不論產(chǎn)品如何變化，市場(chǎng)的發(fā)展總是由用戶(hù)需求所驅(qū)使。因此下一代防火墻（NGFW）從某種角度上講也是順勢(shì)而生的。然而，如何在進(jìn)行采購(gòu)之時(shí)擁有一雙“火眼金睛”來(lái)看透廠(chǎng)商“忽悠”的伎倆，用戶(hù)又該如何根據(jù)自身的需求選擇合適的產(chǎn)品呢?

半年前，在《解惑下一代防火墻》這篇文章中，筆者向讀者展示了參與橫向評(píng)測(cè)的四款產(chǎn)品測(cè)試報(bào)告，并為大家深刻解讀了如何在充滿(mǎn)亂象的NGFW市場(chǎng)中理性看待該產(chǎn)品。如今在這半年中，下一代防火墻市場(chǎng)趨于穩(wěn)定，大家各自發(fā)展，悉心耕耘。但是貌似平靜的市場(chǎng)中，業(yè)界對(duì)于NGFW和UTM仍然紛爭(zhēng)不斷。不論兩種產(chǎn)品使用的技術(shù)孰優(yōu)孰劣，最終的目的還是要交付給用戶(hù)使用。因此產(chǎn)品的設(shè)計(jì)宗旨還是要以滿(mǎn)足用戶(hù)需求為前提。

也就是說(shuō)，對(duì)于網(wǎng)關(guān)安全產(chǎn)品，要能夠給企業(yè)提供可以靈活部署不同安全需求的解決方案，提供多種安全功能的靈活組合，使產(chǎn)品能夠滿(mǎn)足企業(yè)不同發(fā)展時(shí)期的不同安全需求。目前看來(lái)，市場(chǎng)上絕大多數(shù)UTM的產(chǎn)品性能其實(shí)隨著硬件的發(fā)展在進(jìn)行自然的提升，而眾多UTM廠(chǎng)商都推出了自己的NGFW產(chǎn)品。再加上原本專(zhuān)注于應(yīng)用層控制，諸如上網(wǎng)行為管理等產(chǎn)品的廠(chǎng)商也投身到下一代防火墻市場(chǎng)中成為新興力量。

撲朔迷離的市場(chǎng)環(huán)境

不論產(chǎn)品如何變化，市場(chǎng)的發(fā)展總是由用戶(hù)需求所驅(qū)使的。下一代防火墻的產(chǎn)生從某種角度上講也是順勢(shì)而生的。互聯(lián)網(wǎng)的快速發(fā)展，使得UTM產(chǎn)品逐漸成為企業(yè)網(wǎng)建設(shè)時(shí)平衡安全與性能之間的阻礙。目前以太網(wǎng)已經(jīng)大踏步邁進(jìn)40G時(shí)代，盡管對(duì)于企業(yè)網(wǎng)出口來(lái)說(shuō)，帶寬可能還是只有千兆級(jí)別，但相對(duì)于幾年前的帶寬已經(jīng)翻了一番。因此，市場(chǎng)需要一種新的產(chǎn)品能夠適應(yīng)當(dāng)前的互聯(lián)網(wǎng)環(huán)境，不論是帶寬還是各種各樣的應(yīng)用。盡管UTM隨著硬件的發(fā)展而性能得到了很好的提升，但是仍然難以阻止NGFW這股浪潮的力量，畢竟UTM和防火墻這兩個(gè)名詞已經(jīng)占據(jù)市場(chǎng)太久了，這從各種不同廠(chǎng)商趨之若鶩的態(tài)度也可以看出來(lái)。

賽道安全論壇創(chuàng)辦人隨之 觀察認(rèn)為， Gartner為Palo Alto度身打造的下一代防火墻(NGFW)這一名詞隨其上市風(fēng)光之后一石激起千層浪，無(wú)論是之前做防火墻的，還是做防病毒的、IPS的，郵件過(guò)濾的，P2P流控的，甚至做上網(wǎng)行為管理的，都齊齊高舉專(zhuān)屬自己的下一代防火墻招牌，以市場(chǎng)說(shuō)了算的大無(wú)畏豪邁精神紛紛發(fā)力。一時(shí)間下一代防火墻無(wú)所不能的高、大、全形象在紛爭(zhēng)中站了起來(lái)。IDC當(dāng)年著力渲染以網(wǎng)關(guān)防病毒獨(dú)領(lǐng)UTM市場(chǎng)的翹楚Fortinet寡不敵眾，也發(fā)出了UTM就是功能更全、性能更佳的下一代防火墻的和諧聲。媒體紛紛發(fā)文對(duì)比NGFW與UTM，末了多少會(huì)偏心一下新鮮出爐的下一代防火墻。

從隨之發(fā)表的評(píng)論不難看出，目前下一代防火墻廠(chǎng)商基因各不相同，而且市場(chǎng)剛剛起步，并未經(jīng)受過(guò)傳統(tǒng)防火墻市場(chǎng)的長(zhǎng)期洗禮。各家廠(chǎng)商從各自產(chǎn)品特點(diǎn)出發(fā)，在IPS，用戶(hù)應(yīng)用內(nèi)容可視控制基礎(chǔ)上，添補(bǔ)滿(mǎn)足中國(guó)用戶(hù)本地特色需求的功能，蓋上下一代防火墻的新紅印掛帆出航 。為了關(guān)聯(lián)當(dāng)前云計(jì)算的熱點(diǎn)，虛擬化隔離、BYOD控制、云策略更新、高性能架構(gòu)的點(diǎn)綴說(shuō)法也隨之而來(lái)。

然而，面對(duì)琳瑯滿(mǎn)目、紛繁復(fù)雜的下一代防火墻市場(chǎng)，用戶(hù)又該如何根據(jù)自身的需求選擇合適的產(chǎn)品呢?據(jù)筆者了解，目前用戶(hù)并不關(guān)心他們采購(gòu)的產(chǎn)品是UTM還是下一代防火墻，用戶(hù)方面真正需要的只是能夠滿(mǎn)足自身眾多安全需求的安全網(wǎng)關(guān)產(chǎn)品。因此，面對(duì)如此情況，筆者認(rèn)為下一代防火墻與UTM之爭(zhēng)其實(shí)可以暫且擱置了。

