次世代防火牆需要具備的6項功能

功能1：具備應用程式流量識別能力，進而強化管理

傳統的防火牆，是依照封包的來源、連接埠等網路層第三、第四層的資訊，進行封包過濾，像水閘門一樣，減少網路被惡意程式攻擊的可能性，但是次世代防火牆必須做到更多。

首先，次世代防火牆（Next Generation Firewall，NGFW）要有能力看懂第七層應用層的流量，識別不同的應用程式流量，而且還要再更進一步，還能夠識別使用者的身分、裝置等資訊。也就是說，NGFW必須提供比傳統防火牆更好的可視性，如此一來面對許多新型態的攻擊，如僵屍網路等，才能有能力反應。

事實上目前市面上不少提供防火牆功能的資安廠商，已經具備有這樣的能力。舉例來說，Palo Alto的防火牆，就是以這一點為號召。Palo Alto亞太區業務副總林本國表示，現在Palo Alto有能力識別900多種不同的應用，並且能透過圖像化分析每種應用流量的使用者使用時間、佔用頻寬等資訊，也能進一步看到每個使用者連線的狀況與報表，並且透過政策控管流量的通過。而以人為基礎的報表，則能協助企業在發生問題時快速找到問題的癥結點。

除了Palo Alto外，如Juniper等廠商，也能透過IDP模組的功能看到類似的資訊，再輔以與身分識別的AD架構、RADIUS等伺服器的溝通，就能做到辨識使用者與應用流量的功能。

這項功能之所以對於次世代防火牆來說非常重要，主要的原因除了先前談到可以協助快速找出問題外，還有一個重點，就是只有透過提供這種可視性，才能協助企業在NGFW上，做到基礎的網路存取控管（Network Access Control，NAC）功能。這將能協助企業在資安政策和阻擋大規模感染上更有效率，有能力將感染限制在一定區域。

而且不僅於此，事實上NGFW應該還要能夠更進一步的能夠針對特定應用的特定功能去管控，舉例來說，在Gartner的報告中就寫到，可以針對Skype這種應用，只關閉檔案傳輸的功能，類似這樣的能力才能算是做到對應用程式識別管理的能力。這樣的功能，現在也已經有部分產品可以達成。

提供可視性，進而透過這樣的深層封包檢測能力去管理流量，是次世代防火牆和傳統防火牆最大的不同。可以預見的，未來會有越來越多提供防火牆功能的設備商，往這個方向前進。例如Check Point在2009年就併購了一家名為FaceTime的廠商，根據Check Point臺灣區技術顧問陳建宏的說法，這次併購就是為了讓Check Point的設備，在未來能提供應用程式識別的能力。

功能2：軟、硬體將逐漸不被綁死，能更彈性調配

次世代防火牆其實還有一個很重要的特性，就在於能夠提供更彈性和靈活的架構。而軟、硬體功能的臍帶被分割，就是其靈活特性所展現出來的一個重點。

有別於過去的防火牆產品，買了硬體，軟體的功能就固定無法變動，NGFW將能夠鬆動這一環羈絆。NGFW為了更靈活的調配硬體資源，將會走向軟體功能與硬體分開來運作的道路，這樣一來，在擴充硬體時，就不會有過去受到局限的問題，購買的就單純是硬體資源，而軟體功能則直接做在原有設備上。

舉例來說，使用者如果要增加防火牆的硬體效能，就購買硬體的模組即可，每個模組並不是單獨的防火牆，而是可以分配給不同功能的硬體資源。所以購買進來的硬體模組，比如說有4個處理器的話，也可以把這4個處理器的運算資源分配給NGFW的其他功能。同樣的，軟體的功能也能依照使用的需求增加或減少，而不會因為購買了特定硬體，就必須使用特定軟體的功能，例如購買防火牆模組的插板，該模組就只能當防火牆用。

Juniper香港／臺灣區技術總監游源濱表示，這樣的靈活架構設計，將能夠減少傳統防火牆所面臨的模組負載平衡等問題，並且打破硬體模組就是相當於獨立設備的局限，減少很多使用上的麻煩。事實上，現在包括Juniper、思科的產品，都已經在往這個方向前進。例如Juniper的SRX，以及思科的ISG R2，都推出了單純的硬體模組支援擴充。而Fortinet臺灣區技術顧問劉乙也指出，隨著Fortinet設備虛擬化的技術發展，未來也很有可能會往這個方向前進。此外，Check Point現在也提供軟體功能增減的能力，讓使用者能夠依據需求和硬體的效能狀況，自由增減要執行的軟體。

