下一代防火墙(NGFW)已经成为当前安全业界的热点。根据Gartner的预测，到2014年底，全球的NGFW占比将由10%上升到35%，企业新购买的防火墙中60%将是NGFW。传统防火墙时代，基于端口进行管控。被管控的端口比较固定，数量通常少于100个。而NGFW基于应用进行防护，应用数量数以千计，管理复杂度数量级的提升。Gartner的报告指出：“锁定目标攻击正不断渗透标准的安全控管，让安全控管一成不变的企业蒙受巨大的商业损失…”。面对日益恶劣的安全环境，企业必须遵循最小授权原则，不断调整安全策略才能保证安全。如何有效地做到这一点，对NGFW的管理和使用提出了新的挑战。

　　端口防护策略如何优化为应用防护策略?

　　每个从传统防火墙过渡到NGFW的企业都会面临这个问题。一方面，企业使用NGFW就是因为能够对应用进行更精准的管控。在NGFW上使用遗留的端口防护策略，并不能带来更多的安全性。必须将其优化为更安全的、基于应用的防护策略。另一方面，传统防火墙遗留了大量历史策略，某些大型企业的防火墙策略数量甚至超过一万。这些遗留策略都经过了企业的合法性审批，在使用中证明了其业务合理性。端口防护策略到应用防护策略的优化必须以原有策略作为基准，不可能完全推倒重来。这种端口策略的优化意味着海量的工作，优化后策略的有效性也难以保障。

　　如何遵循最小授权原则进行防护?

　　追求极致安全的企业会遵循最小授权原则制定企业的安全策略。最小授权原则是指仅允许企业业务必需的应用，超出范围的应用访问必须额外申请。但面对数以千计的应用，如何将企业业务映射为设备定义的应用，一直是个难题。目前，大部分NGFW的使用者基于应用类别进行应用管控。例如，如果企业有对外即时通讯(Instant Message，IM)的需求，就会允许IM类别的所有软件。这样做管理起来比较简单，却引入了极大的安全隐患。因为业务需求之外的应用很可能包含漏洞、携带恶意代码和后门程序，被攻击者所利用。即使是业务必需的应用，同样也可能存在安全风险，应该进行入侵防御、防病毒、数据防泄漏等进一步的防护。

　　遵循最小授权原则制定安全策略，NGFW的使用者需要大量的分析报表，找出企业业务必需的应用;还要掌握各种应用存在何种安全风险，以及对应的防护方法。这些无疑对使用者的技能和工作时间提出了更高的要求，大幅提高了NGFW的整体拥有成本。

　　如何精简策略，简化管理?

　　随着企业业务的发展，为了持续保证安全性，需要不断调整防火墙策略。安全工具厂商Skybox的调查发现，有58%的企业在他们的下一代防火墙上部署了100条以上的规则，而有35%的公司每个月执行100次以上变更。频繁的变更导致防火墙策略数量不断增加，存在大量冗余、无效的策略。因为管理员很难判断哪些策略有问题，即使判断出来也因为担心影响业务不敢轻易调整。目前，大型企业通过购买昂贵的第三方工具来精简防火墙策略。对中小型企业，这个问题由于预算有限无法解决。

　　NGFW需要额外的智能，实现简单管理

　　Gartner公司研究副总裁Greg Young说：“防火墙规则总是到处泛滥，但是入侵防御和应用控制使问题更加复杂。现在正是使用下一代防火墙降低复杂性的时机，但是如果实施不当，则可能会适得其反。”应用维度的增加使管控更精准，也带来了更多的管理复杂性。市场早期的NGFW产品，基于威胁进行防护，安全更多依赖于安全管理员。NGFW更多的是一个响应者，对安全员不能发现的威胁不会做出防护。在实际的使用过程中，由于安全策略不够严格，潜在风险常常被利用。直到造成了损失被发现，进行“亡羊补牢”式的防护。可以预见到，“人”主导的安全防护很难长期保证质量。因此， NGFW需要具备额外的智能。要能够将原有防火墙上的端口防护策略快速的优化为更能发挥NGFW能力的应用防护策略;要能够提前发现风险，根据网络环境遵循最小授权原则，动态调整防护策略或提出策略优化建议;要能够自动发现冗余和无效的策略，简化管理。让安全更多依赖于“设备”，有利于持久保持稳定的安全质量。智能化和自动化将是NGFW产品的一个发展趋势。只有解决了简单管理的问题，NGFW才能真正地保障企业下一代安全。