IP百科知識(shí)之NGFW

NGFW

Next Generation Firewall（NGFW）是傳統(tǒng)狀態(tài)防火墻和統(tǒng)一威脅管理（UTM）設(shè)備的下一代產(chǎn)品。它不僅包含傳統(tǒng)防火墻的全部功能（基礎(chǔ)包過濾、狀態(tài)檢測(cè)、NAT、VPN等），還集成了應(yīng)用和用戶的識(shí)別和控制、入侵防御（IPS）等更高級(jí)的安全能力。

NGFW的定義

早在2007年，針對(duì)企業(yè)業(yè)務(wù)流程和IT架構(gòu)的變化，結(jié)合安全威脅的新趨勢(shì)，著名咨詢機(jī)構(gòu)Gartner就提出了Next-Generation Firewall （NGFW）的概念。2009年，Gartner正式發(fā)布《Definingthe Next-Generation Firewall》。

Gartner把NGFW看做不同信任級(jí)別的網(wǎng)絡(luò)之間的一個(gè)線速（wire-speed）實(shí)時(shí)防護(hù)設(shè)備，能夠?qū)α髁繄?zhí)行深度檢測(cè)，并阻斷攻擊。Gartner認(rèn)為，NGFW必須具備以下能力：

傳統(tǒng)的防火墻功能

應(yīng)用識(shí)別與應(yīng)用控制技術(shù)

IPS與防火墻深度集成

利用防火墻以外的信息，增強(qiáng)管控能力

從傳統(tǒng)防火墻、UTM到NGFW

防火墻從誕生那一天起，就是緊跟著網(wǎng)絡(luò)演進(jìn)的步伐亦步亦趨的。

早期的包過濾防火墻僅實(shí)現(xiàn)訪問控制就可以滿足初期網(wǎng)絡(luò)隔離的訴求。

隨后的狀態(tài)檢測(cè)防火墻（也稱傳統(tǒng)防火墻）集成了TCP/UDP和應(yīng)用狀態(tài)的檢測(cè)能力，實(shí)現(xiàn)了L3-L4層的防護(hù)。

2004年出現(xiàn)了將傳統(tǒng)防火墻、內(nèi)容安全和VPN等功能集合到一起的UTM設(shè)備。UTM的出現(xiàn)在一定程度上簡(jiǎn)化了安全產(chǎn)品部署的難度。

擁有應(yīng)用識(shí)別技術(shù)的NGFW可以區(qū)分流量對(duì)應(yīng)的應(yīng)用，將IPS、病毒防護(hù)等多種安全業(yè)務(wù)與防火墻業(yè)務(wù)深度集成、并行處理。

現(xiàn)在需要什么樣的防火墻

隨著移動(dòng)化、云和大數(shù)據(jù)的發(fā)展，NGFW必須滿足以下條件才能應(yīng)對(duì)當(dāng)前嚴(yán)苛的網(wǎng)絡(luò)安全環(huán)境。

NGFW的未來

從傳統(tǒng)防火墻到NGFW經(jīng)歷的是網(wǎng)絡(luò)攻擊從網(wǎng)絡(luò)層走向應(yīng)用層的過程。在大數(shù)據(jù)和人工智能時(shí)代，NGFW必須向平臺(tái)化和智能化不斷演進(jìn)。2018年，華為提出了AI防火墻的概念，基于AI能力實(shí)現(xiàn)高級(jí)威脅防護(hù)。借助大數(shù)據(jù)安全平臺(tái)的能力，持續(xù)提升自動(dòng)化處置和知識(shí)協(xié)同的能力。

編輯：jq