林鸿

福州职业技术学院 福建 350108

0 引言

2011年岁未，网络上盛传许多网站、论坛数据库遭黑客攻击，密码、账号被盗的“泄露门”事件，频频搅动了国内互联网安全的神经。截至2011年12月29日，国家互联网应急中心(CNCERT)通过公开渠道获得疑似泄露的数据库有26个，涉及账号、密码 2.78亿条。在这场中国互联网有史以来波及面最广、规模最大的泄密事件中，人们不禁拷问，企业的防火墙、IPS(入侵防御系统)、UTM(统一威胁管理)都怎么啦？也在深入思考，在面对当今热门的数据中心整合和互联、云计算、移动计算环境下更为分散和全方位的安全需求时，传统的网络安全架构体系，是否还能担当信息安全的防范重任，我们需要什么样的网络安全防范产品。下一代防火墙(Next Generation Firewall,NGFW)，这个近来在业界得到厂商热捧的新一代的网关安全产品，能否面对互联网的安全现状，在应用模式、业务流程、安全威胁不断变化的今天挑起大梁，迎接挑战？它是一个什么样的安全产品，与传统的安全产品有什么不同，硬件架构的设计做了什么改进，能实现什么样的安全功能，技术性能上有哪些特色，都值得我们加以关注和讨论。

1 什么是下一代防火墙

防火墙产品从上世纪九十年代使用至今，虽经系统架构和软件形态的多次改进和革新，但在应对和识别目前日趋复杂的混合性安全威胁时已显力不从心，应运而生的一款全新安全产品NGFW是否会取代传统防火墙、IPS、UTM，成为未来网络安全防御的主流产品，它能否解决网络新环境下产生的新安全隐患，NGFW究竟是一个什么样的产品？

关于NGFW，业界普遍认同的定义来自市场分析咨询机构 Gartner于 2009年 10月发布的一份名为《Defining the Next-Generation Firewall》的文章。Gartner认为，NGFW应该是一个线速的网络安全处理平台，可执行深层流量检测，应用识别，阻止攻击的网关安全产品。在Gartner看来，NGFW至少应该具备以下的功能属性：

传统防火墙：NGFW必须拥有传统防火墙的所有功能，如数据包过滤、NAT、协议状态检查、VPN等。

集成IPS：NGFW在同一硬件内集成了传统防火墙和IPS的功能，IPS成为NGFW的核心组件，它不是防火墙和IPS两个硬件的简单叠加，而是功能的无缝融合。NGFW中防火墙和IPS的无缝融合、自动联动的协作机制将大大提升防御性能，增强网络安全性。

应用识别、控制与可视化：NGFW与传统防火墙基于端口和IP协议进行应用识别不同，而是会根据深度包检测引擎识别到的流量在应用层执行访问控制策略。流量控制不再是单纯地阻止或允许特定应用，而是可用来管理带宽或优先排序应用层流量。深度流量检测让管理员可针对单个应用组件执行细粒度策略。

超级智能的防火墙：NGFW可以收集来自防火墙外面的各类信息，用于改进阻塞决定，或优化阻塞规则库。

2 为什么需要下一代防火墙

网络环境的变化，基于服务的架构与 Web2.0应用的普及，大量的应用程序都建立在 http和https等协议之上，网络带宽需求的增加，以太网标准从千兆走向万兆甚至 10万兆，都对网络安全产品的性能和功能提出了新的要求。传统网络安全架构体系中的防火墙、IPS、UTM的安全解决方案已经不能胜任新环境下网络安全防范的要求。

传统防火墙的缺陷是只能检测数据包的第三层信息，只能根据数据包的源地址、目的地址、源端口、目的端口和协议类型等相关信息来对流量进行检测，对于应用层的http和https数据流量是无法进行控制和甄别的，它不知道到底是什么应用通过了防火墙，更无法探测到针对具体应用的攻击，因此也谈不上进行防御。

针对应用层的IPS设备可以利用签名技术检查针对操作系统和软件漏洞的已知网络威胁和攻击方法，但是IPS也无法识别具体的应用，达不到目前用户所需的精细粒度的应用层控制，因而也无法对特定的应用进行防护。

对于UTM，市场分析咨询机构IDC曾经这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开，但是这些功能必须集成在一个硬件中。从IDC对UTM的定义，UTM和NGFW功能上似乎非常相似，但UTM的致命缺陷是采用串行扫描方式，集成的安全功能模块全部启用时，处理效率非常低下。面对网络带宽需求的不断增加，UTM虽也大而全，但其整体安全防御性能却倍受质疑。

根据Gartner的定义，NGFW不是UTM和传统防火墙的简单升级，而是提供了更强大的应用和用户识别能力，更灵活的控制机制以及更全面安全防御的产品。在面对网络架构的演进及更复杂的终端设备和用户应用，防范来自 Internet的病毒、木马、DDoS攻击、XSS攻击、网络钓鱼、SQL注入等种类繁多且危害巨大的威胁时，NGFW将是构建网络安全防御体系的首选。

3 下一代防火墙安全技术特色分析

Gartner只是定义了NGFW应该具备的基础功能属性，虽说NGFW产品尚没有统一标准，但各安全产品厂商都根据自己的研发和专业优势诠释着对 NGFW 集成安全功能的理解，推出各自的NGFW产品。这些NGFW产品具备了以下几个方面的安全技术特色：