軟、硬體功能的鬆綁，也有助於設備的虛擬化發展，無論是將多臺設備虛擬為單臺；或是將單臺設備透過虛擬化切割成不同的小臺防火牆，都能讓NGFW具備更靈活與更彈性資源分配能力。而這樣的能力，對於之後將要談到未來支援雲端架構的需求來說，十分的重要。

功能3：必須要有能力提供客製化的功能，對新的威脅快速反應

和先前談到的概念類似，NGFW之所以要在架構上變得更靈活，其實很大的因素就是要讓使用者能夠更快的面對新的威脅。

傳統購買資安設備，能提供的功能就是廠商宣稱的那些，未來如果有新功能推出，如果不是能夠模組化抽換的設備，可能就必須重新購買才能使用到新功能。此外，當企業遇到一些獨特的需求時，由廠商協助提供客製化過濾器或功能的可能性也非常低，或者是難度非常高。

不過，未來的NGFW，在這一點上將會有所改變。首先，正如先前談到，由於已經可以打破軟、硬體綁死的局限，NGFW在提供客製化功能或過濾器等能力時，將會相對比較容易。不過Check Point臺灣區技術顧問陳建宏指出，雖然如此，但是要企業自己有辦法寫出過濾器或是新增一些專屬的功能，企業往往也難以擁有這樣的IT人才。在這樣的狀況下，未來NGFW應該是保留住提供升級新功能的彈性，讓設備廠商有能力協助企業使用者建立這樣的客製化功能。

目前很多廠商都已經開始提供這樣的功能，前面提到的Palo Alto、Juniper、思科、Check Point等，其實都已經有不同的方案可以協助企業做到這一點，過濾器的客製化還較為容易，但功能的增加現在可能難度仍高。NGFW保留這樣的能力是必需的，這將能有效的協助企業解決許多自己遭遇的獨特狀況，針對資安情況做出更快速的反應。

這是Palo Alto識別應用程式的分析畫面，圖為Skype應用，能夠提供不同的資訊。

能夠分析企業內部通過NGFW的應用程式流量排名統計，並且進一步提供使用者對應的分析。

功能4：能夠支援雲端架構動態變化的需求

隨著虛擬化和雲端的大趨勢開始起跑，其實次世代防火牆也必須要有能力支援未來這樣的新架構。Juniper香港／臺灣區技術總監游源濱表示，這代表NGFW在硬體功能上必須要能夠有些新的變化，比如說每秒用戶連線能力、橫向擴充能力、虛擬化架構的防護、硬體資源的分配等，都會是雲端運算架構中需要面對的問題。

他接著指出，NGFW必須要有能力承受更高的每秒用戶連線能力，而不光只是支援更高的同時在線人數。游源濱說：「光有很高的同時在線人數，就像你雖然有一個大水池，可是卻只能讓水慢慢的流進去，否則水池就會垮掉。」而在雲端架構的基礎下，企業根本沒有辦法限制用戶的連線數。

除此之外，虛擬化的防護，也會是NGFW需要面對的重點問題，如何讓防火牆能夠與虛擬層溝通，進而能夠針對每一臺虛擬機器的流量做掃描與阻擋，而不會將之視為單一的實體伺服器，這會是NGFW必須擁有的能力。事實上，現在虛擬化平臺廠商如VMware，就有VMsafe這樣的合作計畫，讓資訊安全設備能夠透過與虛擬層的溝通，做到前述的能力。

其他諸如橫向擴充與硬體資源靈活分配的能力，我們已經在功能2談過，就現在來看，NGFW在這一塊技術的發展，將會以自身設備的虛擬化來達成。設備的虛擬化，將讓NGFW的硬體資源，能夠依照不同功能負載量的狀況動態分配，這也能夠滿足雲端的需求，例如防火牆需要更多的硬體資源，就分更多給這項功能；QoS需要更多的硬體資源，就分享更多的資源給它。這和傳統模組各自獨立，硬體資源無法共用的狀況完全不同，也會是NGFW的一個重要特色。

目前像是Juniper SRX的作法，就是以單臺虛擬為多臺，讓設備的硬體資源能夠靈活分配的作法，減少管理難度與擴充的問題。而據了解，未來Fortinet很有可能推出的作法，則將會是以多臺設備虛擬為一臺的方式，來達到類似的效果，降低橫向擴充的難度。

