下一代防火墻的概念自提出以來，在2011年的上半年忽然達到了頂峰，國內(nèi)外的安全廠家相繼推出了自己的下一代防火墻產(chǎn)品。但熱潮退去，下一代防火墻市場逐漸趨于冷靜，與此同時，市場上也出現(xiàn)了一些質(zhì)疑的聲音。下一代防火墻與UTM究竟有何區(qū)別?它是用戶的真正需求還是安全廠商的概念炒作?通過對多家安全廠商的采訪，本文將會對下一代防火墻產(chǎn)品的現(xiàn)在和未來進行闡述。

順應時代潮流

在被問到下一代防火墻推動力的時候，受訪者不約而同的都表示這是用戶需求所趨。歸納起來，下一代防火墻產(chǎn)品的出現(xiàn)有以下幾個原因。

第一，以太網(wǎng)標準現(xiàn)在已經(jīng)由萬兆開始向40G/100G邁進，網(wǎng)絡帶寬的增長十分迅猛。另外，數(shù)據(jù)量也在成爆炸性增長，我國各類數(shù)據(jù)中心和機房總量已經(jīng)達到50余萬個。無論是帶寬增長還是數(shù)據(jù)增長，都對網(wǎng)關安全產(chǎn)品的性能和功能提出了新的要求。對于一些大型企業(yè)來說，網(wǎng)絡環(huán)境趨于復雜，需要尋找新的安全解決方案來滿足除了抵擋外部攻擊以外的安全需求。

第二，網(wǎng)絡環(huán)境的變化。傳統(tǒng)的網(wǎng)絡攻擊手段一般都是基于第三層的網(wǎng)絡層，而隨著Web2.0時代的到來，大量的應用程序都建立在了http和https等協(xié)議之上，而傳統(tǒng)的防火墻對這些應用程序卻望塵莫及?；诰W(wǎng)絡層的操作就意味著傳統(tǒng)防火墻只能根據(jù)與數(shù)據(jù)包源地址和目標地址有關的信息來檢測流量，但是對于上述的http和https流量卻是無能為力。雖然現(xiàn)在有針對應用層的IPS設備，但是IPS卻無法識別具體的應用，達不到目前用戶所需的精細力度的應用層控制，因而也無法對特定應用進行防護。

第三，自防火墻的概念誕生以來已經(jīng)經(jīng)過了十幾年的發(fā)展，但是可以發(fā)現(xiàn)，在這么長的時間里防火墻的功能并沒有變革性的改進，功能、性能方面與網(wǎng)絡的飛速前進并不匹配，網(wǎng)絡環(huán)境的新需求迫使防火墻進行根本性的變革。

第四，概念炒作的嫌疑。就像UTM的出現(xiàn)一樣，下一代防火墻一出現(xiàn)就成了安全廠商，尤其是傳統(tǒng)防火墻廠商占據(jù)制高點的關鍵。

第五，安全廠商競相發(fā)布下一代防火墻產(chǎn)品，不管是否是概念炒作，也不管產(chǎn)品是否成熟。從市場需求來看，下一代防火墻產(chǎn)品的出現(xiàn)很大一部分程度上是代表了時代的潮流。傳統(tǒng)防火墻產(chǎn)品的不足已是共識，新產(chǎn)品的出現(xiàn)已是必然。

應用識別成為焦點

相較于傳統(tǒng)防火墻的網(wǎng)絡層防護，下一代防火墻的關注重點在于對應用層的識別。目前已經(jīng)推出下一代防火墻產(chǎn)品的梭子魚、SonicWALL、深信服、CheckPoint、銳捷、天融信等都將對應用層的識別作為推廣重點。

雖然下一代防火墻產(chǎn)品還沒有一個統(tǒng)一的標準，但是大多數(shù)安全廠商都基本認同2009年Gartner提出的下一代防火墻定義。Gartner認為，下一代防火墻至少應具備以下特征：線速的處理性能、高度融合的IPS功能、應用可視與身份鑒別的能力、傳統(tǒng)防火墻功能等四個方面。而目前的下一代防火墻廠商不約而同的將目光定位在了應用識別方面。

