什么是下一代防火墙

下一代防火墙的属性

下一代防火墙的应用

深信服下一代应用防火墙（NGAF）

梭子鱼下一代防火墙技术一览

下一代防火墙，即Next Generation Firewall，简称NG Firewall。

什么是下一代防火墙

Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”（参见“工具包：评估信息安全预算，2007年升级版”）。例，第一代防火墙现已基本无法探测到利用僵尸网络作为传输方法的威胁（参见“案例研究：计算机早期探测功能被僵尸网络客户端所威胁”）。由于当前采用的是基于服务的架构与Web2.0使用的普及，更多的通讯量都只是通过少数几个端口（如：HTTP与HTTPS）及采用有限的几个协议进行，这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统（IPS）可根据已知攻击对操作系统与漏失部署补丁的软件进行检查，但却不能有效的识别与阻止应用程序的滥用，更不用说对于应用程序中的具体特性的保护了。

Gartner将网络防火墙定义为在线安全控制措施，即：可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性，以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。

下一代防火墙的属性

下一代防火墙需具有下列最低属性：

· 支持在线BITW（线缆中的块）配置，同时不会干扰网络运行。

· 可作为网络流量检测与网络安全策略执行的平台，并具有下列最低特性：

1）标准的第一代防火墙功能：具有数据包过滤、网络地址转换（NAT）、协议状态检查以及VPN功能等。

2）集成式而非托管式网络入侵防御：支持基于漏洞的签名与基于威胁的签名。IPS与防火墙间的协作所获得的性能要远高于部件的叠加，如：提供推荐防火墙规则，以阻止持续某一载入IPS及有害流量的地址。这就证明，在下一代防火墙中，互相关联作用的是防火墙而非由操作人员在控制台制定与执行各种解决方案。高质量的集成式IPS引擎与签名也是下一代防火墙的主要特性。所谓集成可将诸多特性集合在一起，如：根据针对注入恶意软件网站的IPS检测向防火墙提供推荐阻止的地址。

3）业务识别与全栈可视性：采用非端口与协议vs仅端口、协议与服务的方式，识别应用程序并在应用层执行网络安全策略。范例中包括允许使用Skype但禁用Skype内部共享或一直阻止GoToMyPC。

4）超级智能的防火墙: 可收集防火墙外的各类信息，用于改进阻止决策，或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

· 支持新信息流与新技术的集成路径升级，以应对未来出现的各种威胁。

下一代防火墙的应用

下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报，如：使用Web邮件、anonymizer、端到端或计算机远程控制等。仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求。细粒度策略会要求仅阻止发向其它允许目的地的部分类型的应用通讯，并利用重新导向功能根据明确的黑名单规则使其无法实现该通讯。这就意味着，即使有些应用程序设计可避开检测或采用SSL加密，下一代防火墙依然可识别并阻止此类程序。而业务识别的另外一项优点还包括带宽控制，例：因为拒绝了无用或不允许进入的端到端流量，从而大幅降低了带宽的耗用。

目前仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络的来临，下一代防火墙的应用已然是不可抗拒的趋势，有理由相信到2014年年末使用这一产品进行保护的比例将上升至35%，同时，其中将有60%都为重新购买下一代防火墙。

大型企业都将随着正常的防火墙与IPS更新循环的到来逐渐采用下一代防火墙代替其现有的防火墙，或因带宽需求的增高或遭受了攻击而进行防火墙升级。现在，许多防火墙与IPS供应商都已升级了其产品，以提供业务识别与部分下一代防火墙特性，且有许多新兴公司都十分关注下一代防火墙功能。Gartner的研究报告说明，认为随着威胁情况的变化以及业务与IT程序的改变都促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品。而下一代防火墙的供应商们成功占有市场的关键则在于需要证明第一代防火墙与IPS特性既可与当前的第一代功能相匹配，又能同时兼具下一代防火墙功能，或具有一定价格优势。

目前市面上比较知名的产品有梭子鱼下一代防火墙等。

深信服下一代应用防火墙（NGAF）

概述

　NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足，同时开启所有功能后性能不会大幅下降。

NGAF 不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。

更精细的应用层安全控制

当前网络环境中，应用已成为网络的主要载体，而网络安全的威胁更多的来源于应用层，这也使得用户对于网络访问控制提出更高的要求。如何精确的识别出用户和应用、阻断有安全隐患的应用、保证合法应用正常使用、防止端口盗用等问题，已成为现阶段用户对网络安全关注的焦点。但IP不等于用户、端口不等于应用，传统防火墙基于IP/端口的五元组访问控制策略已不能有效的应对现阶段网络环境的巨大变化。

NGAF采用独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了传统设备只能通过IP地址来控制的尴尬，即使加密过的数据流也能应付自如。

目前，NGAF可以识别700多种应用及其1000多种应用动作，还可以与多种认证系统（AD、LDAP、Radius等）、应用系统（POP3、SMTP等）无缝对接，自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结构；既满足了普通互联网边界行为管控的要求，同时满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等，针对用户应用系统更新服务的诉求，NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下，系统软件更新服务畅通无阻。

因此，通过应用可视化技术制定的L3-L7一体化应用访问控制策略，可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。

更全面的内容级安全防护

网络安全与黑客技术的发展使得用户面临的威胁不再单单是一个病毒一个木马、一次DOS攻击这样的简单攻击。黑客可采用丰富的工具，利用众多的漏洞，结合多种攻击手段进行混合型的破坏性攻击，具有代表性的如Slammer、Blaster等。而信息获取和攻击代码往往也隐藏在正常的应用访问中，这种混合型安全威胁的出现也给网络安全建设提出新的要求：需要采用更全面的防护手段，防止安全短板被利用；需要深入到应用内容的安全防护，以识别和预防潜在威胁。

