下一代防火墙，即Next Generation Firewall，简称NG Firewall，是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

基本内容

下一代防火墙，即Next Generation Firewall，简称NG Firewall。

处理流程

一体化引擎数据包处理流程大致分为以下几个阶段：

数据包入站处理阶段

入站主要完成数据包的接收及L2-L4层的数据包解析过程，并且根据解析结果决定是否需要进入防火墙安全策略处理流程，否则该数据包就会被丢弃。在这个过程中还会判断是否经过VPN数据加密，如果是，则会先进行解密后再做进一步解析。

主引擎处理阶段

主引擎处理大致会经历三个过程：防火墙策略匹配及创建会话、应用识别、内容检测。

创建会话信息

当数据包进入主引擎后，首先会进行会话查找，看是否存在该数据包相关的会话。如果存在，则会依据已经设定的防火墙策略进行匹配和对应。否则就需要创建会话。

具体步骤简述为：进行转发相关的信息查找;而后进行NAT相关的策略信息查找;最后进行防火墙的策略查找，检查策略是否允许。如果允许则按照之前的策略信息建立对应的会话，如果不允许则丢弃该数据包。

应用识别

数据包进行完初始的防火墙安全策略匹配并创建对应会话信息后，会进行应用识别检测和处理，如果该应用为已经可识别的应用，则对此应用进行识别和标记并直接进入下一个处理流程。

如果该应用为未识别应用，则需要进行应用识别子流程，对应用进行特征匹配，协议解码，行为分析等处理从而标记该应用。应用标记完成后，会查找对应的应用安全策略，如果策略允许则准备下一阶段流程;如果策略不允许，则直接丢弃。

内容检测

主引擎工作的最后一个流程为内容检测流程，主要是需要对数据包进行深层次的协议解码、内容解析、模式匹配等操作，实现对数据包内容的完全解析;然后通过查找相对应的内容安全策略进行匹配，最后依据安全策略执行诸如：丢弃、报警、记录日志等动作。

数据包出站处理阶段

当数据包经过内容检测模块后，会进入出站处理流程。首先系统会路由等信息查找，然后执行QOS，IP数据包分片的操作，如果该数据走VPN通道的话，还需要通过VPN加密，最后进行数据转发。

与统一策略的关系

统一策略实际上是通过同一套安全策略将处于不同层级的安全模块有效地整合在一起，在策略匹配顺序及层次上实现系统智能匹配，其主要的目的是为了提供更好的可用性。

举个例子：有些产品HTTP的检测，URL过滤是通过代理模块做的，而其他协议的入侵检测是用另外的引擎。用户必须明白这些模块间的依赖关系，分别做出正确的购置才能达到需要的功能，而统一策略可以有效的解决上述问题。

应用

下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报，如：使用Web邮件、anonymizer、端到端或计算机远程控制等。仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求。

细粒度策略会要求仅阻止发向其它允许目的地的部分类型的应用通讯，并利用重新导向功能根据明确的黑名单规则使其无法实现该通讯。这就意味着，即使有些应用程序设计可避开检测或采用SSL加密，下一代防火墙依然可识别并阻止此类程序。而业务识别的另外一项优点还包括带宽控制，例：因为拒绝了无用或不允许进入的端到端流量，从而大幅降低了带宽的耗用。

仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络的来临，下一代防火墙的应用已然是不可抗拒的趋势，有理由相信到2014年年末使用这一产品进行保护的比例将上升至35%，同时，其中将有60%都为重新购买下一代防火墙。

大型企业都将随着正常的防火墙与IPS更新循环的到来逐渐采用下一代防火墙代替其现有的防火墙，或因带宽需求的增高或遭受了攻击而进行防火墙升级。许多防火墙与IPS供应商都已升级了其产品，以提供业务识别与部分下一代防火墙特性，且有许多新兴公司都十分关注下一代防火墙功能。

Gartner的研究报告说明，认为随着威胁情况的变化以及业务与IT程序的改变都促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品。而下一代防火墙的供应商们成功占有市场的关键则在于需要证明第一代防火墙与IPS特性既可与当前的第一代功能相匹配，又能同时兼具下一代防火墙功能，或具有一定价格优势。