在拋去了產(chǎn)品名字的爭(zhēng)議之后，一個(gè)很現(xiàn)實(shí)的問(wèn)題擺在了我們的面前，那就是產(chǎn)品采購(gòu)的問(wèn)題。Gartner在其2012年企業(yè)防火墻市場(chǎng)魔力象限報(bào)告中表示，有一些廠(chǎng)商過(guò)度使用術(shù)語(yǔ)及充滿(mǎn)迷惑性的營(yíng)銷(xiāo)手段，往往令我們對(duì)應(yīng)用程序控制、WAF (Web應(yīng)用防火墻) ，以及ADC(應(yīng)用交付控制器) 防火墻三個(gè)概念混淆不清。

因此，用戶(hù)該如何選擇產(chǎn)品，一款擁有哪些功能的下一代防火墻產(chǎn)品是適合于用戶(hù)自身需求的，如何在進(jìn)行采購(gòu)之時(shí)擁有一雙“火眼金睛”來(lái)看透廠(chǎng)商“忽悠”的伎倆等等，這不僅是用戶(hù)需要考慮的，也是媒體需要認(rèn)真思考的問(wèn)題。#p#

群雄逐鹿下一代防火墻

在用戶(hù)進(jìn)行采購(gòu)之前，必須對(duì)于自身的網(wǎng)絡(luò)環(huán)境，以及業(yè)務(wù)需求有足夠的了解。另外，產(chǎn)品供應(yīng)商的情況也是需要考慮的問(wèn)題。

全球范圍內(nèi)市場(chǎng)份額領(lǐng)先的安全硬件設(shè)備提供商，諸如思科、Check Point、Juniper、Fortinet，還有UTM的老牌勁旅Dell SonicWALL、Barracuda Networks，都在下一代防火墻這股浪激中相繼推出了自己的NGFW系列產(chǎn)品。國(guó)內(nèi)方面，東軟、銳捷、深信服、天融信、網(wǎng)康、網(wǎng)神等廠(chǎng)商也根據(jù)自身的優(yōu)勢(shì)和特點(diǎn)，推出了更具中國(guó)特色的下一代防火墻產(chǎn)品。

國(guó)際廠(chǎng)商對(duì)于下一代防火墻的宣傳普遍比較低調(diào)，思科就是其中之一。思科于2011年發(fā)布下一代防火墻，算是比較早的一批了。思科高級(jí)安全顧問(wèn)徐洪濤表示，目前下一代防火墻市場(chǎng)有傳統(tǒng)的防火墻提供商，也有直接跨入下一代防火墻的新一代廠(chǎng)商，大家對(duì)下一代防火墻的定義也有所差別。思科采用的方式是在傳統(tǒng)成熟的防火墻平臺(tái)上增加新的下一代防火墻功能。因此思科利用已有的渠道和大量的客戶(hù)群，做到一個(gè)平滑地向下一代防火墻切換，最優(yōu)化用戶(hù)的體驗(yàn)。此處也不難看出，擁有強(qiáng)大渠道和穩(wěn)定客戶(hù)群的市場(chǎng)領(lǐng)導(dǎo)者，其傳播方式更偏向于通過(guò)自有方式來(lái)向客戶(hù)進(jìn)行下一代防火墻的滲透，因此在市場(chǎng)上的聲音不多。

Check Point作為傳統(tǒng)的安全廠(chǎng)商也是IPS的締造者，長(zhǎng)期以來(lái)思路清晰，堅(jiān)持走軟件刀片的路線(xiàn)，并且已經(jīng)取得相當(dāng)?shù)某晒ΑＴ谄髽I(yè)級(jí)防火墻市場(chǎng)(Gartner認(rèn)為這部分市場(chǎng)很可能成為NGFW市場(chǎng))中，Check Point產(chǎn)品的部署量相當(dāng)高，其全球范圍的出貨量穩(wěn)居第二名。另外，在Gartner的調(diào)查中，Check Point是被用戶(hù)選擇最多的下一代防火墻品牌之一。而用戶(hù)選擇的原因不僅僅因?yàn)槠放坪蜌v史，更多的是因?yàn)椴豢扇〈墓δ芷鋸?qiáng)大的售后服務(wù)體系。

Fortinet作為UTM的締造者，其產(chǎn)品的高性能和高穩(wěn)定性是Fortinet走到今天的根本。隨著時(shí)間的推進(jìn)，F(xiàn)ortinet將FIPS(美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn))、NSS Labs、ICSA Labs的“印花”都集齊了。最近兩年，F(xiàn)ortinet同NSS Labs合作緊密，積極配合下一代防火墻產(chǎn)品的測(cè)試，并且表現(xiàn)出眾，屢次獲得“推薦”級(jí)別。然而，Gartner卻一直對(duì)Fortinet有一些自己的“意見(jiàn)”。在UTM 的魔力象限中，Gartner長(zhǎng)期以來(lái)雖然一直認(rèn)為Fortinet是絕對(duì)的領(lǐng)導(dǎo)者，但是仍然很難在其企業(yè)級(jí)防火墻魔力象限中給出Fortinet很好的評(píng)估。在Forti OS 5推出之后，F(xiàn)ortinet也應(yīng)聲宣布自己的NGFW產(chǎn)品。對(duì)于此種情況，有人認(rèn)為是倒戈，而筆者認(rèn)為“妥協(xié)“更貼切。

Barracuda Networks(梭子魚(yú))在2004年就已正式進(jìn)入中國(guó)市場(chǎng)發(fā)展，對(duì)于中國(guó)本土特點(diǎn)有深刻理解。由于長(zhǎng)期的國(guó)內(nèi)發(fā)展，梭子魚(yú)在國(guó)內(nèi)不僅擁有成熟的售后支持和應(yīng)急響應(yīng)團(tuán)隊(duì)，并且還擁有大量的研發(fā)資源。對(duì)于產(chǎn)品線(xiàn)的補(bǔ)齊，梭子魚(yú)也是不斷通過(guò)收購(gòu)達(dá)成，比如WAF廠(chǎng)商N(yùn)etcontinuum和奧地利防火墻廠(chǎng)商Phion AG。而在收購(gòu)了Phion AG之后一年，梭子魚(yú)就推出了其N(xiāo)G firewall產(chǎn)品。

