雖然業(yè)界對于“下一代防火墻”依然眾說紛紜，但進入2011年，銳捷網絡、梭子魚、深信服、Palo Alto Networks、SonicWALL、WatchGuard等網絡安全廠商緊鑼密鼓地推出下一代防火墻產品(Next Generation Firewall)，似有遍地開花之勢。

“下一代防火墻”這一名詞的提出，有人說它是具備多重安全防護功能的多功能防火墻;也有人說它是高級的UTM……各家廠商也在不同詮釋著自己的下一代防火墻產品。但不管各方如何對下一代防火墻定義，都得回歸到用戶對防火墻的需求上來。

當前，傳統(tǒng)網絡防火墻基于端口/協(xié)議的防御方式已經無力招架應用環(huán)境下的多變威脅。企業(yè)不斷變化的業(yè)務流程、企業(yè)部署的技術以及威脅，正推動對網絡安全性的新需求，不斷增長的帶寬需求和新應用架構，正在改變協(xié)議的使用方式和數據的傳輸方式。安全威脅將焦點集中在誘使用戶安裝可逃避安全設備及軟件檢測的有針對性的惡意執(zhí)行程序上。在這種環(huán)境中，簡單地強制要求在標準端口上使用合適的協(xié)議和阻止對未打補丁的服務器的探測，不再有足夠的價值。隨著攻擊變得越來越復雜，企業(yè)必須更新網絡防火墻和入侵防御能力來保護業(yè)務系統(tǒng)。

從各家廠商產品的功能來看，都聚焦到防火墻中對應用程序的可視性和控制性。SonicWALL NSA E8510由SonicOS 5.8管理軟件支持，提供零時延入侵檢測和反惡意軟件保護。SonicOS 5.8的應用智能和控制功能可實現對應用程序流量和帶寬的實時細粒度控制。

銳捷網絡認為云計算時代的來臨，使用戶業(yè)務模型發(fā)生變化，對傳統(tǒng)網絡安全架構也提出了全新挑戰(zhàn)。用戶越來越認識到業(yè)務的高效和安全不可偏廢，同等重要。一方面，在實施安全策略的同事，不能影響業(yè)務的高效運行;另一方面，高清視頻、交互式應用的廣泛應用，也要求安全設備擁有與其相匹配的超高性能。

4月份，銳捷網絡正式對外發(fā)布了國內首個面向云計算的下一代防火墻產品系列。著力于通過高集成度，解決傳統(tǒng)UTM產品全業(yè)務開啟可用性問題;能實現140G吞吐量，高達0.5億的并發(fā)處理能力;實現基于用戶、資源、應用的訪問控制。

梭子魚何平認為，“未來三年，傳統(tǒng)防火墻廠商會增加應用層防護，應用層導向的廠商會加入網絡層，最終走向下一代防火墻取代網絡防火墻。”如果對傳統(tǒng)防火墻、UTM和下一代防火墻用版本號來形容的話，傳統(tǒng)防火墻就是1.0版本，UTM是1.5版本，下一代防火墻則是2.0版本。所以，下一代防火墻在Web2.0時代面對B/S架構大有可為成為必然。

梭子魚4月底在中國發(fā)布下一代防火墻產品，除了基于角色和應用的管理、具有傳統(tǒng)防火墻的所有功能、具備智能的流量控制和策略配合三要素外，梭子魚下一代防火墻加入了鏈路負載均衡的功能，優(yōu)化多條鏈路的帶寬使用率，保證企業(yè)業(yè)務的正常運轉。

網絡設備供應商深信服6月正式發(fā)布下一代防火墻NGAF，宣告深信服正式進入防火墻市場。深信服發(fā)布的下一代防火墻提供三大價值點：可視化的業(yè)務安全，體現在網絡安全策略的可視化以及安全報表的可視化。內容的安全識別，使用戶擺脫基于IP、Mac的“黑白”管控維度，為用戶帶來應用層的安全。完整的安全防護，通過集成傳統(tǒng)網絡安全模塊(身份認證、NAT、抗攻擊、VPN)以及可視化應用管控、全面應用安全(漏洞防護、web安全防護、服務器防護、病毒防護、灰度威脅識別)、智能風險審計四大功能模塊，為用戶提供對出入站流量的全面安全防護、管理、風險審計。并且采用單次解析架構，避免傳統(tǒng)UTM等多合一安全設備存在的7層分析不足的問題。

WatchGuard也在5月發(fā)布下一代防火墻產品XTM 2050，為大型企業(yè)和數據中心提供企業(yè)級安全防護能力，滿足用戶對高性能防火墻、應用程序控制和入侵防御系統(tǒng)(IPS)的要求，防范數據盜竊、惡意軟件和安全漏洞的侵害。

Web是當今各類組織所面臨的各類安全威脅的首要來源，而Web應用程序經常會成為攻擊者的主要焦點。據悉，WatchGuard能對1800多項應用程序實施細粒度控制，并能夠掌握哪些應用程序正在使用中以及誰在使用這些應用程序。并且集成入侵防御功能，IPS與應用層內容檢查功能協(xié)同工作，提供了針對各類網絡威脅的實時防護能力。

正是由于傳統(tǒng)網絡防火墻對應用程序可視性和控制的缺乏，傳統(tǒng)方法要求在防火墻后面部署其他“輔助防火墻”。這種高成本的做法由于通信流的低可視性、繁瑣的管理程序，及包括多層掃描的軟體設計、低執(zhí)行效能而導致的延遲。下一代防火墻順勢而生，滿足應用時代企業(yè)面臨的網絡安全威脅新要求。

雖然各網安廠商不遺余力的宣傳部署下一代防火墻的必要性，但是否會得到用戶的認可還有待時間觀察，目前國內企業(yè)實踐的案例還極低。由于NGFW的眾多集成功能，是否會造成網絡延遲和性能的降低，同時，是不是易管理也成為企業(yè)重要考量。而下一代防火墻供應商同樣需要去證明NGFW的部署會對傳統(tǒng)網絡架構的改變造成多大影響，或是否具有一定價格優(yōu)惠。

51CTO編者按：正如文中所述，下一代防火墻還僅僅是處于宣傳階段，更多的人是希望了解它與傳統(tǒng)產品之間的差別，NGFW能否給我們帶來不一樣的應用呢？有沒有必要更換現有的安全產品呢？然而，現在眾多廠商所發(fā)布的產品各不相同，也有概念上的區(qū)別。不少用戶都無法區(qū)分UTM和下一代防火墻之間的差異，這不禁讓大家迷惑，從而對于下一代防火墻這個產品望而卻步。