NGFW实现了全部功能模块集中式管理。NGFW是一个线速网络安全处理平台，集成了传统防火墙、IPS、UTM等安全技术主要功能，集中式管理可以大大降低运行管理成本，并保证在大型网络中安全策略部署的一致性。通过集中式中央控制管理平台，无论系统管理员身处什么位置，都可以对网络实施统一的管理，简单、直观、便捷，大大提升了NGFW产品的可管理性和易用性。此外，集中式管理也使得NGFW在应对网络攻击时能实现整体的快速响应和快速防御。

NGFW采用了高效的并行处理机制，满足网络高性能。NGFW应用了多CPU、多核的硬件技术，采用单次解析架构解决方案，结合并行处理模式，对传输的数据流在一个模块中一次拆包完成所有识别、扫描、过滤与控制，保证在复杂应用的网络环境中应用控制和安全防护的时效性、准确性和高处理性能。NGFW一次拆包和并行处理架构体系，彻底解决了UTM的串行处理机制下，开启多个模块功能后，一个数据经过不同模块需经多次拆包，多次分析，导致数据处理效率低下的架构体系的设计短板。

NGFW具备应用识别、用户识别的功能。NGFW可根据应用行为和特征实现对应用的识别和控制，NGFW采用基于DPI(深度包检测技术)/DFI(深度流检测技术)的检测，能够深入到应用层报文，通过签名、行为特征识别技术，有效识别和区分应用或威胁，以采取不同的控制策略；NGFW改变了传统防火墙/UTM依赖于物理设备地址(MAC/IP)和用户身份对应的机制，结合身份认证机制和深层防护，能够自动和精准地关联用户的实际身份，特别是在远程或移动应用环境中，NGFW还可以准确判定用户的位置。

NGFW实现了流量智能管理和控制。NGFW的智能流量管理和灵活控制策略，可根据应用、用户或用户组和内容来执行相应的控制，可使用带宽管理策略来对穿越防火墙的应用数据流进行分类、控制和管理。NGFW的深度流量检测，还可使其对单个应用组件执行更精细力度的控制，控制策略不再是单纯地阻止或允许特定应用，而是可用来管理带宽或对应用数据流进行优先排序。 例如NGFW可以通过限制分配给音频和视频网站的带宽，来保证关键应用的带宽；还可以通过创建对特殊应用、或某个用户和用户组的带宽和优先排序策略，保证带宽的使用和数据传输的优先权。

NGFW可视化功能，增强了网络管理的可控性。要正确控制网络使用状况，网络管理员必须能够实时查看网络应用流量，NGFW应用可视化功能可以提供相关应用、入口和出口带宽、访问的网站以及所有用户行为的实时图表，让管理员轻松分辨应用流量的性质，了解哪些应用正在被使用以及哪些用户在使用，哪些是正常流量，哪些是网络滥用，哪些是恶意流量，并根据观测到的状况制定和调整网络控制策略。NGFW的实时可视化使系统管理员真正掌握了网络的控制权。

对于 NGFW 集成的安全功能，著名信息安全培训机构SANS的专家结合现有产品和用户需求给出了未来NGFW产品应具有的安全功能列表：FW(防火墙)、IPS(入侵防御系统)、AM(反恶意软件)、VPN(虚拟专用网)、URL Filter(URL 过滤)、Content Filter(内容过滤)、APP(应用识别、控制与可优化)、User(用户和用户组识别)、AS(反垃圾邮件)、DLP(数据泄露保护)、NAC(网络接入控制)、SSL Proxy(SSL 代理)。从 SANS给出NGFW的功能列表来看，基本涵盖了目前市场上所有主流安全技术。

4 结束语

关于NGFW产品，Gartner预测，到2014年底，35%的企业会在采购安全设备时转向NGFW，60%新购买的防火墙将是NGFW。据相关资料，北美和欧洲的政府机构，包括国家基础设施，电力、能源、水利等领域对网络安全管控要求较高的机构和组织，在最近几年几乎摒弃了传统网络防火墙和UTM设备的采购而转向NGFW。全球500强大型跨国公司包括银行、保险等机构，对网络安全的设备需求也都纷纷转向更加专注于应用管控的NGFW为主体。新加坡也从2009年规定，今后有关政府、公共安全部门的防火墙采购需求将以NGFW为主体，不再考虑对传统防火墙和UTM的采购。目前，NEFW作为网络新一代安全产品的部署在我国尚处推广和起步阶段，面对日趋复杂的应用控制和安全威胁，我们迫切需要一款定位于边界防御的高性能、多功能、稳定和高可靠性的安全产品。我们期待着，NGFW产品能成为解决日益增多的企业网络安全问题，日益下降的网络性能问题和困扰管理员的网络管理问题的最佳选择。

[1]Gartner.Defining the Next-Generation Firewall [EB/OL]. http://www.gartner.com/DisplayDocument?doc_cd=171540.

[2]吴秀梅.防火墙技术及应用教程[M].北京:清华大学出版社.2010.

[3][美] Yusuf Bhaiji.网络安全技术与解决方案[M].北京:人民邮电出版社.2010.