复杂环境下网络安全管理的窘境

随着网络安全需求不断深入，大量政府、金融、大企业等用户将网络划分了更为细致的安全区域，并在各安全区域的边界处部署下一代防火墙设备。

对于所有的网络管理者来说，安全设备数量的不断激增无疑增加了管理上的成本，甚至成为日常安全运维工作的负担，对网络安全管理起着消极的反作用。

对于大型网络而言，网络管理者往往需要在每一台安全设备上逐一部署安全策略、安全防护规则等，并且在日常的维护中，还要逐一的对设备进行升级等操作，类似重复的工作将耗费大量的时间，同时大量人工操作势必将带来误配置的风险。

对于高风险、大流量、多业务的复杂网络环境而言，全网部署的下一代防火墙设备工作在不同的安全区域，各自为战，为了进行有效的安全管理，管理者往往要单独监控每一台设备的运行状态、流量情况以及威胁状况等，对于绝大多数人力资源并不充裕的信息部门，这无疑又是一项效率低、难度大的工作，监控到的信息往往由于实时性差，易疏漏等问题，对全网安全性的提升并无促进作用。

安全管理应面向风险而非单纯的安全事件响应，网络安全同样遵循这样的方向和趋势，而如何及时预见风险，以及在安全事件发生后如何快速溯源并采取响应措施，是摆在每一位网络管理者面前的难题。

专家认为，基于大数据挖掘技术无疑可以帮助管理者更加快速的发现网络中的异常情况，进而尽早的确认威胁并采取干预措施，实现主动防御。而此方案实现的前提，则需具备对数据的收集集中能力以及智能分析能力。

为什么要识别应用

随着以WEB2.0为代表的社区化网络时代的到来，互联网进入了以论坛、博客、社交、视频、P2P分享等应用为代表的下一代互联网时代，用户不再是单向的信息接受者，更是以WEB应用为媒介的内容发布者和参与者，在这种趋势下，越来越多的应用呈现出WEB化，据调查显示超过90%的网络应用运行于HTTP协议的80和443端口，大量应用可以进行端口复用和IP地址修改。

然而，由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量，并执行相关的策略。所以对于WEB2.0应用来说，传统防火墙看到的所有基于浏览器的应用程序的网络流量是完全一样的，无法区分各种应用程序，更无法实施策略来区分哪些是不当的、不需要的或不适当的程序，或者允许这些应用程序。

如果通过这些端口屏蔽相关的流量或者协议，会导致阻止所有基于web的流量，其中包括合法商业用途的内容和服务。即便是对授权通过的流量也会因为不能细粒度的准确分辨应用，而使针对应用的入侵攻击或病毒传播趁虚而入，使用户私有网络完全暴露于广域网威胁攻击之中。

综上所述，在新一代网络技术发展和新型应用威胁不断涌现的现有环境下，对网络流量进行全面、智能、多维的应用识别需求已迫在眉睫，也必将成为下一代防火墙所必须具备的基本和核心理念之一。

全面、多维的识别应用

每一种网络应用都应具备多方面的属性和特质，比如商业属性、风险属性、资源属性、技术属性等等，只有从各个角度多维、立体的去识别一个应用才会更加全面和准确。

举例来说，从商业属性来讲，可以是ERP/CRM类、数据库类、办公自动化类或系统升级类应用；从风险属性来讲，可以是1至5级不等的风险级别分类，风险级别越高的应用(如QQ/MSN文件传输等)其可能带来的恶意软件入侵、资产泄密的可能性就越高；从资源属性来讲，可以是容易消耗带宽类、容易误操作类或易规避类的应用等;而从技术属性来讲，又可以是P2P类、客户端/服务器类或是基于浏览器类的应用等。

对应用的多维、立体识别不仅是下一代防火墙做到全面、准确识别应用的必须要求，更是辅助用户管理应用、制定应用相关的控制和安全策略的关键手段，从而将用户从晦涩难懂的技术语言抽离出来，转而采用用户更关心和可以理解的语言去分类和解释应用，方便其做出正确的控制和攻防决断。下一代防火墙必须也应该要做到这一点，一种重要的实现手段就是—应用过滤器。

应用过滤器的关键特点是提供给用户一种工具，让用户通过易于理解的属性语言去多维度的过滤和筛选应用，经过筛选过滤后得到的所有应用形成一个应用集，用户可以对此应用集针对性的进行统一的访问控制或安全管理。

