1.2.4 下一代防火墙

无论是包过滤防火墙还是状态检测防火墙都有着很明显的问题，需要一个新的防火墙产品来弥补上述的缺陷。于是从2003年开始，著名的研究机构Gartner（高德纳咨询公司）就开始着手研究下一代防火墙（NGFW）了，并于2004年发布了相关的注意事项。同年，国际数据公司（IDC）提出了统一威胁管理（Unified Threat Management，UTM）的概念，将杀毒软件、入侵防御系统、防火墙进行统一管理。许多公司都基于这个设计理念开发出了产品，如启明星辰公司的天清汉马USG一体化安全网关，华为和天融信等公司也先后推出了自己的UTM产品。

2004年以后，UTM产品得到迅速发展，但同时面临一个新的问题：因为功能越来越丰富，堆叠的功能越来越多，设备的处理性能严重下降。

于是在2009年，Palo Alto Networks公司发布了新一代的防火墙产品，解决了UTM中多功能串行处理导致的性能下降问题，同时将用户和应用、内容进行关联管控，可视化进一步加强。Gartner公司于2009年10月12日发布的研究报告中正式定义了下一代防火墙的概念。

报告中提出了下一代防火墙应具备以下特点：

1）具备基本的安全特性，如安全策略、包过滤、NAT（网络地址转换）、基于状态的检测能力和VPN等。

2）集成一套高效的入侵检测引擎和丰富的攻击特征。将入侵检测引擎深度地集成到防火墙的各种功能中，成为防火墙的一部分，统一进行管理，而不是安全模块的简单堆砌。

3）应用识别和全栈应用可视化。支持基于应用的安全策略，不只是基于端口的识别，而是基于应用特征的识别，比如可以支持聊天软件发送文字消息，但是不允许视频通信。

4）智能化的访问控制。当识别到攻击后，应该可以自动添加安全规则，如黑白名单。

5）高性能。同时开启防病毒、入侵防御、应用识别等功能后，性能没有明显下降。

6）支持用户的识别。和用户服务器联动，可以将用户和应用、攻击行为进行关联，实现基于用户的管理，改进管理方式。

下一代防火墙也有它的不足。主要是应用识别能力对生产防火墙的企业提出了非常高的要求，应用的更新迭代很快，生产防火墙的企业就需要非常多的人力进行应用特征库的维护，因为应用的识别没有统一的标准，因此防火墙的识别能力也参差不齐，还没有哪个产品可以识别出市面上所有的应用。

瑕不掩瑜，下一代防火墙既融合了上一代防火墙的优势，又扩大和深化了侦察和控制能力，还无须牺牲性能。它的深度包检测功能可确保系统识别出尝试性攻击并及时采取补救措施，是当之无愧的“下一代”防火墙。