每一家下一代防火墻產(chǎn)品都推出了各具特色的應用識別技術。例如梭子魚的產(chǎn)品經(jīng)理潘淵介紹，其NGFW可以為用戶提供基于應用識別的流量管理，對于企業(yè)網(wǎng)鏈路和VPN隧道中的業(yè)務，都能做到流量優(yōu)先級定義;深信服產(chǎn)品經(jīng)理王帆則表示其NGAF產(chǎn)品可以充分理解國內(nèi)本土化的應用，基于應用做到流量管控，保障關鍵流量。SonicWALL中國研發(fā)中心總經(jīng)理陳中也表示針對應用識別，SonicWALL的下一代防火墻產(chǎn)品可以為用戶提供應用智能、應用控制和應用可視化等功能。而CheckPoint中國區(qū)技術經(jīng)理劉剛也表示，其NGFW產(chǎn)品涵蓋了從網(wǎng)絡層至應用層的所有防護功能，其對應用的控制更是能夠達到精細力度。天融信總工程師吳亞彪則認為NGFW更注重在Web2.0時代的客戶體驗，比如采用客戶化的GUI，多核CPU并發(fā)處理等。隨著企業(yè)的發(fā)展，需要更主動，更直觀，更定制化，性能更高的安全產(chǎn)品，這是NGFW的特點。對于企業(yè)來說，NGFW更貼合現(xiàn)有網(wǎng)絡環(huán)境，對企業(yè)業(yè)務保護更加全面，已經(jīng)逐漸得到了大型企業(yè)的認同。

與傳統(tǒng)的防火墻相比，下一代防火墻最主要的特征就是對于應用層安全的保障，作為防火墻廠商，山石網(wǎng)科產(chǎn)品經(jīng)理賈彬認為下一代防火墻基于應用識別只是控制手段的增強，安全性方面可能并沒有實質(zhì)性的提升。黑客技術日新月異，下一代防火墻與傳統(tǒng)防火墻還都沒有做到主動防御，因此下一代防火墻依然是黑客嚴重的獵物，安全功能也需要加強。

除了對應用的識別和傳統(tǒng)防火墻的功能之外，下一代防火墻還需要支持與防火墻自動聯(lián)動的集成化IPS、應用識別、控制與可視化、智能化聯(lián)動這幾個主要功能。

UTM的終結者?

下一代防火墻自出現(xiàn)以來，和UTM的對比之聲就不絕于耳。在用戶方面，往往還有很存在很多迷惑的地方。在此次采訪中，針對UTM與下一代防火墻的未來，所有的受訪對象都一致認為，下一代防火墻在未來將來會取代現(xiàn)在的UTM設備。因為，從產(chǎn)品結構、功能、性能等方面來看，下一代防火墻都比UTM要領先一步。

相較于傳統(tǒng)防火墻，UTM提供了更多的安全功能，但潘淵表示，UTM的致命缺陷就是采用串行掃描方式，處理效率低下，尤其在激活了多種掃描過濾功能之后，整體的性能會使企業(yè)的網(wǎng)絡受到極大的影響。王帆則表示，UTM只是將防火墻、IPS、AV進行簡單的功能堆砌，功能全部開放時的效率非常低下，另外，UTM在防護方面也不完善，例如Web應用方面的防護就有缺失。