举例来说，作为边界安全设备，用户希望在允许内网用户与外网进行必要的邮件、IM即时通信、网络会议通信的同时，能够对其中的中、高级风险类应用进行安全扫描和防护，保证通信安全，杜绝威胁入侵。

要做到这点用户只要通过应用过滤器，在商业属性维度给出选择，这里选择协作类应用(包括邮件、IM通信、网络会议、社交网络、论坛贴吧等应用)，再在风险属性维度给出选择，这里可选择3级以上风险等级，应用过滤器会根据选择过滤、筛选出符合维度要求的所有应用(这里包括雅虎mail、QQ邮箱、MSN聊天、WebEx会议、人人网论坛等几十个应用)，并以分类页表的形式呈现给用户，用户还可以通过点击应用名称查看每个应用的详细描述信息。

接下来在一体化安全策略中，用户在指定好IP、安全区、时间、用户等基本控制条件，以及指定好IPS、防病毒、URL过滤、内容过滤等安全扫描条件后，只要选定刚才的应用过滤器，即可对所有内外网协作且高风险类应用进行全天24小时的安全扫描和防护，当发现攻击威胁时及时阻断并审计记录，保障用户的应用安全无忧。

识别未知应用

社区化网络的发展，缩短了世界各地用户经验交流和合作的时间与空间，应用数量和种类及相关的网络威胁都在日新月异的增长和发展着。面对来自世界各地、随时随地涌现的新类型、新应用，任何一个安全厂商或机构都无法第一时间毫无遗漏的全部涵盖和一网打尽，下一代防火墙必须提供一种机制，去第一时间识别和控制应用，保障用户网络每一秒都不会暴露在网络威胁之下。这就要求其必须要具备应用自定义的能力。

所谓应用自定义，就是以动态的方式允许用户对某种/某些非通用化、用户私有的无法识别的应用进行特征化的描述，系统学习并记忆这种描述，并在之后的网络通信中去智能的分析和匹配此种特征，从而将其识别出来，实现将应用由未知转化为已知。

这种机制免去了传统以往为增加应用而重做的软件引擎、识别库版本开发、定制、上线、升级等大量工作，节省了大量宝贵时间，第一时间保障用户网络安全。

下一代防火墙的应用自定义应该包括维度归类和特征码指定两部分。维度归类将自定义出的应用如同其它已有应用一样从多维度进行分类划分，如该应用属于哪种商业类型、何种资源属性、怎样的风险级别等等，与应用过滤器形成完美配合。

同时通过特征码，指定出应用在包长度、服务端口、连接方式、甚至于特征字符串/数字串等等方面的数据特征，多种方式灵活组合，并可依需要无限度扩展，涵盖了学习、辨识一个新应用的所有特征因素，从而第一时间让所有已有的或未来将有的未知应用无处遁形，完全掌握于控制之中。

全国人大代表、中国电子科技集团公司总经理熊群力向记者透露，我国自主开发的全新一代国产工业防火墙即将推出，将为国内工业用户提供工业控制信息安全“固、隔、监”的防护体系。

据熊群力介绍，作为功能全面、安全性高的网络安全系统，这套名为三零卫士工业防火墙的新一代国产工业防火墙，采用国际上最先进的网络安全技术，是针对工控网络安全的具体应用环境完全自主开发的安全产品。

工控网络安全涉及国家关键基础设施信息系统如电力、轨道交通、石油、水务等的基础网络所面临的安全问题，此前在2013年，中国电科已率先研制了两款国内首创、拥有完全自主知识产权、基于专用硬件的工业控制系统信息安全产品。

标准

1、下一代防火墙是否可以防御针对服务器应用和客户端应用的攻击以及其防御程

2、是否能被规避或逃脱

3、是否稳定和可靠

4、该方案是否能够强化入站和出站的应用策略

5、该方案是否能够强化入站和出站的身份策略

6、其性能如何

选择方式

即插即用式安装

即插即用式配置可以使企业将设备的初始配置自动上传到一台管理服务器。远程位置可以通过传输层安全（TLS）协议连接到这台管理服务器。即插即用可以快捷地为不同地理位置的大型网络实现快速部署和安装，同时又可以减少到设备进行现场访问和人工配置的麻烦。自动化还可以减少出错风险。

