日益紧迫的安全威胁，催生着传统安全服务和产品的改变。对企业或机构来说，安全产品“老三样”中的防火墙更是首当其冲。但下一代防火墙（NGFW）会是什么样子呢？

保证业务模式的抗攻击性，支出成本要合理，持续的正常运行，具备应对变化的弹性和多功能性……

国内知名防火墙生产商山石网科则提出了突破传统检测引擎技术瓶颈的概念：不依赖于代码特征，而是采用基于威胁行为分析的方法，通过对网络中终端主机的行为进行分析。由于感染了变种恶意代码的主机其应用层行为将变得异常，可根据这种异常发现变种恶意软件，山石网科将具备这一功能特征的防火墙称为“智能下一代防火墙”。

不管怎样，适合财务预算和特定网络环境需求的防火墙才是企业真正需要的防火墙。安全牛认为，下一代防火墙应尽量满足以下十点标准：

1. 强有力的中心化管理

登录各种防火墙和相关组件进行配置或查看网络活动，对企业无疑是一个繁重的负担。因此，一个中心化的，能够管理整个系统数据并给予安全管理团队快速响应能力的管理系统，才能化繁为简，用起来得心应手。中心化管理可以在一个应用界面下部署、查看和控制所有的防火墙活动，还可以自动化日常任务、复用元素、布署快速路径和深度调查，以最小的工作成本产生最大的工作成果。

2. 用户和应用程序控制

在可以随时接入互联网的企业网络环境下，员工的工作效率是许多企业需要考虑的问题。因此，用户和应用程序控制是NGFW的必备功能。应用程序控制要比端口和协议控制高级的多，它可以基于用户身份、角色，网页应用的特征来建立详细的控制策略，更高级的控制还包括扩充用户组、域名、安全传输层协议（TLS）的匹配，以及用报告、日志和统计报表形式表现出来的用户信息和应用程序使用细节。

3. 高效的实用性

大多数人认为，即使在系统维护期间，企业网络的停止运行也是无法接受的。要想达到系统的高度可用性和抗压力性，一个关键点就是在你的NGFW中使用双活集群（Active-Active Clustering）。AAC可以让系统在维护和更新期间持续运行，并在密集应用程序进程占用过多的系统性能时保持一定的抗压。集群则保证在服务不中断的情况下，逐个节点的进行升级，在系统维护时也可与不同的软件版本或硬件型号一起运行。

4. 即插即用的部署

如果企业包括许多分布式的系统，则需要防火墙具备即插即用的功能。使用云来安装和配置时，除了接入电源和网络，剩下的工作应该可以允许工程师从远程轻松的实施。这种节省时间和旅行成本的意义是重大的，经常可以把执行工作从几个星期降低到几分钟。在具备远程查看和管理功能的情况下，更新和升级远程站点也可自动地无缝进行。

5. 深度数据包检测

深度数据包检测（DPI）是另一个NGFW的必备功能。它能确保数据包的各个组成部分被完整的检测，以识别畸形包、错误、已知攻击和其他异常数据。DPI能够快速识别并阻止木马、病毒、垃圾邮件、入侵行为，以及其他违反正常通信协议的行为。数据包分析通过各种方法实施，包括基于数据流的检测，漏洞特征、策略配置、协议识别、数据标准化，以及明文HTTP和加密HTTPS连接。配备深度数据包检测能力的下一代防火墙，还能够提供动态更新服务，常规性的自动地更新推荐的策略配置和基于漏洞的指纹保护。

6. 高级逃避技术防范

高级逃避技术（AET）可以发动复合攻击、动态改变攻击方法，从多种协议层实施攻击，最终目的是躲过安全检测，把恶意内容或程序传入系统。具备AET防范能力的下一代防火墙可以跨越多层协议对流量进行完整检测，并提供全栈式（full-stack）多层流量标准化的解构和拆分数据包。当AET防范正确的构建到NGFW中时，即使最完全的数据分析和标准化也不会影响网络性能。

传统的安全设备基于阈值的设定，无法检测出慢速DDOS攻击、慢速扫描攻击、CC攻击等隐蔽型或应用层网络攻击。智能下一代防火墙异常行为检测引擎通过对业务系统的正常运行状态进行学习，建立起几十个维度的业务动态安全模型，依靠这个模型能够检测出网络异常行为，进而判断是哪种网络攻击。－－山石网科研发副总裁蒋东毅

7. 多租式（Multitenancy）架构

大型企业和管理服务提供商对具备多租式架构的下一代防火墙有着根本上的需求。这种功能保证了域名之间的区别，在无需牺牲系统运行效率的前提下，为终端用户提供保护。多租式架构可以分离且共同使用域名管理功能，在不同的业务部门、地理位置或外部机构中应用。在各个实体保持分离的状态下，共同享有同样的系统环境、管理工具、自动化功能、持续优化连接，以及其他NGFW所有的有效功能。

8. 可适性架构

下一代防火墙的架构需要可改变性和适应性，这样才能够最大效率的部署所需的安全策略，不仅可以适应各种预算范围和系统弹性架构，还能够根据所需转变角色，或是防火墙，或是入测检测，或是VPN，而且这一切转变都无需新的许可证。

9. 企业级的VPN

想要加强站点间连通性的抗压力和弹性，则需要下一代具备强有力的VPN技术。许多下一代防火墙都有IPsec VPN，由一组插入到包处理通信层的安全协议组成。IPsec有很多优势，其中一个就是无需在单台计算机上执行变化的处理安全任务的能力。一台好的NGFW，甚至要能够在VPN上增加更多的高级技术，比如可产生成本效益和高实用性VPN链接的混合链接或隧道技术。一台具有高效强力管理工具，以部署、配置和运行VPN的防火墙才能称的上是一台好的防火墙。

10. 虚拟化

使用虚拟化可以轻松独立的部署即综合又复杂的安全基础设施。每一种虚拟化应用都能充当一个独立的角色，运行自己的软件版本和操作系统。虚拟化环境提供一种，把安全配置入口逻辑分隔成单独管理实例的方法，而这一切只建立在一台NGFW上。这种方法对于安全服务管理提供商来说，提供了一种理想的方便的多客户管理工作模式。

这就是下一代防火墙的十大必备功能，您认为呢？