新邊界安全中所定義的新邊界包括網(wǎng)絡(luò)安全邊界、應(yīng)用安全邊界、數(shù)據(jù)安全邊界、內(nèi)容安全邊界以及云計(jì)算安全邊界五大部分。其中，網(wǎng)絡(luò)安全邊界已逐步向 應(yīng)用安全邊界發(fā)酵并轉(zhuǎn)化，傳統(tǒng)的防火墻也在逐步向應(yīng)用級(jí)智能防火墻發(fā)展。在Gartner看來(lái)，NGFW是一個(gè)線速(Wire-Speed)網(wǎng)絡(luò)安全處理 平臺(tái)，定位于企業(yè)網(wǎng)絡(luò)防火墻(Enterprise Network Firewall，F(xiàn)irewall指宏觀意義上的防火墻)市場(chǎng)。在網(wǎng)御星云看來(lái)，NGFW+則是一個(gè)高性能多線程專用平臺(tái)，通過(guò)應(yīng)用感控技術(shù)進(jìn)行識(shí)別， 同時(shí)能進(jìn)行智能流量控制的綜合型下一代防火墻，定位于政府、行業(yè)以及電信級(jí)防火墻(Government、Industry、Telecom)市場(chǎng)。

       一、市場(chǎng)NGFW屬性

         傳統(tǒng)FW屬性：NGFW必須擁有傳統(tǒng)防火墻所提供的所有功能，如基于連接狀態(tài)的訪問(wèn)控制、NAT、VPN、HA等等。雖然我們總是在說(shuō)傳統(tǒng)防火墻已經(jīng)不能滿足用戶需求，但它仍然是一種無(wú)可替代的基礎(chǔ)性訪問(wèn)控制手段。

         六元組屬性：網(wǎng)御提供了一個(gè)全網(wǎng)絡(luò)視圖的六元組安全策略，其與以往的五元組相比，最大的優(yōu)勢(shì)在于可使得管理員能夠基于實(shí)時(shí)情況、應(yīng)用ID定義安全策略。同 時(shí)，此策略還可以辨別出來(lái)自同一網(wǎng)站的不同應(yīng)用并且可以啟用服務(wù)質(zhì)量選項(xiàng)為這些應(yīng)用優(yōu)先分配帶寬。在訪問(wèn)控制基礎(chǔ)上取得了質(zhì)的飛躍。

         云防御屬性：云安全防御技術(shù)融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過(guò)網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木 馬、惡意程序的最新信息，傳送到服務(wù)器端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端，實(shí)現(xiàn)立體全面的防護(hù)。

       應(yīng)用感 控屬性：NGFW必須具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識(shí)別的能力，并執(zhí)行訪問(wèn)控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能 但不允許進(jìn)行語(yǔ)音視頻聊天，或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識(shí)別帶來(lái)的額外好處是可以合理優(yōu)化帶寬的使用情況，保證關(guān)鍵業(yè)務(wù) 的暢通。雖然嚴(yán)格意義上來(lái)講應(yīng)用流量?jī)?yōu)化(俗稱應(yīng)用QoS)不是一個(gè)屬于安全范疇的特性，但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實(shí)會(huì)導(dǎo)致業(yè)務(wù)中斷等嚴(yán)重安全 事件。

        智能聯(lián)動(dòng)屬性：獲取來(lái)自“防火墻外面”的信息，做出更合理的訪問(wèn)控制，例如從域控制器上獲取用戶身份信息，將權(quán)限與訪問(wèn)控制策略聯(lián) 系起來(lái)，或是來(lái)自URL Filter判定的惡意地址的流量直接由防火墻去阻擋，而不再浪費(fèi)IPS或其他產(chǎn)品的資源去判定。我們理解這個(gè)“外面”也可以是NGFW+本體內(nèi)的其他安 全業(yè)務(wù)，它們應(yīng)該像之前提到的IPS那樣與防火墻形成緊密的耦合關(guān)系，實(shí)現(xiàn)自動(dòng)聯(lián)動(dòng)的效果。