下一代防火牆,即Next Generation Firewall,簡稱NG Firewall。
Gartner介紹爲應對當前與未來新一代的網絡安全威脅認爲防火牆必需要再一次升級爲“下一代防火牆”。例,第一代防火牆現已基本無法探測到利用僵屍網絡作爲傳輸方法的威脅。由於當前採用的是基於服務的架構與Web2.0使用的普及,更多的通訊量都只是通過少數幾個端口(如:HTTP與HTTPS)及採用有限的幾個協議進行,這也就意味着基於端口/協議類安全策略的關聯性與效率都越來越低。深層數據包檢查***防禦系統(IPS)可根據已知***對操作系統與漏失部署補丁的軟件進行檢查,但卻不能有效的識別與阻止應用程序的濫用,更不用說對於應用程序中的具體特性的保護了。 Gartner將網絡防火牆定義爲在線安全控制措施,即:可實時在各受信級網絡間執行網絡安全策略。Gartner使用“下一代防火牆”這一術語來說明升級防火牆的必要性,以應對目前業務程序使用IT的方法以及針對業務系統所發起的***方法所發生的改變。
下一代防火牆需具有下列最低屬性:
· 支持在線BITW(線纜中的塊)配置,同時不會干擾網絡運行。
· 可作爲網絡流量檢測與網絡安全策略執行的平臺,並具有下列最低特性:
1)標準的第一代防火牆功能:具有數據包過濾、網絡地址轉換(NAT)、協議狀態檢查以及***功能等。
2)集成式而非託管式網絡***防禦:支持基於漏洞的簽名與基於威脅的簽名。IPS與防火牆間的協作所獲得的性能要遠高於部件的疊加,如:提供推薦防火牆規則,以阻止持續某一載入IPS及有害流量的地址。這就證明,在下一代防火牆中,互相關聯作用的是防火牆而非由操作人員在控制檯制定與執行各種解決方案。高質量的集成式IPS引擎與簽名也是下一代防火牆的主要特性。所謂集成可將諸多特性集合在一起,如:根據針對注入惡意軟件網站的IPS檢測向防火牆提供推薦阻止的地址。
3)業務識別與全棧可視性:採用非端口與協議vs僅端口、協議與服務的方式,識別應用程序並在應用層執行網絡安全策略。範例中包括允許使用Skype但禁用Skype內部共享或一直阻止GoToMyPC。
4)超級智能的防火牆: 可收集防火牆外的各類信息,用於改進阻止決策,或作爲優化阻止規則的基礎。範例中還包括利用目錄集成來強化根據用戶身份實施的阻止或根據地址編制黑名單與白名單。
· 支持新信息流與新技術的集成路徑升級,以應對未來出現的各種威脅。
下一代防火牆的執行範例包括阻止與針對細粒度網絡安全策略違規情況發出警報,如:使用Web郵件、anonymizer、端到端或計算機遠程控制等。僅僅根據目的地IP地址阻止對此類服務的已知源訪問再也無法達到安全要求。細粒度策略會要求僅阻止發向其它允許目的地的部分類型的應用通訊,並利用重新導向功能根據明確的黑名單規則使其無法實現該通訊。這就意味着,即使有些應用程序設計可避開檢測或採用SSL加密,下一代防火牆依然可識別並阻止此類程序。而業務識別的另外一項優點還包括帶寬控制,例:因爲拒絕了無用或不允許進入的端到端流量,從而大幅降低了帶寬的耗用。 目前僅有不到1%的互聯網連接採用了下一代防火牆保護。但是隨着下一代網絡的來臨,下一代防火牆的應用已然是不可抗拒的趨勢,有理由相信到2014年年末使用這一產品進行保護的比例將上升至35%,同時,其中將有60%都爲重新購買下一代防火牆。
大型企業都將隨着正常的防火牆與IPS更新循環的到來逐漸採用下一代防火牆代替其現有的防火牆,或因帶寬需求的增高或遭受了***而進行防火牆升級。現在,許多防火牆與IPS供應商都已升級了其產品,以提供業務識別與部分下一代防火牆特性,且有許多新興公司都十分關注下一代防火牆功能。Gartner的研究報告說明,認爲隨着威脅情況的變化以及業務與IT程序的改變都促使網絡安全經理在其下一輪防火牆/IPS更新循環中尋求具有下一代防火牆功能的產品。而下一代防火牆的供應商們成功佔有市場的關鍵則在於需要證明第一代防火牆與IPS特性既可與當前的第一代功能相匹配,又能同時兼具下一代防火牆功能,或具有一定價格優勢。