新邊界安全中所定義的新邊界包括網(wǎng)絡(luò)安全邊界、應(yīng)用安全邊界、數(shù)據(jù)安全邊界、內(nèi)容安全邊界以及云計(jì)算安全邊界五大部分。其中，網(wǎng)絡(luò)安全邊界已逐步向 應(yīng)用安全邊界發(fā)酵并轉(zhuǎn)化，傳統(tǒng)的防火墻也在逐步向應(yīng)用級智能防火墻發(fā)展。在Gartner看來，NGFW是一個線速(Wire-Speed)網(wǎng)絡(luò)安全處理 平臺，定位于企業(yè)網(wǎng)絡(luò)防火墻(Enterprise Network Firewall，F(xiàn)irewall指宏觀意義上的防火墻)市場。在網(wǎng)御星云看來，NGFW+則是一個高性能多線程專用平臺，通過應(yīng)用感控技術(shù)進(jìn)行識別， 同時能進(jìn)行智能流量控制的綜合型下一代防火墻，定位于政府、行業(yè)以及電信級防火墻(Government、Industry、Telecom)市場。

       一、市場NGFW屬性

         傳統(tǒng)FW屬性：NGFW必須擁有傳統(tǒng)防火墻所提供的所有功能，如基于連接狀態(tài)的訪問控制、NAT、VPN、HA等等。雖然我們總是在說傳統(tǒng)防火墻已經(jīng)不能滿足用戶需求，但它仍然是一種無可替代的基礎(chǔ)性訪問控制手段。

         六元組屬性：網(wǎng)御提供了一個全網(wǎng)絡(luò)視圖的六元組安全策略，其與以往的五元組相比，最大的優(yōu)勢在于可使得管理員能夠基于實(shí)時情況、應(yīng)用ID定義安全策略。同 時，此策略還可以辨別出來自同一網(wǎng)站的不同應(yīng)用并且可以啟用服務(wù)質(zhì)量選項(xiàng)為這些應(yīng)用優(yōu)先分配帶寬。在訪問控制基礎(chǔ)上取得了質(zhì)的飛躍。

         云防御屬性：云安全防御技術(shù)融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木 馬、惡意程序的最新信息，傳送到服務(wù)器端進(jìn)行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端，實(shí)現(xiàn)立體全面的防護(hù)。

       應(yīng)用感 控屬性：NGFW必須具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識別的能力，并執(zhí)行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能 但不允許進(jìn)行語音視頻聊天，或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況，保證關(guān)鍵業(yè)務(wù) 的暢通。雖然嚴(yán)格意義上來講應(yīng)用流量優(yōu)化(俗稱應(yīng)用QoS)不是一個屬于安全范疇的特性，但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實(shí)會導(dǎo)致業(yè)務(wù)中斷等嚴(yán)重安全 事件。

        智能聯(lián)動屬性：獲取來自“防火墻外面”的信息，做出更合理的訪問控制，例如從域控制器上獲取用戶身份信息，將權(quán)限與訪問控制策略聯(lián) 系起來，或是來自URL Filter判定的惡意地址的流量直接由防火墻去阻擋，而不再浪費(fèi)IPS或其他產(chǎn)品的資源去判定。我們理解這個“外面”也可以是NGFW+本體內(nèi)的其他安 全業(yè)務(wù)，它們應(yīng)該像之前提到的IPS那樣與防火墻形成緊密的耦合關(guān)系，實(shí)現(xiàn)自動聯(lián)動的效果。