NGAF融合了漏洞防护、web安全防护、病毒防护等多种安全技术，具备2000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。通过灰度威胁关联分析技术将数据包还原的内容进行全面的威胁检测，并可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一，威胁检测经常出现漏报、误报的问题，可以帮助用户最大程度减少风险短板的出现，保证业务系统稳定运行。

此外，深信服凭借在应用层领域6年以上的技术积累，组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时性。

更高性能的应用层处理能力

性能和安全往往是传统安全设备是无法权衡的问题。尤其在应用层安全防护功能开启时，该问题尤为明显。在带宽不断提升、威胁不断增多的网络环境下，用户不得不在两者做出艰难的选择。

为了实现强劲的应用层处理能力，NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术；在系统架构上，NGAF也放弃了UTM多引擎，多次解析的架构，而采用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配，从而提升了工作效率，实现了万兆级的应用安全防护能力。

更完整的安全防护方案

只提供基于应用层安全防护功能的方案，并不是一个完整的安全方案。对于用户来说，还需要采购基础网络层的安全设备（FW、VPN），既增加了成本，也增加了组网复杂度、提升了运维难度。从技术角度来说，一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法，如果将这些威胁割裂开处理进行防护，各种防护设备之间缺乏智能的联动，很容易出现“三不管”的灰色地带，出现防护真空。

NGAF涵盖传统防火墙、IPS的主要功能，内部能够实现内核级联动，是一个“L2-L7完整的安全防护产品”。这也是Gartner定义的“额外的防火墙智能”实现的前提，做到真正的内核级联动，才能为用户的业务系统提供一个安全防护的“铜墙铁壁”。

功能价值

多种功能融合、纵深安全防御、一体化安全防护

技术功能　功能价值

IPS漏洞防护　基于漏洞以及攻击行为的特征库，提供自动或手动升级方式。防御包括蠕虫、木马、后门、应用层DOS/DDOS、扫描、间谍软件、漏洞攻击、缓冲区溢出、协议异常、IPS逃逸攻击等

服务器防护　针对OWASP提出的WEB安全威胁的防护，如SQL注入、XSS、CSRF等；提供网站路径保护，暴力破解防护；WEB服务隐藏FTP隐藏、FTP、telent弱口令防护；文件上传过滤、URL黑名单等多种服务器防护功能

病毒防护　基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀；可实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒

WEB安全防护　提供URL过滤、文件过滤、ActiveX过滤、脚本过滤等多种WEB安全防护手段

透视网络应用、精细控制策略、规避应用安全风险

技术功能　功能价值

可视化应用管控　拥有国内最大的应用规则识别库，可识别数百种互联网应用，上千种应用规则策略

可识别丰富的内网应用如：Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LADP等

精确识别Microsoft、360、Symantec、Sogou、kaspersky、金山毒霸、江民杀毒等软件更新保障严格管控下系统软件更新畅通无阻

提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定

丰富日志报表、统一集中管理、最优运维成本

技术功能　功能价值

数据中心　提供内置数据中心和独立数据中心

详细报表　提供统计报表、趋势报表、汇总报表、汇总对比报表、指定对比报表危险行为报表、流速趋势报表等多种报表

统计分析　提供详细的IPS/服务器防护统计、病毒信息统计分析

智能风险报表　提供根据管理者自定义的风险行为特征自动挖掘并输出风险行为智能报表

限制无关应用、保障核心业务、优化带宽利用率

技术功能　功能价值

可视化流量管理　基于应用、网站、文件、时间、目标IP以及用户的多种流量控制

多线路技术、虚拟多线路技术、智能选路技术对多线路分别实现流控

保障核心业务、限制合法业务、阻断非法业务

适应复杂场景、抵御网络攻击、合理规划安全域

技术功能　功能价值

包过滤与状态检测　提供静态的包过滤和动态包过滤功能

抗攻击　能够防御DOS/DDOS、land,smurf,synflood,icmpflood等网络层攻击

NAT　提供一对一、多对一、多对多等地址转换方式；支持多种NAT ALG，包括DNS、FTP、H.323、SIP

VPN模块　内置VPN模块能实现VPN互联

IP协议/路由　支持静态路由、RIP v1/2、OSPF、策略路由等多种路由协议

梭子鱼下一代防火墙技术一览

梭子鱼下一代防火墙可以通过中央平台统一管理，无论企业信息管理人员身处何地——企业总部大楼、数据中心甚至远程在家或者分支机构都可以对整个企业的网络系统进行管理。信息管理人员通过梭子鱼控制中心的界面轻松制定安全、内容和流量管理政策。集中化的安全管理和内容政策有以下优势：

1、 整个企业贯彻统一的安全态势和政策执行

2、 多重网关的即时报告

3、 整个网络的配置和政策改变的综合历史和回顾

4、 对反垃圾邮件、病毒防护、安全网关和网络接入管理更新的统一视图

除了强大的防火墙和VPN技术，梭子鱼NG防火墙集成了一系列的下一代防火墙技术，包括了7层应用防护，入侵防护，安全网关，病毒防护，反垃圾邮件和网络接入控制等。产品拥有多种硬件型号和相应软件平台，适用于从小型分支机构到大型企业总部或数据中心不等。