下一代防火墻，即Next Generation Firewall，簡稱NG Firewall。
Gartner介紹為應(yīng)對當(dāng)前與未來新一代的網(wǎng)絡(luò)安全威脅認(rèn)為防火墻必需要再一次升級為“下一代防火墻”。例，第一代防火墻現(xiàn)已基本無法探測到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅。由于當(dāng)前采用的是基于服務(wù)的架構(gòu)與Web2.0使用的普及，更多的通訊量都只是通過少數(shù)幾個(gè)端口（如：HTTP與HTTPS）及采用有限的幾個(gè)協(xié)議進(jìn)行，這也就意味著基于端口/協(xié)議類安全策略的關(guān)聯(lián)性與效率都越來越低。深層數(shù)據(jù)包檢查***防御系統(tǒng)（IPS）可根據(jù)已知***對操作系統(tǒng)與漏失部署補(bǔ)丁的軟件進(jìn)行檢查，但卻不能有效的識別與阻止應(yīng)用程序的濫用，更不用說對于應(yīng)用程序中的具體特性的保護(hù)了。 　　Gartner將網(wǎng)絡(luò)防火墻定義為在線安全控制措施，即：可實(shí)時(shí)在各受信級網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用“下一代防火墻”這一術(shù)語來說明升級防火墻的必要性，以應(yīng)對目前業(yè)務(wù)程序使用IT的方法以及針對業(yè)務(wù)系統(tǒng)所發(fā)起的***方法所發(fā)生的改變。

下一代防火墻需具有下列最低屬性： 　　
· 支持在線BITW（線纜中的塊）配置，同時(shí)不會干擾網(wǎng)絡(luò)運(yùn)行。 　　
· 可作為網(wǎng)絡(luò)流量檢測與網(wǎng)絡(luò)安全策略執(zhí)行的平臺，并具有下列最低特性： 　　
?? 1）標(biāo)準(zhǔn)的第一代防火墻功能：具有數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、協(xié)議狀態(tài)檢查以及×××功能等。
?? 2）集成式而非托管式網(wǎng)絡(luò)***防御：支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠(yuǎn)高于部件的疊加，如：提供推薦防火墻規(guī)則，以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明，在下一代防火墻中，互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起，如：根據(jù)針對注入惡意軟件網(wǎng)站的IPS檢測向防火墻提供推薦阻止的地址。 　　
?? 3）業(yè)務(wù)識別與全棧可視性：采用非端口與協(xié)議vs僅端口、協(xié)議與服務(wù)的方式，識別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。 　　
?? 4）超級智能的防火墻: 可收集防火墻外的各類信息，用于改進(jìn)阻止決策，或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來強(qiáng)化根據(jù)用戶身份實(shí)施的阻止或根據(jù)地址編制黑名單與白名單。 　　
· 支持新信息流與新技術(shù)的集成路徑升級，以應(yīng)對未來出現(xiàn)的各種威脅。
　　下一代防火墻的執(zhí)行范例包括阻止與針對細(xì)粒度網(wǎng)絡(luò)安全策略違規(guī)情況發(fā)出警報(bào)，如：使用Web郵件、anonymizer、端到端或計(jì)算機(jī)遠(yuǎn)程控制等。僅僅根據(jù)目的地IP地址阻止對此類服務(wù)的已知源訪問再也無法達(dá)到安全要求。細(xì)粒度策略會要求僅阻止發(fā)向其它允許目的地的部分類型的應(yīng)用通訊，并利用重新導(dǎo)向功能根據(jù)明確的黑名單規(guī)則使其無法實(shí)現(xiàn)該通訊。這就意味著，即使有些應(yīng)用程序設(shè)計(jì)可避開檢測或采用SSL加密，下一代防火墻依然可識別并阻止此類程序。而業(yè)務(wù)識別的另外一項(xiàng)優(yōu)點(diǎn)還包括帶寬控制，例：因?yàn)榫芙^了無用或不允許進(jìn)入的端到端流量，從而大幅降低了帶寬的耗用。 　　目前僅有不到1%的互聯(lián)網(wǎng)連接采用了下一代防火墻保護(hù)。但是隨著下一代網(wǎng)絡(luò)的來臨，下一代防火墻的應(yīng)用已然是不可抗拒的趨勢，有理由相信到2014年年末使用這一產(chǎn)品進(jìn)行保護(hù)的比例將上升至35%，同時(shí)，其中將有60%都為重新購買下一代防火墻。

?　　大型企業(yè)都將隨著正常的防火墻與IPS更新循環(huán)的到來逐漸采用下一代防火墻代替其現(xiàn)有的防火墻，或因帶寬需求的增高或遭受了***而進(jìn)行防火墻升級。現(xiàn)在，許多防火墻與IPS供應(yīng)商都已升級了其產(chǎn)品，以提供業(yè)務(wù)識別與部分下一代防火墻特性，且有許多新興公司都十分關(guān)注下一代防火墻功能。Gartner的研究報(bào)告說明，認(rèn)為隨著威脅情況的變化以及業(yè)務(wù)與IT程序的改變都促使網(wǎng)絡(luò)安全經(jīng)理在其下一輪防火墻/IPS更新循環(huán)中尋求具有下一代防火墻功能的產(chǎn)品。而下一代防火墻的供應(yīng)商們成功占有市場的關(guān)鍵則在于需要證明第一代防火墻與IPS特性既可與當(dāng)前的第一代功能相匹配，又能同時(shí)兼具下一代防火墻功能，或具有一定價(jià)格優(yōu)勢。

轉(zhuǎn)載于:https://blog.51cto.com/pikyshen/638876

總結(jié)

以上是生活随笔為你收集整理的下一代防火墙信息收集（概念篇）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。