而陳中認為UTM到NGFW是安全產(chǎn)品的進一步演化，相較于備受中小企業(yè)的UTM設備，下一代防火墻面對的用戶范圍更加廣泛，NGFW的發(fā)展是需求推動。從技術方面，劉剛介紹了UTM和NGFW的一些區(qū)別。下一代防火墻產(chǎn)品之所以能夠達到比UTM更高的性能和實現(xiàn)更多的功能，是因為其產(chǎn)品架構之間的根本區(qū)別。NGFW產(chǎn)品自設計之初，就采用了一體化的引擎，而UTM只是把多種安全引擎疊加在了一起，這種做法會使數(shù)據(jù)流在每個安全引擎分別執(zhí)行解碼、狀態(tài)復原等操作，導致大量的資源消耗。而NGFW則不同，它會一次性的對數(shù)據(jù)流完成識別、掃描，因而可以達到更高的性能。吳亞彪表示，UTM開始的設計就是針對中小企業(yè)網(wǎng)絡的，性能受到了很大的局限。UTM的理念是不需要用戶開啟全部功能。NGFW擁有靈活的架構與擴充性，這主要得益于NGFW支持虛擬化，使得NGFW能夠更靈活的架構。除了定制化能力外，還有一點很重要的就是硬件資源可以通過虛擬化技術進行分配的。舉例來說，NGFW很有可能有能力多臺防火墻串連虛擬為單一的防火墻設備，或是將單臺防火墻虛擬為多臺小型防火墻，達到分開處理流量的效果。

雖然NGFW產(chǎn)品與UTM相比具有了先天性的優(yōu)越性，但對于追求高性價比的中小企業(yè)用戶來說，UTM在最近的幾年中無疑還有巨大的市場潛力。作為非下一代防火墻廠商，H3C安全產(chǎn)品部總工李彥賓提出了比較中立的觀點，他認為短期來看，下一代防火墻產(chǎn)品比UTM有一定的優(yōu)勢。但從技術的演進來看，受中小企業(yè)客戶的強烈需求推動和UTM廠商自身軟硬件能力的提升，或許UTM會具備一些新的功能。吳亞彪也認為，NGFW雖然有可能會取代之前的網(wǎng)絡防火墻、IPS、UTM等產(chǎn)品，但這取決于用戶的根據(jù)自身需求和投入來選擇，無論UTM還是NGFW可能在未來一段時間內(nèi)會并存下去。

百家爭鳴

除了遵循Gartner所提出的NGFW定義之外，下一代防火墻廠商都自己的產(chǎn)品添加了特色功能，以滿足不同用戶的需求。

潘淵認為，在NGFW產(chǎn)品中應該增加網(wǎng)絡性能提升的功能，如自適應網(wǎng)絡路由，帶寬管理，遠程接入控制，網(wǎng)絡延展性等技術。而使用梭子魚下一代防火墻產(chǎn)品的信息管理人員就可以輕松管理基于應用的路由配置，根據(jù)多鏈路、多通道和不同的流量情況安排鏈路的優(yōu)先順序。

深信服將目光鎖定在了本土化應用的識別問題上，利用其有優(yōu)勢的應用層技術，其NGAF可以基于應用做流量管控，保障關鍵流量。另外，它還可以做到第二層至第七層的全面防護。

SonicWALL的NGFW的獨特之處在于其免重組深度數(shù)據(jù)包檢測技術。它允許用戶檢測網(wǎng)絡內(nèi)外的一切情況，并且不會造成延遲。因此用戶在應用任何標準協(xié)議或者臨時協(xié)議之前，仍然可以保持原有的性能。

而以軟刀片架構著稱的CheckPoint，雖然在下一代防火墻的概念上一直很低調(diào)，但在“一體化”的概念上卻很有發(fā)言權，它的每款設備都可以運行多個軟刀片，用戶可根據(jù)需要自行選擇所需要的功能刀片。最為獨特的是，用戶在以后的功能添加過程中，無需購買新的設備，也無需更改自身的網(wǎng)絡設置，只需要更新一下原有設備即可完成。更是為用戶提供了統(tǒng)一的管理平臺，這也是劉剛認為下一代防火墻應該具有的特征。

