下一代防火墻，縮寫為NGFW，它是各路防火墻廠商以及Gartner這樣的咨詢公司常常掛在嘴上的一個流行術(shù)語，主要是為了和傳統(tǒng)的基于端口的防火墻加以區(qū)別，下一代防火墻將包含更多的安全防御和基于身份的應(yīng)用程序控制能力。

NGFW不是一個科學(xué)術(shù)語，它更多的是承載著防火墻廠商的營銷意圖，但它不只是市場炒作，Gartner早在幾年前就開始使用NGFW這一術(shù)語了，準(zhǔn)確地說，NGFW這個縮略語是由Gartner創(chuàng)造的。防火墻廠商顯然受到了Gartner的影響，競相推出更復(fù)雜的，背離傳統(tǒng)的基于端口的檢查和控制的新型防火墻，當(dāng)然，他們也更樂意稱之為下一代防火墻，畢竟噱頭更多，更有賣相。

Gartner對NGFW的定義是什么？

必須有標(biāo)準(zhǔn)的防火墻功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換，狀態(tài)檢測，VPN和大企業(yè)需要的功能。

入侵防御系統(tǒng)和防火墻真正一體化。

應(yīng)用程序感知能力，自動識別和控制應(yīng)用程序。

額外的防火墻智能，為輔助決策提供更多信息，如信譽分析，與活動目錄（AD）集成，有用的阻塞或漏洞列表。

那如果一個防火墻廠商聲稱它的產(chǎn)品屬于NGFW，是不是它的產(chǎn)品就應(yīng)該包含所有這些功能呢？

不一定。使用NGFW這個術(shù)語有許多營銷目的，許多防火墻廠商正在努力改造現(xiàn)有的產(chǎn)品線，以滿足NGFW的定義。成立于2007年的Palo Alto網(wǎng)絡(luò)公司被公認(rèn)為是業(yè)界第一家真正的下一代防火墻廠商，它的產(chǎn)品給傳統(tǒng)防火墻廠商產(chǎn)生了顛覆性的影響，從而加劇了傳統(tǒng)防火墻廠商研發(fā)下一代防火墻的欲望和腳步，Palo Alto也繼續(xù)為它的產(chǎn)品增加新功能，以便鞏固自己的地位。

NGFW會被廣泛使用嗎？

不會，Gartner估計只有不到1%的安全互聯(lián)是由NGFW支持的，但Gartner安全顧問預(yù)計到2014年這一數(shù)字會上升到35%，盡管目前都在炒作，但NGFW市場總有一天會火起來的。

什么是統(tǒng)一威脅管理（UTM）？

UTM是IDC公司創(chuàng)造的一個術(shù)語，它和NGFW的概念一樣，都指的是一種多用途綜合安全設(shè)備，UTM也不是科學(xué)術(shù)語，但也并非完全炒作，雖然這個術(shù)語是IDC創(chuàng)造的，Gartner卻對它的含義做了新的解釋，聲稱UTM只不過是面向中小型企業(yè)的一種安全設(shè)備，同樣，IDC也嘲笑過Gartner對NGFW做的定義。IDC分析師Charles Kolodgy最近總結(jié)出一種他認(rèn)為很有趣的一種說法，“我很懷疑NGFW是否會發(fā)展成為一種市場，我認(rèn)為它應(yīng)該屬于防火墻市場，說下一代有點模棱兩可”，有些廠商既使用了NGFW又使用UTM進(jìn)行市場營銷，這兩個術(shù)語之爭不應(yīng)該影響到購買決策，特別是有大量的進(jìn)化產(chǎn)品產(chǎn)生，真正應(yīng)該關(guān)心的是NGFW或UTM在指定網(wǎng)絡(luò)環(huán)境中的表現(xiàn)。

是否有獨立的NGFW測試報告，以輔助決策？

很遺憾，目前還沒有看到獨立的NGFW測試報告，但一些廠商也承認(rèn)收到了獨立實驗室發(fā)來的問題報告。我們應(yīng)該因NGFW具有綜合安全功能，如入侵防御或反惡意軟件過濾而購買它嗎？購買NGFW的成本會比單獨購買具有這些功能的獨立產(chǎn)品更貴嗎？

預(yù)計會更貴，但一些早期使用者表示NGFW的優(yōu)勢在于簡化管理和運維，與此同時，有些人說他們不想完全放棄使用傳統(tǒng)的防火墻或獨立的IPS，因為他們對一個設(shè)備管理一切的做法感到不安，至少仍然心存疑慮。

基于身份的應(yīng)用程序控制背后的思想是什么？

大多數(shù)廠商都表示他們的NGFW允許對1000多個應(yīng)用程序?qū)嵤┗诓呗缘目刂?，并和微軟的活動目錄提供了緊密集成，目標(biāo)是確定哪些應(yīng)用程序需要通過互聯(lián)網(wǎng)，以及企業(yè)用戶可以訪問哪些Web服務(wù)，不能訪問哪些服務(wù)，如p2p或社交網(wǎng)絡(luò)可能會被明確禁止，使用NGFW時，對應(yīng)用程序的控制可能會是一個緩慢的過程，因為IT和企業(yè)管理人員都需要學(xué)習(xí)這些類型的控制，有一個要問的問題是，NGFW如何保護(hù)使用移動設(shè)備的用戶。

我的組織應(yīng)該使用整合了IPS和基于身份的應(yīng)用控制的防火墻嗎？

在遷移到NGFW時會遇到各種問題，規(guī)則，策略和人員培訓(xùn)都需要考慮，Gartner建議至少要追蹤廠商在做什么，以及他們的路線圖，以便在真正要采購防火墻之前進(jìn)行準(zhǔn)確評估，特別是在談判階段更具主動性，避免被廠商牽著鼻子走。