一、 下一代防火墻的定位

下一代防火墻的背景

全球權威的IT研究與顧問咨詢公司——Gartner在2009年發布了一篇名為《Defining the Next-Generation Firewall》的文章，給出了真正能夠滿足用戶當前安全需求的下一代防火墻定義：下一代防火墻是一種深度包檢測防火墻，超越了基于端口、協議的檢測和阻斷，增加了應用層的檢測和入侵防護,下一代防火墻不應該與獨立的網絡入侵檢測系統混為一談，后者只包含了日常的或是非企業級的防火墻，或者把防火墻和IPS簡單放到一個設備里，整合得并不緊密。

適用于國內環境的下一代防火墻

結合目前國內的互聯網安全環境來看，越來越多的安全事件是由于Web層面的設計漏洞被黑客利用所引發的。據統計，國內用戶上網流量與對外發布業務流量混合在一起的比例超過50%。以政府為例，60%以上的政府單位門戶網站和用戶上網是共用電子政務外網的線路。在這種場景下，如果作為出口安全網關的防火墻不具備Web應用防護能力，那么在新出現的APT攻擊的大環境下，現有的安全設備很容易被繞過，形同虛設。下一代防火墻作為一款融合型安全產品，不能存在針對基于Web應用的安全短板。

下一代防火墻（Next-Generation Application Firewall）NGAF面向應用層設計，能夠精確識別用戶、應用和內容，具備完整的L2-L7層安全防護體系，強化了在Web層面的應用防護能力，不僅能夠全面替代傳統防火墻，而且在開啟安全功能的情況下還保持著強勁的應用層處理性能。

二、 為什么需要下一代防火墻

近年來，越來越多的網絡安全事件告訴我們，安全風險比以往更加難以察覺。隨著網絡安全形勢逐漸惡化，網絡攻擊愈加頻繁，客戶對自己的網絡安全建設變得越來越不自信。如何加強安全建設？安全建設的核心問題是什么？采用何種安全防護手段更為合適？這些問題已成為困擾客戶安全建設的關鍵問題。

問題一：看不看得到真正的風險？

一方面，只有看到L2-L7層的攻擊才能了解網絡的整體安全狀況，基于多產品的組合方案使大多數用戶沒有辦法進行統一分析，也就無法快速定位安全問題，同時也加大了安全運維的工作量。另一方面，沒有攻擊并不意味著業務不存在漏洞，一旦漏洞被利用就為時已晚。好的解決方案應能及時發現業務漏洞，防患于未然。最后，即使有大量的攻擊也不意味著業務安全威脅很大，只有針對真實存在的業務漏洞進行的攻擊才是有效攻擊�？床坏接行Ч�擊的方案，就無法讓客戶看到網絡和業務的真實安全情況。

問題二：防不防得住潛藏的攻擊？

一方面，防護技術不能存在短板，存在短板必然會被繞過，原有設備就形同虛設；另一方面，單純防護外部黑客對內網終端和服務器的攻擊是不夠的，終端和服務器主動向外發起的流量中是否存在攻擊行為和泄密也需要檢測，進而才能找到黑客針對內網的控制通道，同時發現泄密的風險，最后通過針對性的安全防護技術加以防御。

綜上所述，真正能看到攻擊與業務漏洞，及時查漏補缺，并能及時防住攻擊才是有效的解決方案。那么基于攻擊特征防護的傳統解決方案是否真的能夠達到要求呢？

傳統組合方案（FW+IPS+WAF）能否滿足？

組合方案不足點一：有幾款設備就可以看到幾種攻擊，但由于信息是割裂的難以對安全日志進行統一分析；有攻擊才能發現問題，在沒有攻擊的情況下，就無法看到業務漏洞，但這并不代表業務漏洞不存在；即使發現了攻擊，也無法判斷業務系統是否真正存在安全漏洞，還是無法指導用戶進行安全建設。

組合方案不足點二：有幾種設備就可以防護幾種攻擊，但大部分客戶無法全部部署，所以存在短板；即使全部部署，這些設備也不對服務器和終端向外主動發起的業務流進行防護，在面臨新的未知攻擊的情況下缺乏有效的防御措施，還是存在被繞過的風險。

三、下一代防火墻介紹

結合安全發展趨勢和國內用戶的安全建設現狀，適合中國用戶本土需求的下一代防火墻需要滿足以下幾個方面的特點：

1.安全可視

下一代防火墻可以理解網絡中的應用、應用中的威脅和攻擊、威脅帶走的數據內容，并能簡單易懂地呈現，實現真正的L2-L7層統一的安全可視化；能通過主動或者被動流量檢測及時發現業務漏洞，即使沒有攻擊也能找到業務中潛在的風險。

通過攻擊與業務漏洞的關聯分析，可以幫助用戶準確地找到有效攻擊，使用戶看到網絡和業務的真實安全情況。

2.雙向防御

下一代防火墻具備L2-L7層的攻擊防護技術，使防護技術不存在短板。NGAF不僅能夠防護外部攻擊，還能檢查服務器/終端外發流量是否有風險，彌補了傳統安全設備只防外不防內的不足之處。NGAF可檢測服務器外發數據是否存在泄密或篡改行為，也可檢測內網終端電腦是否被黑客控制。

3.智能聯動

正所謂道高一尺，魔高一丈，各種應用層攻擊、變種、逃逸攻擊行為層出不窮，能夠智能地針對攻擊行為或者防護對象進行學習，動態形成智能防護規則也是下一代防火墻必備的特征之一，讓安全檢測模塊與防護策略聯動生效，能夠提高黑客的攻擊成本，降低客戶的運維管理成本。

4.高效穩定

雖然多功能網關具備部分應用安全防護能力，但其傳統安全設備的集成、串行部署的方式，使其在多種功能開啟之后性能急劇下降，最終只能當傳統防火墻使用。下一代防火墻從軟件構架、硬件構架兩方面徹底改變了多功能網關由于多功能堆疊、串行部署導致的性能瓶頸問題，具備高效的應用層處理能力，實現萬兆吞吐。