winfun下一代防火墙

防火墙作为一款历史悠久的经典产品，在 ip/ 端口的网络时代，发挥了巨大的作用， 合
的分隔了安全域， 有效的阻止了外部的网络攻击。然而面对网络应用的高速发展以及网络
划的复杂化，传统防火墙显得力不从心。
对于使用僵尸网络等传播方式的威胁， 第一代防火墙基本上是看不到的。随着面向服务
架构和web 2.0 使用的增加，更多的通信通过更少的端口 ( 如 http 和 https) 和使用更
的协议传输，这意味着基于端口 / 协议的政策已经变得不太合适和不太有效。深度包检测
侵防御系统 (ips) 的确是检查针对没有打补丁的操作系统和软件的已知攻击方法，但不能
效地识别和阻止应用程序的滥用，更不要说应用程序中的特殊性了。
gartner 在 2009 年发布了一份名为《 defining the next-generationfirewall》， 将下一代
火墙(ngfw)定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。
tner 使用“下一代防火墙” 这个术语来说明防火墙在应对业务流程使用it 的方式和威胁
图入侵业务系统的方式发生变化时应采取的必要的演进。
根据 gartner 的理论， ngfw 应该是一个线速（ wire-speed ）网络安全处理平台， 至少应
具备以下几个属性：
1 、联机 “bump-in-the-wire ” 配置，不中断网络运行。
2 、发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：
（ 1 ）标准的第一代防火墙能力：滤、网络地址转换 (nat) 、状态性协议检测、 vpn
等。
（ 2 ）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面
威胁的特征码。 ips 与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙
则来阻止某个地址不断向 ips 加载恶意传输流。 这个例子说明， 在 ngfw 中，应该由防火墙
立关联， 而不是操作人员去跨控制台部署解决方案。集成具有高质量的 ips 引擎和特征码，
gfw 的一个主要特征。
（ 3 ）应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是
据纯端口、 纯协议和纯服务的网络安全政策。 例子包括允许使用skype， 但关闭 skype 中的
件共享或始终阻止 gotomypc 。

（ 4）额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻
止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起， 或建立地址的黑白名单。
gartner 认为，随着防火墙和ips 更新周期的自然到来，或者随着带宽需求的增加和成功
的攻击，促使更新防火墙，大企业将用 ngfw替换已有的防火墙。不断变化的威胁环境，以
及不断变化的业务和 it流程将促使网络安全经理在他们的下一个防火墙 /ips更新周期时寻找
ngfw 。
gartner 预计到2014 年底，用户采购防火墙的比例将增加到占安装量的 35%， 60%新购
买的防火墙将是ngfw 。