在國(guó)內(nèi)方面，深信服是國(guó)內(nèi)首家推出下一代防火墻產(chǎn)品的廠(chǎng)商，2011年9月至今，深信服的下一代防火墻產(chǎn)品線(xiàn)已經(jīng)日趨成熟，并且行業(yè)覆蓋范圍也較廣。深信服市場(chǎng)行銷(xiāo)部技術(shù)總監(jiān)殷浩向記者表示，深信服下一代防火墻在中國(guó)部署情況很好，產(chǎn)品推向市場(chǎng)到現(xiàn)在已有1年多時(shí)間，累計(jì)銷(xiāo)售額超過(guò)1個(gè)億，2012年更比2011年翻了4番?？蛻?hù)認(rèn)可度高，市場(chǎng)反饋良好，目前已經(jīng)覆蓋到了政府、金融、運(yùn)營(yíng)商、企業(yè)和教育等行業(yè)。

國(guó)內(nèi)市場(chǎng)中有一家最近頻繁在下一代防火墻市場(chǎng)中有所動(dòng)作的公司，那就是網(wǎng)康科技。網(wǎng)康的下一代防火墻于去年10月份推出，而且在今年4月份推出了NGFW 2.0版本，涉及了很多重大的更新。網(wǎng)康科技CEO 袁沈鋼也不久前與《網(wǎng)絡(luò)世界》總編輯高輝進(jìn)行的高端訪(fǎng)談中也談到，通過(guò)網(wǎng)康過(guò)去8年在應(yīng)用層的積累，推出下一代防火墻是自然而然的事情。另外，網(wǎng)康用其“買(mǎi)服務(wù)送設(shè)備“的銷(xiāo)售模式快速拓展市場(chǎng)、積累客戶(hù)，并且收效頗豐。

前面說(shuō)過(guò)，國(guó)際廠(chǎng)商對(duì)于下一代防火墻的宣傳普遍比較低調(diào)，但是有一家廠(chǎng)商是絕對(duì)例外的，那就是下一代防火墻的締造者Palo Alto公司。從Palo Alto推出下一代防火墻至今，該公司一直持續(xù)地以各種形式在媒體和市場(chǎng)中發(fā)出聲音，長(zhǎng)期處于比較高調(diào)的態(tài)勢(shì)。Palo Alto 2005年于美國(guó)成立，4年后攜手Gartner向世界推出下一代防火墻的概念并迅速崛起，更在去年年底成功上市。

Palo Alto的成功，源于其產(chǎn)品將防火墻和IPS完美的整合，并將應(yīng)用控制功能提升到了從未有過(guò)的高度，而其成功的背后不僅站著一群業(yè)界精英，還站著許多市場(chǎng)營(yíng)銷(xiāo)好手。Palo Alto是Gartner調(diào)查中被提及最多的下一代防火墻替換者。而Palo Alto更是最近幾年對(duì)防火墻市場(chǎng)最大的貢獻(xiàn)者。雖然也有人認(rèn)為是破壞者，但是其創(chuàng)新的下一代防火墻的定義，以及單通道并行檢測(cè)引擎已經(jīng)迫使眾多防火墻、UTM、NGFW廠(chǎng)商以此標(biāo)準(zhǔn)來(lái)進(jìn)行產(chǎn)品改良，甚至重新設(shè)計(jì)。#p#

下一代防火墻產(chǎn)品大盤(pán)點(diǎn)

如上所述，目前下一代防火墻廠(chǎng)商各自的背景不盡相同，因此各自的產(chǎn)品定位和特點(diǎn)也存在一定的差異性。在了解了國(guó)內(nèi)外下一代防火墻的幾家代表廠(chǎng)商各自特點(diǎn)之后，對(duì)于各家產(chǎn)品的特點(diǎn)也是需要了解的。為此，筆者對(duì)于各家產(chǎn)品進(jìn)行了探索。

在此要感謝各家廠(chǎng)商的積極配合，讓筆者能夠深入了解各家NGFW產(chǎn)品的特性、部署環(huán)境，以及相應(yīng)的技術(shù)特點(diǎn)等等。

梭子魚(yú)的F800下一代防火墻產(chǎn)品除了具有常規(guī)功能外，該產(chǎn)品還突出了智能點(diǎn)對(duì)點(diǎn)流量管理功能，大大優(yōu)化了廣域網(wǎng)的性能和功能。信息管理人員可以輕松管理應(yīng)用層路徑，根據(jù)多鏈路、多通道和不同的流量情況安排鏈路的優(yōu)先順序。雖然梭子魚(yú)的產(chǎn)品在國(guó)內(nèi)覆蓋零售、企業(yè)、物流、政府、運(yùn)營(yíng)商等領(lǐng)域，但是其大部分的客戶(hù)還是在分支機(jī)構(gòu)和中型企業(yè)。

Check Point產(chǎn)品的應(yīng)用范圍廣，不得不說(shuō)是得益于其靈活且多元的軟件刀片。通過(guò)不同的軟件刀片組合，讓采購(gòu)的企業(yè)和組織能夠?qū)⑵洚a(chǎn)品應(yīng)用于各種復(fù)雜或簡(jiǎn)單的環(huán)境。Check Point 12200可被用于大型網(wǎng)絡(luò)環(huán)境，以及業(yè)務(wù)關(guān)鍵內(nèi)部網(wǎng)段邊界安全保護(hù)。該設(shè)備通過(guò)熱插拔冗余電源/磁盤(pán)驅(qū)動(dòng)器、遠(yuǎn)程管理卡，以及諸如Check Point ClusterXL和負(fù)載分配等高可用性特點(diǎn)，保證高業(yè)務(wù)連續(xù)性和適用性。12000系列更是多次在NSS Labs獲得“推薦“級(jí)別的產(chǎn)品。Check Point雖然一直出貨量很高，但是其產(chǎn)品價(jià)格昂貴也是不爭(zhēng)的事實(shí)，尤其是其多達(dá)十余種軟件刀片，確實(shí)使得組合可以更靈活，但另一方面也增加了客戶(hù)的采購(gòu)成本。

