网络安全回顾与展望之盘点下一代防火墙

2014年已经在不经意之间悄悄来临，回望2013，防火墙的市场又经过了竞争激烈的一年。各大厂商在Gartner定义的“下一代防火墙”基础上，追加厂商自身对这一概念的理解，推出了各有特点的“下一代防火墙”产品。在2013年，有哪些精品防火墙值得我们去关注呢？下面，就让我们对2013年各大厂商的下一代防火墙进行一个小盘点。

Gartner定义下一代防火墙

在2009年，Gartner定义了下一代防火墙，此后在世界的网络安全市场上掀起了一股巨浪，各大网络安全厂商纷纷加紧推出了自己品牌的下一代防火墙产品。那么何为下一代防火墙？根据Gartner公司的定义，下一代防火墙英文为“NextGenerationFirewall”，简称“NGFW”。

下一代防火墙应该有以下特点：

1．支持联机“bump-in-the-wire”配置，不中断网络运行。

2．发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：

（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分 效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征。

（3）应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype，但关闭Skype中的文件共享或始终阻止GoToMyPC。

（4）额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。

3．支持新信息馈送和新技术集成的升级路径来应对未来的威胁。举个例子，NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制，只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信，而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现，这意味着有许多NGFW可以识别和阻止不受欢迎的应用，即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为，消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。

由上述介绍我们可以看到，下一代防火墙对网络安全的保护至关重要。但是经过了四年的发展，这套定义或多或少存在一些跟不上时代的地方。这就给了各厂商进行创新提供了丰富的空间，接下来我们就来看看各大厂商在2013年又推出了哪些加入了自己创新的下一代防火墙精品。

华为、网康齐发力下一代防火墙市场

华为下一代防火墙

华为USG6000下一代防火墙是业界首个识别6000+应用的下一代防火墙，可以提供最精准的访问控制、最全面的威胁防护、最简单的配置管理、最高速的性能体验。提供6维环境感知及管控能力，以"ACTUAL(Application，Content，Time，User，Attack，Location)"全局环境感知为核心，将网络环境转换为具体的"应用+内容+时间+用户+威胁+位置"的应用层信息，可实现对移动办公、云计算等新环境下网络边界的感知，提供基于应用层的精确访问控制和动态威胁防御。

华为USG6000将6000+应用良好地分为5个大类33个小类，使用应用小类可快速实现基于应用的访问控制。它专用软硬件平台架构，IAE单次解析引擎。智能感知应用信息后，全安全特性并行处理。内容检测通过硬件加速进行，提升应用层防护效率，保障全安全特性开启下的万兆最佳性能。

通过遍布全球的安全中心，采集丰富的可疑样本来源。云端采用沙箱技术，在模拟环境中监控可疑样本的运行行为，高效发现未知威胁。产品发现未知威胁后自动提取威胁特征，并迅速将特征同步到设备侧，有效防范零日攻击。（详细了解）

网康下一代防火墙

网康科技于2012年10月正式推出下一代防火墙产品。对于下一代防火墙的研发网康完全以用户需求为导向，在产品规划过程各种融入了最新的安全防御理念，借住了云计算、大数据等新技术的优势，尽管投放市场的时间并不算长，但已经得到了来自用户的充分肯定。今年年底，网康下一代防火墙即将发布3.0版本，这是该产品推出以来的第三个大版本。

凭借网康科技在应用识别和内容控制领域近十年的技术积累，实现了对近3000种网络应用的识别，其中包含了300多种高风险应用，从各种维度对不同应用做出评价。产品拥有国内最大的、包含3000万中文网页的URL库，每日更新，即时发现恶意网站。它采用网康独有专利技术的多核加速转发引擎，充分发挥硬件优势，实现高性能的应用安全防护。

网康下一代防火墙基于行为分析感知僵尸主机，通过多维度的数据分析和多种类型日志的智能关联集成，实现应用威胁的可视化，便于用户提早发现网络中潜在的威胁，并主动调整安全策略。它还能够支持移动设备管理，支持超过700种移动互联网应用，覆盖苹果、安卓、塞班等多种移动平台，涵盖聊天、微博、视频、地图等多种主流应用类型。（详细了解）

Palo Alto和Check Point 强势出击

Palo Alto下一代防火墙

作为下一代防火墙的首创者，Palo Alto是Gartner魔力象限企业防火墙市场的领导者，这一点是毋庸置疑的。Palo Alto下一代防火墙的基础是一种单通道平行处理架构，它采用一种独特的软体和硬体整合方法，可以简化管理程序、使处理流程化且最大程度地提高性能。

对于给定的一组通信流，单通道软体可以同时执行政策查询、应用程式识别与解码、Active Directory 使用者对映，与内容扫描(病毒、间谍软体及IPS)。此软体运行在一个平行处理硬体平台之上，平台使用特定功能的处理器执行联网、安全、威胁预防及管理等方面的任务，从而获得最大执行效能，并将延迟时间减至最少。

