【IT168 评论】2009年，Gartner在《Defining the Next-Generation Firewall》一文中首次定义了NGFW这个术语，用来形容应对攻击行为、业务流程和使用IT方式的不断变化防火墙产品发展所要经历的必然阶段。Gartner 认为，下一代防火墙(NGFW)是一种多功能集成式线速网络安全处理平台，包含所有标准功能，即常见的网络功能，如网络地址转换(NAT)、包过滤和全状态包检测功能，而应用识别、控制和可视化是其重要的核心特性。放眼今天的信息安全市场，各个厂商对NGFW热情高涨，但部分用户却认为NGFW和UTM产品的差别不大，对二者的概念也不是很清晰。那么，到底该如何定义NGFW?它和UTM又有那些不同?用户该如何选择适合自己的NGFW产品?带着这些疑问，记者采访了东软网络安全营销中心产品总监王军民，与大家分享东软安全对下一代应用防火墙的看法以及相关产品和技术理念。

▲东软网络安全营销中心产品总监王军民

　　记者：下一代防火墙与传统防火墙、IPS和UTM存在哪些不同?

　　王军民：应用识别是防火墙未来发展的重要技术方向，基于应用的攻击不断变化，也要求防御技术必须有所提升。对于这样的变化，传统防火墙只能望而兴叹，因为它在应用层无法起到良好的防御效果;而IPS仅关注应用层检测，防火墙功能较弱，这也是有些用户把IPS当做IDS使用的一个原因;UTM则是一个集大成的产品，能够很好的融合各种安全技术。但是，一个缺乏统一指挥、统一资源调配的庞大团队，产生的效率低下问题是无法避免的。下一代防火墙的使命，是在性能、安全性、易用性、可管理性等方面有一个质的飞跃，满足用户新的防御和管理需求。相对于传统防火墙和UTM产品而言，下一代防火墙产品与它们的主要区别在于：

　　一、传统防火墙局限于IP地址、接口层面的安全防护。从基于简单包过滤技术防火墙到基于状态检测技术的防火墙，重点的防护还仅仅是停留在OSI模型的四层以内;

　　二、UTM是在“瘦防火墙”基础上发展而来的，集防火墙、IPS、VPN等安全功能于一体的集成安全网关，或者说是“胖防火墙”，其不足之处在于处理机制繁琐，效率低下，内部安全模块间缺少智能关联;

　　三、下一代防火墙除了具备传统防火墙功能外，更关注针对应用层面的安全防护。实时性、准确性、高效性也成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果，自动识别到该流量在应用层执行的安全策略。流量控制需要更“精细化”的管理，不仅仅能够对异常攻击流量进行阻止或允许动作，更可用来进行基于应用层的QoS控制。控制粒度更为细致：例如，可允许用户使用Netmeeting会议，但禁止其白板功能等。检测顺序也更为高效：设备对数据流仅需进行一次检测，IPS、FW模块并行进行识别判断。另外，高效面对变化多端的应用威胁也是该类产品的重要特点之一。

　　记者：下一代防火墙的市场现状和发展前景如何?

　　王军民：从目前情况看，未来两年将是下一代防火墙产品高速发展的一段时间。我个人认为，它会成为传统防火墙、IPS的阶段性终结者。Gartner预测2014年底，下一代防火墙将占有防火墙(以及IPS)市场的60%。历史不会重现它的事实，但会重现它的规律。每一种新技术的出现都将取代旧的技术，无论当前各个信息安全公司的认识与认可程度如何，下一代防火墙终将成为当前网关类产品发展的显而易见的技术方向。

　　记者：行业用户部署下一代防火墙需从哪些角度考虑?

