有客户抱怨，给下一代防火墙修改一条规则，跟遭一场天灾似的。企业内部设置的规程，让防火墙规则的修改相当不易。如今，企业纷纷在内网部署下一代防火墙进行访问控制和数据泄露预防。但这一解决方案，最好的情况下，作用也是有限的。这些防火墙检测不出数据泄露，也阻止不了内部威胁。

主要原因有三：

• 策略是静态的，适应不了动态威胁
• 无法学习和特征化用户行为
• 威胁响应能力缺乏粒度

首先，下一代防火墙在区分好坏上是非常确定的。我们知道，内部威胁和安全违规的特点是，恶意攻击者模拟合法用户的行为——通常通过盗取凭证来实现。因此，尽管用户可能是合法的，使用这些合法凭证的人的行为却可能非法。内部人士想要滥用自身凭证的情况与之区别不大。下一代防火墙会确保用户是合法的，只要凭证合法，访问便会被放行。

其次，虽然获取用户资料和创建详细的防火墙规则是可能的，但却很不实际。用户角色会变，他们的项目会变，他们所在的组也在变。想让防火墙管理员跟上这些变化以确保安全，即便不是不可能，也是极其不切实际的。深入理解并特征化网络中的每个用户和实体，是防止继续遭受侵害的要求，而下一代防火墙并没有能力处理如此频繁的变化。

再次，当威胁被检测到的时候，如果唯一能用的响应仅仅是“允许”或“阻止”，那么，任何误报或用户行为的合法改变，都将导致用户无法进行他/她的工作。因此，下一代防火墙的入侵检测和预防模块中极少看到“阻止”规则。安全管理员可不想因为一个误报封锁了CEO的网络流量就被炒了。未确认严重性和置信度的威胁，需要更细粒度的响应。

因此，如果你想要检测并封锁此类内部威胁和安全违规，你需要的是行为防火墙。行为防火墙有3项能力可以克服下一代防火墙的局限：

• 能够学习用户行为
• 能动态演进策略以匹配用户行为
• 细粒度的响应可使业务流程不受影响

行为防火墙可提供危险用户、终端、被黑账户和特权用户行为的可见性。通过监视和学习网络中每个用户、组、设备的行为，监测他们的登录时间/地点、他们的角色、系统权限、口令强度等等，行为防火墙能够特征化用户和终端的预期正常行为。

一旦这样的基线建立起来，便可自动或手动产生防火墙策略以确定怎样响应不同的威胁。举个例子，如果一个用户突然远程访问一组网络服务器，此前他从未进行过此类行为，且远程访问超出了该公司常规，那么，系统便会要求进行双因子身份验证以确认身份。或者，安全管理员可以创建一条规则，不允许远程访问之前没有访问过的服务器。建立这样的策略，当类似威胁被发现时，系统就能够检测并响应之，安全管理员也可以放下心来了。

最后，响应威胁，尤其是严重性未经确认的威胁，是一场赌博。要求的，是在下一代防火墙的“允许”/“阻止”之类常规响应之外，再加上细粒度自动化响应机制，双因子身份验证、通知、重复验证等等。这样的粒度能确保维系安全的同时合法用户不会被妨碍到工作。

下一代防火墙已经风光了近10年，在网络边界防护上依然很不错。但涉及到企业边界内部的防护，它们的能力缺口就太大了，而它们能被如何重新设计以克服这些局限，目前还是未知数。