前些日子，跟一個客戶彙報安全方案。會(huì)議快結束時候，随口問了一句：您爲什麽要(yào / yāo)選擇購買下(xià)一代防火牆？在提這個問題時候，我設想了幾種客戶可(kě)能(néng)會(huì)給的答案，類似性價比高，安全性高，性能(néng)強……但是客戶最終的回答卻出乎我意料：既然要(yào / yāo)買防火牆，爲什麽不選擇“下(xià)一代”防火牆呢？客戶這個反問式的回答出乎我意料，做一個簡單類比就(jiù)是如(rú)果你(nǐ)現在選擇夠買蘋果手機，新版iPhone 7來了，你(nǐ)還會(huì)去(qù)選擇買一個6S嗎？這個邏輯看似簡簡單明了，但問題是如(rú)何購買一款真正下(xià)一代防火牆？

       尤其(qí)是這幾年(nián)，國内很多廠商紛紛推出了自(zì)己的下(xià)一代防火牆，其(qí)中不乏“巧借名目”和“搶占高地”者。研究這些産品資料也不難看出，此類産品與傳統防火牆相比隻是換湯不換藥，在其(qí)技術特性中根本讀不到任何NGFW的基因，隻是将幾年(nián)前推出的傳統防火牆冠以“NG”開頭的名稱而(ér)已。這個時候就(jiù)需要(yào / yāo)我們客戶有一雙慧眼，能(néng)夠識别出真正的下(xià)一代防火牆，能(néng)夠認清傳統防火牆，UTM，下(xià)一代防火牆之間差别。

       下(xià)一代防火牆 ≠ （傳統防火牆+ 應用(yòng)可(kě)視）

       “下(xià)一代”這似乎是個飽含炒作意味的詞彙，但是它代表了多功能(néng)、高性能(néng)，也是對(duì)于(yú)傳統設備軟件和硬件技術的革新。顧名思義有“下(xià)一代”必然有上一代，也就(jiù)是傳統防火牆。

       根據Gartner的定義，最初下(xià)一代防火牆隻是強調應用(yòng)識别、深度集成IPS等基礎能(néng)力，而(ér)之後(hòu)一段時期則開始關注管理分析能(néng)力、性能(néng)、抗攻擊逃逸能(néng)力的提升，最近及未來一段時間内，随着(zhe／zhuó／zhāo／zháo)以威脅情報、大數據等爲代表的前沿安全技術的成熟，則開始強調與這些外部智能(néng)系統、其(qí)他安全産品的聯動協同。因此，相較于(yú)傳統防火牆，NGFW會(huì)以全局視角解決用(yòng)戶網絡面臨的實際問題，不是簡單的功能(néng)堆砌和性能(néng)疊加，而(ér)是真正的集成，貼切網絡環境與用(yòng)戶需求。

       從Gartner對(duì)NGFW定義這張圖看，“下(xià)一代防火牆”安全能(néng)力内涵和外延，早已遠遠超過(guò)二十(shí)多年(nián)前定義“防火牆”品類時所(suǒ)界定的範疇，下(xià)一代防火牆應該是邊界防禦領域一個新的産品品類，隻是截至目前，尚未想到更好的概念名詞去(qù)描述它。因此下(xià)一代防火牆絕對(duì)不是某些廠商宣傳一樣，約等于(yú)傳統防火牆加上應用(yòng)可(kě)視化這麽簡單。

       更何況，近年(nián)來一些廠商将越來越炫酷的UI界面或各類TOP 10排名灌之以深度可(kě)視化的名頭，這是典型的将visualization理解成了visibility。可(kě)視化不是簡單的将數據圖形化呈現，不是日志信息的簡單分類和歸集，而(ér)是深度挖掘這些原始數據素材之後(hòu)的内在關聯，以全局視角幫助網絡管理者看清各種威脅，看清攻擊事(shì)件的全貌，幫助了解攻擊者的真正意圖和目标。

       下(xià)一代防火牆 ≠UTM

       另外，說到下(xià)一代防火牆和UTM的差别，必須要(yào / yāo)澄清一個概念，“下(xià)一代防火牆” 并不是前些年(nián)市場上流行(háng / xíng)的“統一威脅管理（UTM）”。

