简介

NGAF下一代防火墙,自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。由 深信服科技于2011年正式发布为“下一代应用防火墙”NGAF，英文全称为next generation application firewall。

目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为，到2014年底，这个比例将增加到占安装量的35%，60%新购买的防火墙将是NGFW。

在原有防火墙基础上，有很多新的防护功能，包括了两千多种的黑客的攻击，以及病毒的防护，还有其他的包括灰度的攻击，都有一些检测提升的方案。

随着互联网的普及，IT管理人员面临着更为复杂和频繁的网络安全问题，病毒、恶意攻击日渐增多，80端口上不再只有web服务，QQ也不再只是一个聊天工具，并且以经济利益为目的的网络攻击日益成为主流，而传统基于L3、L4的网络设备无法有效应对这些新的网络风险。另一方面，越来越多的业务依托互联网和广域网展开，关键业务面临系统稳定性差、网络速度慢等多种问题，IT管理者急需更为精细化和灵活的业务管理及优化策略。

部分供应商已逐渐意识到这种趋势，但受限于传统技术观点，大多数厂商只能提供部分解决方案，无法帮助IT管理者有效应对挑战。

特点

为了能够更好的针对当前网络安全现状，控制好可能发生的各种安全风险，建议采用下一代防火墙深信服NGAF针对业务系统进行全面的安全加固。

首先，建议将整个业务系统划分为如下网络安全域：

数据中心安全域：包括各种应用系统和服务器，如OA、视频、ERP、MAIL等，由于是整个IT系统的核心，安全级别最高;

广域网边界安全域：各个分支机构通过专网接入总部局域网，访问各种业务应用系统，主要包括构建专网的核心路由器、分支路由器;

互联网接入安全域：由于内部终端、对外发布业务系统(如网上交易系统)都需要与互联网相连，访问互联网资源或者对外提供业务。此区域安全风险最高，需要重点隔离与控制;

内网办公安全域：包括总部内网的办公终端，为不同的部门提供高速、稳定的网络接入;

其次，根据这些网络安全域之间的访问关系、安全级别，我们建议在如下位置部署NGAF进行一体化的L2-L7安全防护与控制.

功能

NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足，同时开启所有功能后性能不会大幅下降。

NGAF 不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。