这种全新的下一代防火墙能够准确辨识应用程序，不受端口、协议、逃避技术或SSL加密的限制，能够扫描内容以阻止威胁和数据泄露。它能够为应用程序和内容提供前所未有的可视性和分级政策控制，速度高达20Gbps却不会降低性能。(详细了解)

Check Point下一代防火墙

Check Point下一代防火墙通过增加IPS及应用控制保护而扩展了防火墙的能力，不仅仅只是阻止非授权访问。Check Point下一代防火墙可以提供高达110Gbps的吞吐量。并在NSS Labs的下一代防火墙测试中获得了最高分。

随着社交网络以及Web 2.0应用程序的广泛应用，互联网在办公环境的使用也发生了重大改变。为达到现今商业环境所需的防御水平，IT管理员不能再依靠简单的堵截特定端口或协议，而应在不影响业务效率的同时，进行全面到位的应用控制，确保更佳的安全可视度和保护。

Check Point所有产品都基于统一的软件刀片架构，它使得企业能通过单一集成的解决方案，以多GB的速度采用应用控制、身份识别以及入侵防护功能。让企业能够抵御快速发展的威胁，并通过一个单一的统一控制台执行安全管理。(详细了解)

梭子鱼和Fortinet创新下一代防火墙

梭子鱼下一代防火墙

梭子鱼拥有遍及全球的安全样本分析实验室，7*24小时不断收集，分析和更新各类安全问题，梭子鱼下一代防火墙也不例外。梭子鱼于2009年底收购了欧洲著名的防火墙厂商Phion，Phion成立于2000年，是全球最早提出下一代防火墙概念的厂商之一，在全球尤其是欧洲拥有众多的大型客户。

梭子鱼收购Phion后保留了整个Phion团队，并在下一代防火墙产品中注入了更多更好的梭子鱼应用和内容安全领域的安全技术和经验。同时，梭子鱼下一代防火墙更注重用户体验，倡导满足用户的不同定制需求，注重支持新应用程序与工具等，每次的产品研发与创新，都是以不断更新的应用需求和客户需求为出发点。

梭子鱼下一代防火墙满足企业分布式网络大量的可伸缩性和有效性管理的需求。集成广域网优化和专用的集中管理平台系统，使得企业和组织提高系统的可用性的同时，减少管理时间和降低运营成本。（详细了解）

Fortinet下一代防火墙

作为多功能安全网关设备的鼻祖，Fortinet公司早在十几年前就认识到传统防火墙的局限性(不能识别应用，不能保护内容层安全等)，因此在公司成立之初便致力于开发超越传统防火墙的下一代安全产品，将大量应用层安全技术融入防火墙中，在NGFW概念诞生之前，FortiGate安全网关设备实际已经完全覆盖满足NGFW的定义。

目前，FortiGate在NGFW领域，无论从技术先进性还是市场认可度方面都具有极强的竞争力。例如，在2013年度NSS NGFW SVM FortiGate名列前茅，位于推荐产品象限。产品针对用户的应用程序、数据等提供高性能的保护。下一代防火墙能够识别和管控应用程序，它能为用户提供对应用程序的可见性和流量控制。在遇到未知应用程序时，它还可以检查加密的应用流量。

Fortinet下一代防火墙的IPS功能可用于监视和阻止恶意网络活动。产品由Fortinet全球检测中心提供自动和实时的更新支持，无时无刻保护用户的网络安全。当用户尝试访问网络时，产品将自动识别用户的名称、IP地址和所属组别。只有被允许组别的用户才能够正常通过访问。（详细了解）

深信服和绿盟科技下一代防火墙盘点

深信服下一代防火墙

作为国内最早发布下一代防火墙产品的厂商，深信服从2000年左右的时间开始构建攻防团队、研发团队并开始研发下一代防火墙。深信服下一代防火墙是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

国内互联网安全事件，导致个人账号，信息泄漏的案例层出不穷，数据泄密已经在OWASP 2013年最新发布的网络威胁TOP10中版上，针对敏感数据内容防泄漏的安全产品需求日益增长。黑客针对代表客户形象的门户网站进行篡改替换，设置外链，黑链等恶意行为，对客户的对外形象产生极其不良的影响。对此类型攻击的防护，降低正常网页的误判也是国内客户经常遇到的难题。（详细了解）

绿盟科技下一代防火墙

绿盟科技下一代防火墙是构筑在最新一代64位多核硬件平台基础之上，采用最新的应用层安全防护理念，结合多核高速数据包并发处理技术，研发而成的企业级下一代边界安全产品。其核心理念是在用户网络边界建立以应用为核心的网络安全策略，通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视、可控、合规和安全，最终保障网络应用被安全高效的使用。

通过智能协议识别、特征匹配、动态流量及行为分析，可精确识别多达1000+种网络应用，并提供多维度筛查、自定义应用等专业的应用管理支持；通过多种会话身份验证技术，准确识别用户身份。

绿盟下一代防火墙可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类，并且通过应用级访问控制，应用流量管理以及应用安全扫描等不同的策略对应用分别。 （详细了解）