       UTM誕生(shēng)的時間更早，推向市場的背景是爲了降低中小企業用(yòng)戶以及低預算用(yòng)戶的總體擁有成本，所(suǒ)以UTM在防火牆平台的基礎上集成了盡可(kě)能(néng)多的安全功能(néng)，可(kě)能(néng)包括上網行(háng / xíng)爲管理、入侵防禦、Web攻擊防護、病毒防護、垃圾郵件過(guò)濾、URL過(guò)濾等功能(néng)。在未來，UTM仍然會(huì)不斷的集成更多新的安全功能(néng)，而(ér)這樣的産品設計很難避免多功能(néng)堆砌的架構，這決定了UTM性能(néng)可(kě)預測性差、功能(néng)融合度低等技術特點。

       相比而(ér)言，下(xià)一代防火牆的定義中明确指出，它并不是僅面向中小企業的“多功能(néng)防火牆”，NGFW必須要(yào / yāo)适應大企業環境的要(yào / yāo)求。盡管NGFW也集成了IPS、AV等安全功能(néng)，但并不是以提升産品性價比爲主要(yào / yāo)目的。這種集成不是功能(néng)模塊和引擎的堆砌，而(ér)是一種深度的集成，将各種安全功能(néng)融入一個獨立的架構中，而(ér)不是簡單的将多個安全設備堆疊到一起，塞進叫防火牆的外殼裏(lǐ)。這一切的主要(yào / yāo)目的，則是爲了提升安全檢測效率和安全防護水平。

       所(suǒ)以，NGFW不是像UTM那(nà)樣簡單的擴展功能(néng)模塊，此外各安全模塊也不像UTM那(nà)樣各自(zì)爲戰，而(ér)是各安全模塊間可(kě)開展有機聯動，各模塊産生(shēng)的信息可(kě)實現全維度關聯，使NGFW具備強大的模塊間安全協同能(néng)力和威脅情報聚合能(néng)力。舉個簡單類比，UTM功能(néng)集合更像是簡單的1+1=2甚至是1+1<2，而(ér)NGFW則是1+1>2。

       大家(jiā)可(kě)能(néng)都聽說過(guò)一個和尚挑水喝，兩個和尚擡水喝的故事(shì)，這個故事(shì)除了告訴我們分配制度重要(yào / yāo)性以外，還有一個寓意就(jiù)是1+1可(kě)能(néng)小于(yú)2，從左圖中我們也可(kě)以看出一個和尚的挑水量是兩個和尚挑水量的兩倍。而(ér)UTM正如(rú)右圖顯示那(nà)樣，它雖然堆砌式地集成了很多功能(néng)，但是集成各個功能(néng)都不完善，都有其(qí)不可(kě)逃避的缺陷。設想幾個并不太完整的功能(néng)簡單疊加在一起，不正猶如(rú)一個瞎子背着(zhe／zhuó／zhāo／zháo)瘸子過(guò)河一般嗎？這顯然是不可(kě)能(néng)快速過(guò)河，甚至兩個人都會(huì)掉進河裏(lǐ)。這張圖就(jiù)是對(duì)UTM性能(néng)可(kě)預測性差、功能(néng)融合度低的最好體現。

       下(xià)一代防火牆選型知多少？

       如(rú) 今的市場上有不少廠商都宣稱自(zì)己是下(xià)一代防火牆，如(rú)何選擇一款真正下(xià)一代防火牆還是一個複雜工作。筆者建議從下(xià)面幾個下(xià)一代防火牆标簽進行(háng / xíng)考慮：下(xià)一代防 火牆的幾個比較顯著的标簽是：基于(yú)應用(yòng)層構建安全、主動防禦、多威脅檢測機制智能(néng)融合，與這些标簽相對(duì)應的參數或考量标準主要(yào / yāo)體現在以下(xià)幾點：應用(yòng)識别的 廣度和深度以及與本土用(yòng)戶使用(yòng)習慣的契合度;可(kě)視化及智能(néng)分析的能(néng)力和操作體驗;功能(néng)全開啓後(hòu)的性能(néng)以及性能(néng)衰減趨勢。具體來說，企業在選型時候需要(yào / yāo)重點關注下(xià)一代防火牆幾個方面的表現：