而思科的ASA5500系列下一代防火墻提供全球安全威脅實(shí)時(shí)視圖和電子郵件的“信用報(bào)告”服務(wù)，還能敏感監(jiān)控僵尸網(wǎng)絡(luò)的動(dòng)態(tài)，所更新的信息即時(shí)同步。企業(yè)可以根據(jù)特定需求定購(gòu)不同版本，做到逐步購(gòu)買(mǎi)、按需部署，靈活方便地實(shí)現(xiàn)安全功能的擴(kuò)展。而且從思科PIX防火墻遷移至思科下一代防火墻的過(guò)程簡(jiǎn)單易行。思科安全產(chǎn)品的高出貨量源自其總體產(chǎn)品的高出貨量，長(zhǎng)期以來(lái)思科專(zhuān)注于網(wǎng)絡(luò)設(shè)備的研發(fā)，但在安全產(chǎn)品創(chuàng)新上還需多做一些努力。

Fortinet公司的安身立命之根本在于其產(chǎn)品極高的穩(wěn)定性和轉(zhuǎn)發(fā)速度。NSS Labs測(cè)試的FortiGate 3600C達(dá)到了60Gbps防火墻吞吐和14Gbps應(yīng)用層及IPS吞吐的超高效率，獲得了NSS Labs的“推薦”級(jí)別。更高端的FortiGate-3950B以一臺(tái)3U高度標(biāo)準(zhǔn)機(jī)架式設(shè)備、最大不到500W的功耗，實(shí)現(xiàn)了120Gbps的小包吞吐量，以及2000萬(wàn)并發(fā)會(huì)話(huà)能力。然而，如Gartner的報(bào)告中所說(shuō)，F(xiàn)ortinet產(chǎn)品的第三方生態(tài)系統(tǒng)構(gòu)建還須時(shí)日。另外，雖然Forti OS 5已經(jīng)發(fā)布，但是并未被大規(guī)模使用。而該系統(tǒng)較大的更新正是針對(duì)NGFW功能的。

Dell SonicWALL擁有專(zhuān)利的RFDPI (免重組深度數(shù)據(jù)包檢測(cè)) 技術(shù)。RFDPI引擎掃描通過(guò)每一個(gè)端口的網(wǎng)絡(luò)流量的每一個(gè)數(shù)據(jù)包的每一個(gè)字節(jié)，提供全面的內(nèi)容檢測(cè)以消除威脅，并且全面檢測(cè)SSL加密的流量，以及非代理的應(yīng)用程序。由于SonicWALL是UTM起家，所以其大部分客戶(hù)還是集中在小企業(yè)和零售市場(chǎng)，而且被戴爾收購(gòu)的時(shí)日尚短，因此企業(yè)級(jí)市場(chǎng)還需進(jìn)一步開(kāi)拓。

Palo Alto的NGFW產(chǎn)品從PA-200到PA-5060，開(kāi)啟應(yīng)用識(shí)別的防火墻性能從100Mbps覆蓋到20Gbps，滿(mǎn)足分支結(jié)構(gòu)到數(shù)據(jù)中心的防火墻性能需求。作為該公司最為暢銷(xiāo)的產(chǎn)品，PA-3000系列非常適合于大型互聯(lián)網(wǎng)網(wǎng)關(guān)位置部署，以確保網(wǎng)絡(luò)安全和預(yù)防網(wǎng)絡(luò)威脅。雖然是下一代防火墻的締造者，Palo Alto也有自己的缺點(diǎn)，該公司還未支持大型機(jī)架設(shè)備，因此在較為高端的數(shù)據(jù)中心環(huán)境可能會(huì)受到性能限制。其次，Palo Alto的下一代防火墻產(chǎn)品所集中的安全功能并不像其他家廠(chǎng)商那樣多，對(duì)于安全功能有大量需求的客戶(hù)，可能會(huì)在采購(gòu)中有些遲疑。還有一點(diǎn)，那就是Palo Alto在中國(guó)的市場(chǎng)規(guī)模極其有限。

深信服NGAF在下一代防火墻市場(chǎng)中占得先機(jī)，已經(jīng)扎根。當(dāng)深信服NGAF設(shè)備的IPS或WAF防護(hù)策略匹配到遠(yuǎn)端黑客的攻擊行為之后，可以智能地與防火墻策略聯(lián)動(dòng)，生成臨時(shí)防護(hù)策略，限時(shí)封鎖遠(yuǎn)端的源IP對(duì)業(yè)務(wù)的訪(fǎng)問(wèn)。防止黑客進(jìn)行持續(xù)性的攻擊嘗試，最終繞過(guò)安全設(shè)備防護(hù)的風(fēng)險(xiǎn)。NGAF更是將Web安全防護(hù)作為主打特色之一，并且獲得了OWASP四星的成績(jī)，證明了其在應(yīng)用層領(lǐng)域的專(zhuān)注和專(zhuān)業(yè)。然而，這也是一把雙刃劍，深信服NGAF是否會(huì)被人誤認(rèn)為NG-WAF還未可知。

天融信是國(guó)內(nèi)老牌的防火墻廠(chǎng)商，長(zhǎng)期穩(wěn)居國(guó)內(nèi)防火墻市場(chǎng)占有率第一位。其產(chǎn)品主打高性能，產(chǎn)品吞吐量動(dòng)輒數(shù)十Gb，其擎天系列下一代防火墻更是高達(dá)百Gb吞吐。NGFW4000系列也是國(guó)內(nèi)率先支持防病毒和SSL VPN功能的防火墻產(chǎn)品。

