NGFW的創始者，並引入了App、User、Content的概念

在policy裡面引入了三個元素：

APP-ID：application identity，套用的類型

User-ID：用戶的id

Content-ID：資源或者內容ID

APP-ID是DPI/DFI（或者AI（application identification））的結果。怎么理解呢？2009年之後很多套用協定都可以運行在http上，http變成了一個承載協定，如果只控制http，顯然粒度太大，如果能區分出裡面的QQ, p2p（emule, bt等），facebook, twitter，控制的粒度更細，對用戶越友好。

User-ID需要和企業內部的Auth服務或者UAC/NAC服務結合起來用。用戶登錄以後，就會有與之綁定的ip地址，policy裡面可以匹配相應 的用戶id。這應該不是什麼新東西，很早的防火牆裡面就有這個功能了。如果用戶登錄以後，在防火牆上會下載相應的訪問控制策略，這樣還有點新意，也就是說，訪問控制策略是和用戶動態綁定的，並不需要靜態載入到防火牆上。但這需要單獨的策略伺服器，而且如何策略伺服器失效，用戶是允許訪問，還是不允許訪問哪？系統裡面互動的部件越多，控制越複雜，出錯的幾率就越高。

Content-ID顧名思義，應該是訪問對象的ID。這個和APP-ID的問題是一樣的，那就是粒度。Content-ID應該在DLP(data leakage prevention)裡面會用到，或者是URL filtering。什麼是content？是URL，還是URL指向的內容，還是更深一層的內容。

我們可以看到，如果傳統防火牆擁有了“支持聯動的集成化IPS”、“套用管控與可視化”以及“智慧型化聯動”相關特性就是下一代防火牆嗎？顯然不是。下一代防火牆並不是簡單的功能堆砌和性能疊加，下一代防火牆應該站上更高的山峰，以全局的視角，從解決用戶網路面臨的實際問題出發來定義才更為妥當。

而且可以肯定的是，下一代防火牆並不是憑空而出的產品，也不會是防火牆的終極形態。

下一代防火牆需要安全廠商不斷的關注IT環境和客戶需求的變化、持續專注的技術積累及創新，而厚積薄發的產品成果。

在未來，下一代防火牆還會有“下一代”，那將是性能更強，功能更加貼合網路環境與用戶需求的產品，“下一代”也將會無窮盡也。

所以我們不該把目光放到一個名字上，而是真正去關心一下，下一代防火牆所能解決的問題。

業界的主流觀點認為，現階段，下一代防火牆應該實實在在實現以下六大功能，才能證明：“我不是加強版和附屬品，我是獨立的，完全自我的網關安全產品，有獨特的特性和氣質的真正NGFW(下一代防火牆)。”

基於用戶防護 傳統防火牆策略都是依賴IP或MAC地址來區分數據流，不利於管理也很難完成對網路狀況的清晰掌握和精確控制。下一代防火牆則具備用戶身份管理系統，實現了分級、分組、許可權、繼承關係等功能，充分考慮到各種套用環境下不同的用戶需求。此外還集成了安全準入控制功能，支持多種認證協定與認證方式，實現了基於用戶的安全防護策略部署與可視化管控。

面向套用安全 在套用安全方面，下一代防火牆應該包括“智慧型流檢測”和“虛擬化遠程接入”兩點。一方面可以做到對各種套用的深層次的識別;另外在解決數據安全性問題方面，通過將虛擬化技術與遠程接入技術相結合，為遠程接入終端提供虛擬套用發布與虛擬桌面功能，使其本地無需執行任何套用系統客戶端程式的情況下完成與區域網路伺服器端的數據互動，就可以實現了終端到業務系統的“無痕訪問”，進而達到終端與業務分離的目的。

高效轉發平台 為了突破傳統網關設備的性能瓶頸，下一代防火牆可以通過整機的並行多級硬體架構設計，將NSE(網路服務引擎)與SE(安全引擎)獨立部署。網路服務引擎完成底層路由/交換轉發，並對整機各模組進行管理與狀態監控;而安全引擎負責將數據流進行網路層安全處理與套用層安全處理。通過部署多安全引擎與多網路服務引擎的方式來實現整機流量的分散式並行處理與故障切換功能。

多層級冗餘架構 下一代防火牆設備自身要有一套完善的業務連續性保障方案。針對這一需求，必須採用多層級冗餘化設計。在設計中，通過板卡冗餘、模組冗餘以及鏈路冗餘來構建底層物理級冗餘;使用雙作業系統來提供系統級冗餘;而採用多機冗餘及負載均衡進行設備部署實現了方案級冗餘。由物理級、系統級與方案級共同構成了多層級的冗餘化架構體系。

全方位可視化 下一代防火牆還要注意“眼球經濟”，必須提供豐富的展示方式，從套用和用戶視角多層面的將網路套用的狀態展現出來，包括對歷史的精確還原和對各種數據的智慧型統計分析，使管理者清晰的認知網路運行狀態。實施可視化所要達到的效果是，對於管理範圍內任意一台主機的網路套用情況及安全事件信息可以進行準確的定位與實時跟蹤;對於全網產生的海量安全事件信息，通過深入的數據挖掘能夠形成安全趨勢分析，以及各類圖形化的統計分析報告。

安全技術融合 動態雲防護和全網威脅聯防是技術融合的典範。下一代防火牆的整套安全防禦體系都應該是基於動態雲防護設計的。一方面可以通過“雲”來收集安全威脅信息並快速尋找解決方案，及時更新攻擊防護規則庫並以動態的方式實時部署到各用戶設備中，保證用戶的安全防護策略得到及時、準確的動態更新;另一方面，通過 “雲”，使得策略管理體系的安全策略漂移機制能夠實現物理網路基於“人”、虛擬計算環境基於“VM”(虛擬機)的安全策略動態部署。