高效且集中化的故障诊断工具

如果企业的防火墙具有高效且集中化的故障诊断工具，故障诊断就未必占用安全团队的大量时间。这种工具应当集成到防火墙中，而不应当在以后进行修补。这种工具还应当拥有企业从一个独立的中央位置就可以控制的多种功能。理想的工具包括大量的远程诊断功能和其它的诊断功能，以及集成化的通信捕捉工具、网络取证分析、会话监视和配置快照等。

快捷可靠的远程更新

更新是高效的防火墙可以提供的更为轻松且高效的另一种功能。快捷可靠的远程更新特性可以使技术人员在整个网络上实施安全可控的软件更新，并且占用最少的通信量。

在一个中央位置管理这种任务可以降低操作成本，使设置时间仅占用几十分钟而不是几个小时或几天。快捷可靠更新还可以降低操作风险，在更新新版本失效后，企业可利用其中的“反转”功能恢复到以前的版本。此外，企业能够通过快捷可靠更新确定在非正常业务期间（或对网络影响最小的其它任何时间）进行操作的时间，从而实现接近100%的正常运行时间和可用性。

任务自动化

任务自动化并不仅仅为网络防火墙的升级带来很大好处。网络防火墙还应当允许管理员自动化任何重复性的占用大量资源和时间的任务，并可确定其时间。

这种特性不但对于那些有可能影响到服务的任务来说很有益，而且对于日常报告等活动来说，也很有好处。在任务实现自动化并确定好其时间后，就不再需要什么人工劳动了，而管理员就可以在网络负载与非关键操作之间实现平衡，从而确保高可用性。

要素共享和再利用

要素共享和再利用可以减少工作量和出错的风险。通过高质量的下一代防火墙，管理员不必每次在需要变更时为个别组件或客户设置配置信息，而是可以重用相同的要素来管理多个客户分组的服务变化。

策略验证和分析工具

很多下一代防火墙配备了庞大的防火墙规则集，这会使故障诊断任务复杂化，并会带来牺牲性能的不必要负担。这些规则往往是重复的，有时甚至在转换中丢失目标地址。

用策略验证和分析工具可以轻松地检查和清除不用的或重复的规则，而不必牺牲安全性。清除冗余的规则可以提高系统性能，增加安全性，简化网络故障诊断的过程，并可以从数据库中清除不必要的数据。

基于角色的管理访问控制

并非所有管理员都应当享有访问安全组件的同样访问权。基于角色的访问控制可以允许用户根据每个管理员的职责定义多种管理访问的权利。企业应当能够为每个管理员定义一个或多个角色，并限制每个角色适用的组件。防火墙的细节控制选项应当包括对每个要素和要素类型所涉及的管理员特权进行严格的、高度精细的控制，并可以控制读写操作的等级。

梭子鱼下一代防火墙技术一览

梭子鱼下一代防火墙可以通过中央平台统一管理，无论企业信息管理人员身处何地——企业总部大楼、数据中心甚至远程在家或者分支机构都可以对整个企业的网络系统进行管理。信息管理人员通过梭子鱼控制中心的界面轻松制定安全、内容和流量管理政策。

集中化的安全管理和内容政策有以下优势：

1、整个企业贯彻统一的安全态势和政策执行

2、多重网关的即时报告

3、整个网络的配置和政策改变的综合历史和回顾

4、对反垃圾邮件、病毒防护、安全网关和网络接入管理更新的统一视图

除了强大的防火墙和VPN技术，梭子鱼NG防火墙集成了一系列的下一代防火墙技术，包括了7层应用防护，入侵防护，安全网关，病毒防护，反垃圾邮件和网络接入控制等。产品拥有多种硬件型号和相应软件平台，适用于从小型分支机构到大型企业总部或数据中心不等。

发展趋势

SonicWALL参加了由美国Network World组织的Clear Choice测试。总共有4家公司的下一代防火墙产品参加了测试：Barracuda、Check Point、Fortinet和SonicWALL。本次测试的结果表明下一代防火墙的发展速度非常快，其处理流量的效率也有了较大的提高，能在保证网络安全性的同时提高数据处理速度。