NGFW

Next Generation Firewall（NGFW）是傳統狀態防火墻和統一威脅管理（UTM）設備的下一代產品。它不僅包含傳統防火墻的全部功能（基礎包過濾、狀態檢測、NAT、VPN等），還集成了應用和用戶的識別和控制、入侵防御（IPS）等更高級的安全能力。

NGFW的定義

早在2007年，針對企業業務流程和IT架構的變化，結合安全威脅的新趨勢，著名咨詢機構Gartner就提出了Next-Generation Firewall （NGFW）的概念。2009年，Gartner正式發布《Definingthe Next-Generation Firewall》。

Gartner把NGFW看做不同信任級別的網絡之間的一個線速（wire-speed）實時防護設備，能夠對流量執行深度檢測，并阻斷攻擊。Gartner認為，NGFW必須具備以下能力：

傳統的防火墻功能

應用識別與應用控制技術

IPS與防火墻深度集成

利用防火墻以外的信息，增強管控能力

從傳統防火墻、UTM到NGFW

防火墻從誕生那一天起，就是緊跟著網絡演進的步伐亦步亦趨的。

早期的包過濾防火墻僅實現訪問控制就可以滿足初期網絡隔離的訴求。

隨后的狀態檢測防火墻（也稱傳統防火墻）集成了TCP/UDP和應用狀態的檢測能力，實現了L3-L4層的防護。

2004年出現了將傳統防火墻、內容安全和VPN等功能集合到一起的UTM設備。UTM的出現在一定程度上簡化了安全產品部署的難度。

擁有應用識別技術的NGFW可以區分流量對應的應用，將IPS、病毒防護等多種安全業務與防火墻業務深度集成、并行處理。

現在需要什么樣的防火墻

隨著移動化、云和大數據的發展，NGFW必須滿足以下條件才能應對當前嚴苛的網絡安全環境。

NGFW的未來

從傳統防火墻到NGFW經歷的是網絡攻擊從網絡層走向應用層的過程。在大數據和人工智能時代，NGFW必須向平臺化和智能化不斷演進。2018年，華為提出了AI防火墻的概念，基于AI能力實現高級威脅防護。借助大數據安全平臺的能力，持續提升自動化處置和知識協同的能力。

編輯：jq