       首先是應用(yòng)識别的能(néng)力：既要(yào / yāo)廣度更要(yào / yāo)深度

       識别的廣度和深度是應用(yòng)識别最重要(yào / yāo)的指标，也是下(xià)一代防火牆區别于(yú)傳統防火牆的重要(yào / yāo)特征。在應用(yòng)識别廣度方面，業界領先的NGFW産品應用(yòng)識别數量基本在3000以上。類似網康等專注于(yú)應用(yòng)領域技術的廠商，目前應用(yòng)識别數量應該都在4000以上。除了識别數量足夠廣之外，識别深度也更爲重要(yào / yāo)。例如(rú)，企業可(kě)能(néng)會(huì)僅允許QQ聊天(tiān)，但禁止QQ遊戲；對(duì)跑在HTTP上的應用(yòng)，能(néng)夠精準識别出該應用(yòng)的具體用(yòng)途；同時，能(néng)夠從逃逸，帶寬等多個維度去(qù)判斷應用(yòng)屬性是否安全，比如(rú)限制P2P等流量耗費型且安全性不高的應用(yòng)帶寬。同時，應用(yòng)識别的結果還将提高後(hòu)期智能(néng)聯動的防護效率，例如(rú)：SQL Server流量僅和SQL Server相關特定漏洞進行(háng / xíng)IPS防護，從而(ér)提升性能(néng)，降低誤報率。

       其(qí)次是功能(néng)與性能(néng)兼備：功能(néng)完備性不能(néng)以顯著的性能(néng)衰減爲代價

       下(xià)一代防火牆至少應融合IPS的防護，同時各廠家(jiā)根據各自(zì)的理解還集成了其(qí)他更多的功能(néng)，但是有的廠商集成過(guò)多功能(néng)，甚至是集成Web應用(yòng)防火牆這樣産品功能(néng)，嚴重導緻NGFW性能(néng)下(xià)降，甚至出現死機現象。因此客戶在選擇産品時千萬不能(néng)僅看到功能(néng)的全面性，卻忽視了開啓這些功能(néng)後(hòu)的性能(néng)衰減。不然後(hòu)期隻能(néng)被迫禁用(yòng)一些應用(yòng)層防護的功能(néng)模塊，導緻下(xià)一代防火牆變成了傳統防火牆或者UTM。業内權威機構認爲，優秀的下(xià)一代防火牆産品開啓IPS功能(néng)後(hòu)整機性能(néng)下(xià)降不應超過(guò)50%。

       最後(hòu)是可(kě)視化（visibility）和智能(néng)分析能(néng)力

       随着(zhe／zhuó／zhāo／zháo)網絡快速發(fā／fà)展，各式各樣複雜威脅層出不窮，用(yòng)戶需要(yào / yāo)更加及時的掌握網絡現狀、風險、威脅、事(shì)件以及防禦效果等用(yòng)于(yú)支撐安全決策。這就(jiù)需要(yào / yāo)下(xià)一代防火牆具備良好的可(kě)視化和智能(néng)分析能(néng)力，幫助用(yòng)戶看得(dé / de / děi)清威脅，防得(dé / de / děi)住攻擊。因此，真正的“可(kě)視化智能(néng)管理”應 該是在多維統計的基礎上加以深入的分析，從應用(yòng)和用(yòng)戶視角多層面的将網絡應用(yòng)的狀态展現出來。同時，通過(guò)引入外部威脅情報，實現安全态勢感知和風險預測功 能(néng)，解決單機設備與生(shēng)俱來的短闆，以幫助用(yòng)戶更加快速的了解網絡風險并及時部署防禦措施。總而(ér)言之，看得(dé / de / děi)清，看得(dé / de / děi)全，看得(dé / de / děi)透，才能(néng)讓安全看得(dé / de / děi)見！