　　王军民：针对应用识别的性能仍然是首要重点考虑的因素。而另一个重要因素就是应用识别的准确性和丰富性。传统防火墙的选择是很简单的，只需关注网络吞吐量、并发连接数、新建连接数等几个指标，目前的传统防火墙在性能上是完全可以达到要求的。而下一代防火墙必须具有强大的DI处理能力，这个关键因素是它的固有优势，同时也正是普通UTM产品的短板。而作为侧重应用层防护的产品来说，应用协议识别的丰富性、准确性是非常关键的。甚至可以说，它是确保用户网络安全的核心所在。

　　记者：东软从何时开始研发下一代防火墙，核心技术是什么?研发的历程请简单介绍一下。

　　王军民：东软从2007年开始进行新一代NOS设计时，在思路上与Gartner所提的下一代防火墙不谋而合，可以说在很大程度上两者是一致的。

　　一、 在系统架构上，并非各个模块的简单堆叠，对数据流的检测已经做到了IPS、FW等模块的并行检测处理;

　　二、 东软下一代应用防火墙从设计之初即以应用识别和应用透明管理为初衷，面向应用层设计，能够精确识别用户、应用和内容。目前已经可以识别超过2500种的应用，例如：QQ、网页游戏、网页炒股、在线聊天软件等。

　　三、 在性能提升上，通过多核并行处理架构大幅提升了DI的检测效率。

　　东软一直保持着对世界前沿技术的跟踪和技术的不断创新，为用户所带来的价值将一如既往的体现在我们优秀的产品之中。

　　记者：东软的下一代应用防火墙有哪些技术亮点?能够帮助用户解决哪些问题?

　　王军民：东软的下一代应用防火墙的显著特点是：

　　一、细粒度的应用层安全控制

　　网络应用高速发展的今天，超过90%的网络应用运行于HTTP协议的80和443端口，大量应用可以进行端口复用和IP地址修改。传统防火墙赖以生存的IP地址和端口检测已经无用武之地。东软下一代应用防火墙采用独创的应用检测技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了传统设备只能通过IP地址来控制的尴尬，即使加密过的数据流也能应付自如。

　　二、完整的内容级防护技术

　　东软下一代应用防火墙采用了东软专利NEL检测技术，融合了漏洞防护、web安全防护、病毒防护等多种安全技术，具备3000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、2000+应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。

　　三、高性能的应用层处理能力

　　ü 从硬件架构层面，基于多核架构提升DI检测效率;

　　ü 软件架构采用并行的一次性检测技术，大幅提升检测效率，避免串行检测带来的低效问题;

　　ü 采用核心的NEL语言进行多点并行检测，在提升检测效率的同时，提高了检测的准确度，有效减少了误判、漏判的发生。

　　四、 全面的安全防护方案

　　东软下一代应用防火墙并不只局限于应用层安全防护，它同时涵盖传统防火墙、IPS的主要功能，内部能够实现内核级联动，是一个“L2-L7完整的安全防护产品”。这也是Gartner定义的“额外的防火墙智能”实现的前提，做到真正的内核级联动，才能为用户的业务系统提供一个安全防护的“铜墙铁壁”。

　　五、 完善的基础软件架构

　　东软下一代应用防火墙采用统一的、灵活的和高扩展性的安全产品系统架构。在传统的防火墙功能基础上，高效集成了应用层安全防护功能。该系列产品可以实现防病毒、反垃圾邮件、URL过滤、入侵防御和多种应用检测等高级安全防护功能，可为用户网络提供全方位、多层次的安全保障。

　　六、 基于NEL核心技术的入侵检测

　　NEL是东软下一代应用防火墙系列产品的核心检测技术，该技术将引擎、协议分析和攻击检测分为三部分进行开发，然后再通过NEL将它们的工作结合起来，这样可以避免由一个或两个规模很大的开发小组来维护整个检测语言系统的开发工作。另外，NEL增加了检测技术的适应性，可以共享各类事件库，从而能够更多的检测出各类攻击。另外，由于NEL检测粒度非常精细，所以能够更加准确的判断网络工具行为。

　　后记

　　据悉，自2012年初正式发布以来，东软NetEye下一代应用防火墙产品已经开始在行业用户中部署与推广，目前也获得了良好的市场反馈。在未来，东软下一代应用防火墙所面向的受众将更加广泛，在电信、金融、能源、政府等各大行业中将会得到更加深入的应用。同时，通过灵活的模块化控制机制，东软NetEye下一代应用防火墙可以有针对性地为不同行业的客户提供准确的安全防护方案，为其带来崭新的信息安全防护体验。