網(wǎng)康科技近日最新發(fā)布了NGFW 2.0版本，首次將“云查殺”技術(shù)引入到了產(chǎn)品，而且還專(zhuān)門(mén)針對(duì)“僵尸網(wǎng)絡(luò)”做了開(kāi)發(fā)，數(shù)據(jù)防泄漏方面更是根據(jù)文檔特征而非后綴名判斷。網(wǎng)康NGFW 2.0向我們?nèi)嬲故玖藨?yīng)當(dāng)如何去應(yīng)對(duì)下一代的網(wǎng)絡(luò)威脅所帶來(lái)的安全防護(hù)問(wèn)題，并為下一代防火墻應(yīng)該提供何種安全防護(hù)功能提供了非常形象的解釋。在市場(chǎng)方面，網(wǎng)康也亟待快速拓展，將其N(xiāo)GFW產(chǎn)品上升成為公司的支柱產(chǎn)品，雖然起步較晚，但是好在賣(mài)服務(wù)的模式正在幫助其快速擴(kuò)張市場(chǎng)。

網(wǎng)神在去年受邀參加了《網(wǎng)絡(luò)世界》下一代防火墻的橫向評(píng)測(cè)并提供NSG 3600產(chǎn)品進(jìn)行測(cè)試。結(jié)果顯示，在即便是開(kāi)啟防火墻功能模塊+APP+IPS等情況下，其新建連接的應(yīng)用處理能力可以穩(wěn)定地保持在4000新建連接/秒左右。而且即使在開(kāi)啟AV功能后出現(xiàn)性能下降，成功連接響應(yīng)過(guò)低的情況也依然忠實(shí)地沒(méi)有漏過(guò)每一個(gè)包的防病毒檢查。

WatchGuard的下一代防火墻多達(dá)十幾個(gè)型號(hào)，充分覆蓋各種使用環(huán)境。優(yōu)勢(shì)是性?xún)r(jià)比高，適合對(duì)價(jià)格敏感的中小企業(yè)、零售商、分支機(jī)構(gòu)的網(wǎng)絡(luò)安全部署。另外，Gartner認(rèn)為，該公司對(duì)于下一代防火墻在企業(yè)中適用的功能范圍認(rèn)識(shí)很清楚，目標(biāo)也正確，但是其在大型企業(yè)中的部署較少，主要還是集中在中小企業(yè)。#p#

廣闊的部署環(huán)境

從多家廠(chǎng)商走訪(fǎng)的結(jié)果來(lái)看，幾乎所有廠(chǎng)商都認(rèn)為下一代防火墻的主流級(jí)別是千兆和萬(wàn)兆。天融信網(wǎng)關(guān)產(chǎn)品線(xiàn)產(chǎn)品總監(jiān)寇增杰表示，下一代防火墻關(guān)注應(yīng)用層檢測(cè)與防護(hù)，而完善的應(yīng)用層防護(hù)解決方案往往需要高性能的支撐。隨著硬件本身性能上的不斷提升，以及系統(tǒng)層面的不斷優(yōu)化，百兆與千兆中低端早已不是衡量下一代防火墻在性能方面的標(biāo)準(zhǔn)，應(yīng)該是在千兆高端與萬(wàn)兆的性能級(jí)別。

WatchGuard市場(chǎng)部總監(jiān)萬(wàn)熠認(rèn)為，下一代防火墻的主流基本上還是在1Gb-15Gb的級(jí)別。這個(gè)級(jí)別的用戶(hù)群比較大，而且需求比較明確，他們需要對(duì)網(wǎng)絡(luò)內(nèi)的流量做可視化管理，做帶寬管理和流量整形。同時(shí)對(duì)設(shè)備性能穩(wěn)定、實(shí)際使用功能這些都有很明確的要求。百兆NGFW市場(chǎng)空間也不小，但其用戶(hù)群的主要使用目的并不那么明確，更多是為了通過(guò)簡(jiǎn)單的方案解決網(wǎng)絡(luò)基本攻擊，和應(yīng)用控制，提高辦公效率。

對(duì)于下一代防火墻可被部署的環(huán)境，以及可能產(chǎn)生的限制這個(gè)問(wèn)題，深信服市場(chǎng)行銷(xiāo)部技術(shù)總監(jiān)殷浩表示，目前在應(yīng)用場(chǎng)景上沒(méi)有限制，用戶(hù)可以根據(jù)部署場(chǎng)景的需求選擇下一代防火墻對(duì)應(yīng)的功能。就深信服一年多的銷(xiāo)售經(jīng)驗(yàn)來(lái)看，深信服下一代防火墻在各個(gè)場(chǎng)景部署上均有較為明顯的優(yōu)勢(shì)。

梭子魚(yú)技術(shù)總監(jiān)賈玉斌也認(rèn)為，NGFW在應(yīng)用場(chǎng)景上其實(shí)沒(méi)有太多的限制，根據(jù)NGFW定義的特性而言，其更適合應(yīng)用在對(duì)于安全檢測(cè)與防護(hù)級(jí)別更高的地方，以及為其滿(mǎn)足集中管理與網(wǎng)絡(luò)整合管理應(yīng)用的需求。

萬(wàn)熠則認(rèn)為，NGFW主要適應(yīng)在對(duì)應(yīng)用功能高度集中的中小型企業(yè)，對(duì)流量就網(wǎng)絡(luò)內(nèi)數(shù)據(jù)可視化要求較高的大中型企業(yè)數(shù)據(jù)中心和園區(qū)網(wǎng)，以及一些中型ISP。當(dāng)然運(yùn)營(yíng)商和金融行業(yè)也在逐漸考慮是否選用NGFW產(chǎn)品解決方案。NGFW適用于當(dāng)前網(wǎng)絡(luò)應(yīng)用環(huán)境下的絕大部分客戶(hù)需求，但是對(duì)于超高流量的網(wǎng)絡(luò)場(chǎng)景，NGFW過(guò)于細(xì)粒度的檢測(cè)方式，可能會(huì)對(duì)此種應(yīng)用場(chǎng)景有限制。例如城域網(wǎng)骨干出口等。