Fortinet臺灣區技術顧問劉乙認為，支援雲端架構，將會是NGFW的一個重要功能特色。而只有更靈活與更彈性的設計，搭配設備本身虛擬化的技術，才有可能達成這一點。事實上，思科的ISR G2，雖然主要還是以路由器為主要功能，但根據臺灣思科業務開發經理張志淵的說法，未來也會提供原本Iron Port的許多功能，強化其安全上的能力。而其新設計的硬體模組概念，就是要符合NGFW更靈活與更彈性架構的想法。

功能5：能與不同裝置共同聯防

談到資安設備間的聯防，很多人的直覺是想到類似NAC的架構，甚至在販售產品的經銷商，都有人有這種想法，然後因為NAC不容易實現，賺不了錢，所以避而不談區域聯防這種概念。不過事實上，這是以偏概全的想法，區域聯防並不是這麼一回事。

NAC只是資安設備聯防的一種形式而已，而NGFW概念中的區域聯防，則又是另一種形式的想法。我們甚至可以這麼說，NGFW必須要具備與其他資安設備溝通的能力，這才是未來發展合理的走向。在現在的網路架構上，就算你擁有一臺宛如超級英雄般的無敵資安設備，也不能確保企業的網路架構能夠安全無虞，因為不可能所有的流量，都流經單臺設備。

在這樣的狀況下，NGFW勢必必須擁有與其他設備的聯防的能力，舉例來說，若能與其他設備，或自己設備中的網站過濾功能溝通，那麼當使用者連結上到含有惡意連結的網站，或者是違反企業資安政策的網站時，NGFW就能扮演阻斷流量的角色，把威脅的可能性在發生前就截斷，防患於未然。

其他諸如IDP等功能，如果能與NGFW互通，也同樣能夠發揮類似的效果。目前來看，市面上有能力做到這樣聯防的設備還不多，多數還以擁有眾多產品線的大型公司為主，如Juniper。而NGFW也能透過與其他設備的互通，做到部份NAC的功能。如與和身分辨識的AD架構、RADIUS等設備溝通，取得使用者身分的資訊，然後輔以應用辨識的能力，將不合企業內資安政策與可能的惡意威脅流量阻斷，並且能夠快速的辨識出使用者位在何方。

總而言之，在威脅日益增多的現在，過去單一設備銅牆鐵壁的想法已經行不通了，也因此我們在思考NGFW這樣的概念時，不能落入這樣的陷阱。這也是為什麼與其他設備聯防，會被視作NGFW重要能力的原因。

功能6：整合更多強化的功能

前面的幾個必備功能，我們比較著重在整體架構面的觀察。而NGFW其實還有一個能力不能不提，那就是必需整合更多強化的功能。

過去UTM這樣類型的資安設備，由於硬體技術的不足，當功能全開的時候，往往會有效能大幅降低的狀況發生。不過隨著硬體技術的發展，處理器現在運算能力甚至不會比不可程式化的ASIC差到哪裡去，這也使得單一資安設備整合多功能的可行性越來越高。而NGFW也因此可以預見，未來一定能夠整合更多傳統防火牆所沒有的功能。

我們拿安全訓練與研究機構SANS（SysAdmin、Audit、Network、Security）協會，所定義的NGFW來看，就會發現NGFW除了該具備傳統防火牆功能外，還必須要能提供包括基礎DLP、NAC（Network Access Control）、IDP、防蠕蟲、防中介軟體、網站過濾、VPN、SSL Proxy、QoS等功能。

不但擁有更多功能，NGFW的功能也還要更為深入，例如NGFW的IDP功能，應該要能夠透過不同技術辨識流量，如Header-based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。並且有能力提供客製化的過濾器。而在防蠕蟲的功能上，則必須做到減輕試圖直接癱瘓攻擊的影響程度，以及不讓蠕蟲的擴散。並且要有能力針對電子郵件去設定阻擋政策。此外，還必須要擁有部份路由和交換等功能，QoS能力也應該要具備，並且要能夠和辨識不同應用程式流量的功能結合，針對不同的流量做出不同管理。

能夠分析企業內部通過NGFW 的應用程式流量排名統計，並且進一步提供使用者對應的分析。

應用程式識別能力成為重要功能

這是Palo Alto識別應用程式的分析畫面，圖為Skype應用，能夠提供不同的資訊。

虛擬化協助次世代防火牆靈活控管與分配資源

(看大圖)

相關報導請參考「次世代防火牆」