山石网科和天融信 智能融入防火墙

山石网科下一代防火墙

山石网科提出了下一代智能防火墙的理念，通过对网络中的行为、应用等进行加权算出一个健康指数，并对网络中存在的问题进行分析然后提出解决方案。这种无处不在的分析应该是下一代智能防火墙智能的核心。山石网科认为下一代智能防火墙应该以主动检测和提前预警为主要特点，同时在对网络、行为以及应用进行大量分析的基础上动态的修正管理策略以保证整个系统的畅通。

Hillstone T5060下一代智能防火墙(iNGFW)采用智能多维处理架构iMVP，基于创新的全网健康指数NHI (Network Health Index)智能的为用户预知安全威胁，有效降低企业安全风险。该防火墙吞吐量达20Gbps，增强的智能流量管理（iQoS）吞吐量可达3Gbps，可广泛部署在互联网出口和数据中心服务器前端。

山石网科一下代防火墙可对P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达1200多种，其中包括200 多种常用移动应用识别，帮助企业加强BYOD 安全管理。应用特征库跟随着应用的发展每天都在增加，并且可独立升级，不影响系统的稳定性。（详细了解）

天融信下一代防火墙

天融信将多年的安全产品研发经验以及对用户需求深刻的理解融入到下一代防火墙设计理念中，使天融信下一代防火墙产品具有"基于用户防护"、"面向应用安全"、"高效转发平台"、"多层级冗余架构"、"全方位可视化"及"安全技术融合"六大产品特性。通过借助Intel数据层高速处理技术，以及基于自主研发的NGTOS系统架构，突破了现有产品的性能瓶颈，整体性能达到320G。

天融信NGFW下一代防火墙产品，采用高度集成的一体化智能过滤引擎技术。其能够在一次数据拆包过程中，对数据进行并行深度检测，从而保证了协议深度识别的高效性。产品具有完全自主知识产权的TOS（TopsecOperating System）安全操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。

天融信内置的专用硬件加速芯片，保证防火墙系统从小包64字节到1518字节的数据处理，从简单功能到复杂网络应用组合，都可以达到100%的线速转发。加之天融信自主TAPF(TopASIC Packet Fastpath) 技术，报文转发延迟比传统防火墙降低了数十倍，完全避免了网络数据处理瓶颈的问题。 （详细了解）

思科和沃奇卫士 下一代防火墙

思科下一代防火墙

思科ASA5500系列自适应安全设备是思科推出的下一代防火墙安全解决方案。它是提供了新一代的安全性和VPN服务的模块化平台。无论是入门级、中型、大型企业还是数据中心，都可以根据特定需求定购不同版本，做到逐步购买、按需部署、灵活方便地实现安全功能的扩展。

思科ASA5500系列具有可扩展的思科AIM服务架构和灵活的多处理器设计，使这些自适应安全设备能在提供多项并发安全服务时获得前所未有的性能，且同时实现出色的投资保护。产品结合了多个协同工作的高性能处理器，以提供高级防火墙服务、IPS服务、Anti-X/内容安全服务、IPSec和SSL VPN服务等。

产品建立在已被业内广泛认可Cisco PIX系列安全产品之上的思科ASA5500系列 系列提供了更为广泛的安全服务来保护现代化网络环境。其灵活的策略功能能够防止非法访问网络资源或重要公司信息。高级应用控制功能能够帮助企业有效控制P2P文件共享、即时消息传送及其它不符合公司策略的网络应用的使用，以提高员工的生产率，减少互联网带宽浪费。（详细了解）

沃奇卫士XTM系列下一代防火墙

沃奇卫士XTM下一代防火墙为企业提供了全新级别的高性能安全保护。提供了全方位可扩展的企业级保护和生产效率保障，它拥有万兆的防火墙吞吐量和迅捷的VPN配置。XTM下一代防火墙能够保护企业免受黑客入侵和恶意软件的网络攻击，保护企业数据抵御网络犯罪。除了安全性极高的远程VPN连接外，产品还提供实时的安全事件和历史报表。

产品能够提供细粒度的应用控制，在对应用程序进行管理时，需要对该应用程序的应用服务进行区分，监控该程序的服务或禁止该服务。它还能够自动智能的对应用签名特征库进行更新和维护，无需人工对整个设备进行升级，产品能自动对相应的应用程序签名做自动升级。XTM应用控制的独特行为分析功能，能发现那些精心伪装的应用程序，保障安全万无一失。（详细了解）

总结：下一代防火墙创新继续 众厂商齐发力安全市场

2013年的下一代防火墙市场，各大厂商在Gartner定义的基础上将自己的创新能力和特长发挥的淋漓尽致，各厂商的下一代防火墙“争奇斗艳”。但是在现在的互联网世界中，只有很少的连接受到下一代防火墙的保护。在面对下一代网络不可阻挡地来临之际，我们有理由相信很多用户都将会在未来的2014年购买下一代防火墙。2014年，对这些安全厂商来说既是挑战又是机遇，就让我们拭目以待，期待2014年各个厂商给我们带来更优秀的下一代防火墙产品。