天融信的NGFW產(chǎn)品集成了防火墻、VPN、帶寬管理、防病毒、內(nèi)容過濾等功能的，具有高性能、高可靠性、高安全性的特點，天融信NGFW還提供了強大的網(wǎng)絡應用控制功能，用戶可以輕松的針對一些典型網(wǎng)絡應用。由于采用了天融信自主知識產(chǎn)權的安全操作系統(tǒng)TOS(TopsecOperatingSystem)，并采用模塊化結構設計，既提高了產(chǎn)品性能，又提高了產(chǎn)品的靈活性、高效性和安全性。

由于下一代防火墻還未標準化，但安全廠商卻在不斷推進這件事情。但是，行業(yè)總有領頭人，誰將主宰NGFW的標準化進程，還要看誰抓住了用戶的需求。

統(tǒng)一是未來

不管是對于大型用戶還是小型用戶來說，他們都希望用最簡單的管理實現(xiàn)最多總類的安全。相較于以往采購單個專業(yè)安全設備的方式來說，在功能、性能和一體化方面都比較出色的NGFW產(chǎn)品無疑代表了市場潮流。

在記者采訪宅急送信息部副總監(jiān)唐輝輝時，他明確表示出了自己對于NGFW產(chǎn)品非常感興趣，但是他也表達了自己的擔憂。NGFW是否只是一個盒子?他認為在一個硬件盒子上實現(xiàn)多種功能的集合必定會有性能方面的局限性，就如UTM一般。同時，他也認為，對于大型企業(yè)或電信級用戶來說，他們是否會相信一個平臺下面可以實現(xiàn)多種安全的保障。

由此可見，用戶對于NGFW產(chǎn)品還存有一定的困惑，尤其是在先進還沒有標準化，各家廠商的產(chǎn)品功能都有所不同時，這也是NGFW廠商需要去解決的問題。劉剛在接受采訪時也表示，目前具有專業(yè)性的安全長品，例如WAF等也會在近幾年長期存在，因為NGFW產(chǎn)品在有正式的標準出來之前，市場恐怕難以出現(xiàn)實質(zhì)性的進展。

在記者看來，NGFW不應該只是一個產(chǎn)品，它應該是一個平臺，該平臺可以實現(xiàn)高性能的擴展，多功能的集成，以及多功能之間的聯(lián)動。同時，用戶使用和管理起來應該簡便。每種新興的技術或產(chǎn)品都需要經(jīng)過市場的檢驗，NGFW產(chǎn)品目前剛剛開始發(fā)展，但是安全產(chǎn)品走向統(tǒng)一的腳步卻不會改變了。我們期待NGFW產(chǎn)品成熟和市場爆發(fā)的那一刻。

編看編想：冷思考

不可否認，UTM和NGFW產(chǎn)品都代表了IT界的統(tǒng)一方向，但是下一代防火墻產(chǎn)品也面臨著新技術的一些挑戰(zhàn)。一方面，下一代防火墻產(chǎn)品發(fā)展還未成熟，用戶對下一代防火墻的認知還有迷惑，市場接受度遠沒有傳統(tǒng)防火墻和UTM那樣高;另一方面，云計算和虛擬化技術在用戶中的流行也必然會對安全產(chǎn)品的需求產(chǎn)生影響，例如虛擬化的安全問題、云計算的安全問題，以及最近大數(shù)據(jù)引起的數(shù)據(jù)爆炸對安全產(chǎn)品的影響等，這是否應該成為下一代防火墻產(chǎn)品需要納入的新功能?這都是安全廠商需要考慮的因素。在這個新技術層出不窮的時代，NGFW廠商要想獲取用戶信任必須緊跟技術的潮流，不斷更新自身的產(chǎn)品，才能把握市場的先機。
 

【編輯推薦】

1. 各種防火墻出擊　企業(yè)安全路在何方？
2. 下一代IPS會取代NGFW 網(wǎng)絡安全質(zhì)量更重要
3. UTM進入加速發(fā)展階段 成安全業(yè)新貴
4. 下一代應用防火墻“新”在哪里？