下一代防火墙有哪几种接入模式（网络工程师必知）

Next Generation Firewall（NGFW）是传统状态防火墙和统一威胁管理（UTM）设备的下一代产品。

它不仅包含传统防火墙的全部功能（基础包过滤、状态检测、NAT、VPN等）还集成了应用和用户的识别和控制、入侵防御（IPS）等更高级的安全能力。

相对于UTM设备，NGFW则拥有更快处理效率和更强的外部拓展、联动能力。

NGFW的定义

早在2007年，针对企业业务流程和IT架构的变化，结合安全威胁的新趋势，著名咨询机构Gartner就提出了Next-Generation Firewall （NGFW）的概念。2009年，Gartner正式发布《Defining the Next-Generation Firewall》。

Gartner把NGFW看做不同信任级别的网络之间的一个线速（wire-speed）实时防护设备，能够对流量执行深度检测，并阻断攻击。Gartner认为，NGFW必须具备以下能力：

传统的防火墙功能

NGFW是新环境下传统防火墙的替代产品，必须前向兼容传统防火墙的基本功能，包括包过滤、协议状态检测、NAT、VPN等。

应用识别与应用控制技术

具备应用感知能力，并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段，是NGFW引进的最重要的能力。传统的状态检测防火墙工作在二到四层，不会对报文的载荷进行检查。NGFW能对七层检测，可以清楚地呈现网络中的具体业务，并实行管控。

IPS与防火墙深度集成

NGFW要支持IPS功能，且实现与防火墙功能的深度融合，实现1 1>2的效果。Gartner特别强调IPS与防火墙的“集成”而不仅仅是“联动”。

例如，防火墙应根据IPS检测到的恶意流量自动更新下发安全策略，而不需要管理员的介入。换言之，集成IPS的防火墙将更加智能。Gartner发现，NGFW产品和独立IPS产品的市场正在融合，尤其是在企业边界的部署场景下，NGFW正在吸收独立IPS产品的市场。

利用防火墙以外的信息，增强管控能力

防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等，帮助改进和优化安全策略。

例如，通过集成用户认证系统，实现基于用户的安全策略，以应对移动办公场景下，IP地址变化带来的管控难题。

从传统防火墙、UTM到NGFW

防火墙从诞生那一天起，就是紧跟着网络演进的步伐亦步亦趋的。

包过滤防火墙、状态检测防火墙、UTM设备、NGFW发展史

下一代防火墙有哪几种接入模式（网络工程师必知）(1)

早期的包过滤防火墙仅实现访问控制就可以满足初期网络隔离的诉求。
随后的状态检测防火墙（也称为传统防火墙）集成了TCP/UDP和应用状态的检测能力，实现了L3-L4层的防护。它引入了策略的概念，把处理的目标从包转向了流，从而拥有更高的处理效率。
2004年出现了将传统防火墙、内容安全（防病毒、IPS和URL过滤等）和VPN等功能集合到一起的UTM设备。每个模块独立运行，每次检测都需要重新拆包检查，检测效率并没有得到提升。但是UTM的出现在一定程度上简化了安全产品部署的难度，比较适合小中型企业。
由于WEB应用越来越多，应用和端口、协议之间的关系也越来越复杂。同样是使用HTTP协议，有人可能在查学习资料，有人可能在玩游戏。所以光靠“五元组”来标识流量的传统防火墙已经无法看清网络中的流量了。此时，拥有应用识别技术的NGFW应运而生，它可以区分流量对应的应用，即使这些应用出使了同一种协议、端口。而且NGFW将IPS、病毒防护等多种安全业务与防火墙业务深度集成，并行处理，解决了UTM设备需要逐个模块处理报文，性能低下的问题。不过，大部分情况下，UTM和NGFW不包含Web应用防火墙（WAF）的能力。

传统防火墙、UTM设备、NGFW能力对比

下一代防火墙有哪几种接入模式（网络工程师必知）(2)