思科高級(jí)安全顧問(wèn)徐洪濤也認(rèn)為，思科下一代防火墻主要的應(yīng)對(duì)場(chǎng)景包括互聯(lián)網(wǎng)出口、BYOD接入的安全網(wǎng)關(guān)，包括數(shù)據(jù)中心的應(yīng)用控制等等。但是目前下一代防火墻還未在核心的骨干網(wǎng)絡(luò)中得到大量的應(yīng)用，主要還是應(yīng)用在互聯(lián)網(wǎng)出口的百兆和千兆環(huán)境。思科也推出了萬(wàn)兆的下一代防火墻產(chǎn)品，也在高端數(shù)據(jù)中心和運(yùn)營(yíng)商當(dāng)中做出了嘗試。

對(duì)于部署環(huán)境的問(wèn)題，格物資訊創(chuàng)始人韓勖表示，每個(gè)行業(yè)的需求都有各自的特點(diǎn)，可以分為四大部分來(lái)看，即運(yùn)營(yíng)商、教育、IDC和其他行業(yè)。運(yùn)營(yíng)商方面，城域網(wǎng)及以上層面基本沒(méi)有安全網(wǎng)關(guān)的位置，而對(duì)于二三線(xiàn)運(yùn)營(yíng)商和小區(qū)寬帶來(lái)說(shuō)，NAT及審計(jì)、多鏈路負(fù)載均衡、流控、基于應(yīng)用的引流是剛需。NGFW比傳統(tǒng)防火墻有優(yōu)勢(shì)，但對(duì)愈發(fā)強(qiáng)大的專(zhuān)業(yè)流控產(chǎn)品來(lái)說(shuō)可能稍顯劣勢(shì)。

教育行業(yè)方面，高校網(wǎng)絡(luò)中心或市、區(qū)級(jí)信息中心其實(shí)等同于中小運(yùn)營(yíng)商，對(duì)邊緣網(wǎng)關(guān)的剛需自然也大同小異。不過(guò)他們對(duì)IPS、AV有比較明顯的需求，但不是剛需。此外，教育行業(yè)用戶(hù)對(duì)審計(jì)的需求相當(dāng)強(qiáng)，幾乎屬于剛需。如果能在合理的價(jià)格區(qū)間內(nèi)，在性能滿(mǎn)足需求的前提下提供有效的安全保障，并且有足夠強(qiáng)的審計(jì)功能，NGFW會(huì)體現(xiàn)出一些優(yōu)勢(shì)。

因?yàn)榛ヂ?lián)網(wǎng)數(shù)據(jù)中心(IDC)有運(yùn)營(yíng)性質(zhì)，理論上安全也不是剛需，但現(xiàn)在IDC運(yùn)營(yíng)者必須考慮DDoS攻擊防范，這恰恰是NGFW軟肋。至于安全服務(wù)化、增值化，國(guó)內(nèi)IDC業(yè)者似乎很早以前就開(kāi)始力推，但一直沒(méi)有形成氣候。

而其他一些行業(yè)用戶(hù)對(duì)于安全的需求就比較高了，因此VPN也成為剛需的一部分。這類(lèi)用戶(hù)對(duì)IPS和AV的需求更加旺盛，但卻構(gòu)不成剛需。此外，雖然一些NGFW產(chǎn)品已經(jīng)具有一定的上網(wǎng)行為管理和DLP功能，但對(duì)于大型行業(yè)用戶(hù)來(lái)說(shuō)仍不夠?qū)I(yè)，因此難以取代單獨(dú)功能的設(shè)備。此外，NGFW健全的用戶(hù)身份系統(tǒng)，能讓配置和運(yùn)維更簡(jiǎn)單、高效，報(bào)表功能更強(qiáng)大、全面。再比如最基礎(chǔ)的應(yīng)用識(shí)別功能，有讓管理運(yùn)維思路走向白名單化的趨勢(shì)。如果識(shí)別率夠高，誤識(shí)別率夠低，無(wú)疑能讓網(wǎng)絡(luò)運(yùn)行效率更高，也更安全。如果對(duì)動(dòng)態(tài)路由的支持更加完善，則相比于防火墻和路由器來(lái)說(shuō)更具競(jìng)爭(zhēng)力。#p#

本土化應(yīng)用更新快速

對(duì)于下一代防火墻來(lái)說(shuō)，應(yīng)用識(shí)別和控制是看家本領(lǐng)。然而，對(duì)于國(guó)內(nèi)有很多的本土化應(yīng)用，雖然各個(gè)企業(yè)也在不斷地開(kāi)發(fā)自己的應(yīng)用來(lái)方便員工開(kāi)展工作，但是應(yīng)用識(shí)別功能的本土化和應(yīng)用庫(kù)的更新，以及響應(yīng)未知應(yīng)用的時(shí)間也應(yīng)該成為中國(guó)用戶(hù)在采購(gòu)時(shí)需要考慮的另一大問(wèn)題。

網(wǎng)神產(chǎn)品運(yùn)營(yíng)總監(jiān)陳超說(shuō)道：“無(wú)論針對(duì)本土還是國(guó)外的應(yīng)用控制，作為安全廠(chǎng)商都要投入大量的人力和物力去研發(fā)，因?yàn)槊刻於荚谡Q生新的應(yīng)用，同時(shí)老的應(yīng)用為了適應(yīng)網(wǎng)絡(luò)發(fā)展不斷衍生和更新，應(yīng)用的更新沒(méi)有固定時(shí)間限制，一旦互聯(lián)網(wǎng)有新的應(yīng)用和更新產(chǎn)生，我們?cè)谝欢靸?nèi)就必須有應(yīng)對(duì)。因此，至少平均每2天都有更新升級(jí)包。”

