防火牆

        從網際網路興盛這十多年來，防火牆已經是各企業基本的網路安全防禦設備，隨著資安威脅的手法越來越多，傳統防火牆功能早就已經有鞭長莫及之感。在這樣的狀況下，逐漸出現稱作次世代防火牆（Next Generation Firewall，NGFW）的產品，2009年10月，調查機構Gartner推出了一份名為「Defining the Next Generation Firewall」報告，裡面對於他們心目中的次世代防火牆，就提供了幾個應該具備功能的定義。Gartner列出的幾點NGFW該具備的功能如下：能夠做為封包檢測或安全政策執行的據點；並且擁有傳統防火牆的功能，如NAT、封包過濾、VPN、傳輸協定檢測等。除此之外，NGFW還需要具備有IDP的功能，並且有能力和防火牆的功能互相溝通，必要時可以透過防火牆阻斷危險的流量。

        在這些功能之外，Gartner在報告中也特別提到了應用程式流量辨識的能力，並且把這項能力視為NGFW的重點之一。也就是說，NGFW必須提供可視度（Visibility），不光是像過去的防火牆一樣，只是透過特徵和連接埠的號碼來管控流量，還必須有能力看得懂第七層應用層，辨識流經的不同流量，分別屬於哪些應用、哪些人使用、透過什麼裝置使用等資訊。

        因此，該份報告中還指出，NGFW必須有能力取得其他設備提供的資訊，進而透過這些資訊達到阻斷惡意流量的效果。舉例來說，NGFW可能要能夠和身分辨識的AD架構、RADIUS等設備溝通，取得使用者身分的資訊，然後輔以應用辨識的能力，將不合企業內資安政策與可能的惡意威脅流量阻斷，並且能夠快速的辨識出使用者位在何方。

NGFW應具備的6項重要功能，

1. 具備應用程式流量識別能力，進而強化管理

 有能力看懂第七層應用層的流量，識別不同的應用程式流量，而且還要再更進一步，還能夠識別使用者的身分、裝置等資訊。

2. 軟、硬體將逐漸不被綁死，能更彈性調配

能夠透過虛擬化等方式，讓軟、硬體不再被綁死，隨時能針對使用需求分配硬體資源給不同功能。

3. 必須要有能力提供客製化的功能，對新的威脅快速反應

面對需要獨特的威脅來源時，能夠提供客製化的功能或過濾器。

4. 能夠支援雲端架構動態變化的需求

擴充能力、對虛擬機器的防禦等功能，都能夠滿足雲端應用與架構的需求。

5. 能與不同裝置共同聯防

NGFW必須要具備與其他資安設備溝通的能力，形成區域聯防的效果。

6. 整合更多強化的功能

能整合更多傳統防火牆沒有的功能，如IDP、NAC、DLP等，並且還有可能具備路由與交換的能力。

資料來源：(iThome)