殷浩向筆者解釋道，NGFW中必備的應(yīng)用識(shí)別功能需要廠(chǎng)商專(zhuān)門(mén)投入一個(gè)團(tuán)隊(duì)持續(xù)更新并維護(hù)應(yīng)用識(shí)別的特征庫(kù)，這需要一段時(shí)間的積累和后續(xù)長(zhǎng)期的投入。這點(diǎn)并不容易做到。而對(duì)于本土化應(yīng)用做好識(shí)別也有兩個(gè)層面的工作，首先廠(chǎng)商應(yīng)該在應(yīng)用識(shí)別這個(gè)領(lǐng)域有一定積累，有足夠的市場(chǎng)經(jīng)驗(yàn)幫助廠(chǎng)商判斷哪些應(yīng)用是用戶(hù)常用的，哪些是需要持續(xù)更新的;其次，很多用戶(hù)會(huì)有在非互聯(lián)網(wǎng)，比如業(yè)務(wù)網(wǎng)和內(nèi)網(wǎng)的應(yīng)用訪(fǎng)問(wèn)控制需求，這需要廠(chǎng)商快速響應(yīng)用戶(hù)的需求反饋，并準(zhǔn)確識(shí)別這些應(yīng)用的特征。一般情況而言，應(yīng)用至少每周都應(yīng)該批量更新，以保持實(shí)時(shí)性。

萬(wàn)熠表示，由于每個(gè)國(guó)家或地區(qū)的網(wǎng)絡(luò)技術(shù)發(fā)展都有地區(qū)化的差異，并且中國(guó)作為全球IT行業(yè)的主要組成部分，中國(guó)的網(wǎng)絡(luò)及應(yīng)用的本土化特點(diǎn)較其他地區(qū)更為明顯。對(duì)國(guó)際化廠(chǎng)商來(lái)說(shuō)，地區(qū)本土化的應(yīng)用控制是必須面對(duì)的問(wèn)題。WatchGuard在我國(guó)北京和成都兩個(gè)城市有兩個(gè)研發(fā)中心，會(huì)針對(duì)中國(guó)的特點(diǎn)做本土化需求開(kāi)發(fā)。通常來(lái)說(shuō)，APP更新會(huì)在較短時(shí)間內(nèi)進(jìn)行。

網(wǎng)康科技執(zhí)行副總裁左英男說(shuō)：“要做好本土的APP，需要多年的積累能夠針對(duì)本土的應(yīng)用做到準(zhǔn)確識(shí)別。比如迅雷和P2P視頻等。我們更新APP的頻率大約在一周增加8-11個(gè)應(yīng)用。”

從上述廠(chǎng)商代表的表述中不難看出，大家對(duì)于應(yīng)用控制都相當(dāng)看重。對(duì)于國(guó)內(nèi)廠(chǎng)商來(lái)說(shuō)，由于是土生土長(zhǎng)，不論是應(yīng)用庫(kù)方面還是技術(shù)方面，對(duì)于本地的應(yīng)用積累都處于較高水平。而國(guó)際廠(chǎng)商為了更適應(yīng)中國(guó)發(fā)展，已經(jīng)基本上都在中國(guó)設(shè)置了一到兩個(gè)，甚至更多的研發(fā)中心來(lái)支持本土化應(yīng)用的更新和應(yīng)急響應(yīng)。

理性看待產(chǎn)品 避免選擇誤區(qū)

雖然在過(guò)去兩年中，下一代防火墻以無(wú)可阻擋之勢(shì)席卷市場(chǎng)，擺出一付拯救天下的姿態(tài)，但是冷靜過(guò)后不難發(fā)現(xiàn)，下一代防火墻還是有自己的問(wèn)題存在。沒(méi)有一個(gè)完美的產(chǎn)品，因?yàn)楫a(chǎn)品也都是在不斷進(jìn)化和發(fā)展的。這也是為什么NSS Labs在2013年最新報(bào)告中把2007年Gartner給出的NGFW定義稱(chēng)為第一代NGFW的原因。而事實(shí)上市場(chǎng)并沒(méi)有十分認(rèn)可這個(gè)定義。

隨著越來(lái)越多的廠(chǎng)商進(jìn)入下一代防火墻市場(chǎng)，會(huì)讓這個(gè)市場(chǎng)變得愈發(fā)混亂。而混亂的原因正是大家在不斷地爭(zhēng)議什么樣的功能應(yīng)該被包含在NGFW中，而什么樣的功能應(yīng)該被排除在外等問(wèn)題。

然而，這些問(wèn)題都是業(yè)界考慮的問(wèn)題，從指導(dǎo)用戶(hù)進(jìn)行產(chǎn)品采購(gòu)方面來(lái)說(shuō)，筆者更關(guān)心的還是目前下一代防火墻還能有哪些提升。只有知道了一款產(chǎn)品未來(lái)的發(fā)展方向，才能夠幫助自己確定是否適合將其擺在自家網(wǎng)絡(luò)出口兩三年的時(shí)間。

陳超向筆者表示，下一代防火墻在用戶(hù)體驗(yàn)與交互還需進(jìn)行提升，產(chǎn)品要能使用戶(hù)快速入手，并且從威脅發(fā)現(xiàn)到如何處理能讓用戶(hù)快速理解和反應(yīng)，而不是讓用戶(hù)去考慮如何處理，甚至無(wú)從下手。其次，NGFW集成了更多的應(yīng)用層安全防護(hù)，如果廠(chǎng)商不踏踏實(shí)實(shí)地做好安全威脅防護(hù)，一旦用戶(hù)信賴(lài)了產(chǎn)品，反而威脅會(huì)很容易進(jìn)入到用戶(hù)的網(wǎng)絡(luò)環(huán)境，那么后果和損失將不可估量。因此NGFW產(chǎn)品很大程度上要求安全廠(chǎng)商對(duì)技術(shù)不僅要踏踏實(shí)實(shí)做事，同時(shí)要追求精益求精。

殷浩也認(rèn)為，目前市場(chǎng)上通用的NGFW確實(shí)已經(jīng)解決了目前主流的安全威脅問(wèn)題，但這還是遠(yuǎn)遠(yuǎn)不夠的，安全一定不是百分百的。NGFW應(yīng)該具備雙向檢測(cè)的能力，從攻擊結(jié)果的角度出發(fā)，檢測(cè)服務(wù)器外發(fā)的流量是否符合業(yè)務(wù)的合規(guī)性。另外，在產(chǎn)品的使用體驗(yàn)方面應(yīng)用有更多智能的手段，讓管理員能夠更直觀、更簡(jiǎn)單地發(fā)現(xiàn)業(yè)務(wù)風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)進(jìn)行有效處理。

徐洪濤則認(rèn)為，NGFW或者說(shuō)下一代的安全平臺(tái)，必然需要隨著下一代網(wǎng)絡(luò)和下一代應(yīng)用的發(fā)展做出改變，而下一代網(wǎng)絡(luò)發(fā)展的趨勢(shì)是終端的移動(dòng)化、服務(wù)的云化、威脅的零日化。目前來(lái)看一般廠(chǎng)商的下一代防火墻主要是在用戶(hù)的身份控制和應(yīng)用的控制上做了相應(yīng)的增強(qiáng)，而對(duì)真正的威脅控制，以及云架構(gòu)的安全防護(hù)上并沒(méi)有一個(gè)跨越性的改變。因此，下一代防火墻應(yīng)該更多地在零日威脅防御BYOD終端接入，以及云數(shù)據(jù)中心的防護(hù)上再下些功夫。

不久前，筆者有幸獨(dú)家專(zhuān)訪(fǎng)了Palo Alto 公司產(chǎn)品市場(chǎng)總監(jiān)Chris King，在訪(fǎng)談中也問(wèn)及了他認(rèn)為下一代防火墻會(huì)有怎樣的發(fā)展。Chris表示，NGFW的未來(lái)是將NGFW 使用到更多的地方。防火墻一開(kāi)始部署在互聯(lián)網(wǎng)網(wǎng)關(guān)，然后一步步擴(kuò)展到 分支機(jī)構(gòu)和數(shù)據(jù)中心等地方，Palo Alto的發(fā)展也是遵循這個(gè)路線(xiàn)?，F(xiàn)在其設(shè)備已經(jīng)部署在了數(shù)據(jù)中心和分支機(jī)構(gòu)，并且還在大型企業(yè)中用來(lái)保護(hù)員工移動(dòng)設(shè)備的安全。因此NGFW的發(fā)展方向?qū)⑹窃诟鱾€(gè)節(jié)點(diǎn)上取代傳統(tǒng)防火墻。

而Palo Alto公司大中華區(qū)技術(shù)經(jīng)理Jones Leung則向筆者表示，越來(lái)越多的廠(chǎng)商開(kāi)始向客戶(hù)提供下一代防火墻解決方案，但是許多產(chǎn)品還是需要進(jìn)一步提升才行。首先，應(yīng)用感知應(yīng)當(dāng)作為基本元素被集成到解決方案當(dāng)中。很多供應(yīng)商都在努力利用附加方式將其添加到現(xiàn)有方案當(dāng)中，而這將導(dǎo)致用戶(hù)無(wú)法將應(yīng)用程序作為安全策略的一環(huán)加以利用，最終危害應(yīng)用的安全運(yùn)行。此外，這種做法還使應(yīng)用程序無(wú)法作為如IPS及反惡意軟件掃描等安全功能的觸發(fā)變量。不過(guò)很多供應(yīng)商仍然在利用四層式信息作為安全策略。其次，由于采用附加式方案，大多數(shù)供應(yīng)商只能以較差的性能表現(xiàn)提供一部分NGFW相關(guān)功能，很多供應(yīng)商甚至拒絕公布附加應(yīng)用控制功能啟用后的性能參數(shù)。最后，許多供應(yīng)商只把注意力放在向現(xiàn)有方案添加應(yīng)用控制功能上，而忽視了應(yīng)對(duì)新安全威脅的創(chuàng)新型措施。一套NGFW解決方案應(yīng)當(dāng)始終擁有立即應(yīng)對(duì)新挑戰(zhàn)、新威脅的能力。

然而在另一方面，用戶(hù)也需要保持理性，不能盲目認(rèn)為下一代防火墻就各方面均優(yōu)于傳統(tǒng)防火墻。賽道安全論壇創(chuàng)辦人隨之感言，在賽道安全論壇排位首頁(yè)的老牌防火墻廠(chǎng)商如思科、Check Point、Juniper、Fortinet、WatchGuard、Dell Sonicwall，沒(méi)有哪個(gè)會(huì)說(shuō)自己是上一代防火墻，他們各自基于深厚的傳統(tǒng)與時(shí)俱進(jìn)，某種程度上功能和性能均高于下一代防火墻。Palo Alto的創(chuàng)新在于融合深度包檢測(cè)技術(shù)，提升防火墻實(shí)現(xiàn)從IP到ID的可視化控制，以及可預(yù)期的性能，而不是聯(lián)動(dòng)、云策略、虛擬化的花頭。

誠(chéng)然，性能降低令人煩惱，防護(hù)不佳又讓人不安，是用性能換安全還是同步提升是一個(gè)永遠(yuǎn)的問(wèn)題。

在選擇下一代防火墻產(chǎn)品的時(shí)候須要注意以下三點(diǎn)：

1. 防火墻部署位置，服務(wù)器側(cè)選云火墻防攻擊要性能為上，企業(yè)出口選防火墻留心界面的可視操控感受;

2. 防火墻廠(chǎng)商的原始技術(shù)積累。其主要賣(mài)點(diǎn)是否與自己實(shí)際需求匹配，軟硬資源有限，有這個(gè)功能不等于這個(gè)功能性能可用;

3. 產(chǎn)品服務(wù)提供商是否有專(zhuān)業(yè)性。是在大談?dòng)布軜?gòu)、政策法規(guī)還是針對(duì)安全威脅設(shè)計(jì)具體策略，讓硬盒子真正實(shí)現(xiàn)廠(chǎng)家在銷(xiāo)售時(shí)曾經(jīng)許諾的價(jià)值，還是要看專(zhuān)業(yè)經(jīng)驗(yàn)與應(yīng)用能力。

下一代防火墻如同下一代互聯(lián)網(wǎng)一樣，是現(xiàn)在進(jìn)行時(shí)，是一個(gè)不斷推進(jìn)的過(guò)程。“產(chǎn)品趨向完美，服務(wù)無(wú)法拒絕;技術(shù)穩(wěn)步提升，設(shè)計(jì)妙不可言”。這是做產(chǎn)品的愿景。常言道：選擇有風(fēng)險(xiǎn)，用戶(hù)須謹(jǐn)慎。祝各位好運(yùn)。