前幾天一個高校老師來電話，提到在即將進行的網(wǎng)絡出口改造項目中，不少安全廠商開始引導他關注NGFW。然后老師自己對NGFW發(fā)表了一通看法，總結完其實就是一句話：不能做應用識別、線速、引流的防火墻不是好路由器。

大量惡意軟件不能被檢測到

這句話至少說明了兩個問題：第一，老師的需求，就是字面上的意思；第二，用戶有自己的評估方式，任你廠商包裝得如何花團錦簇，用戶只從自身需求的角度看產(chǎn)品。在價格合理的前提下，產(chǎn)品對用戶需求的滿足度越高，用戶的接受程度（至少是興趣）自然也就越高。

請大家一起看看在業(yè)務模型的角度，用戶是不是能接受NGFW。

先圈定范圍。Gartner認為NGFW的潛在用戶是Enterprise，本土化的翻譯叫做行業(yè)用戶。運營商可以算作一類行業(yè)用戶，但中小企業(yè)不行，其需求和資金投入決定了NGFW不是它們的菜。

然后來看應用場景。目前NGFW的應用場景主要分兩大類，一類是以南北向流量為主的互聯(lián)網(wǎng)出口，另一類是以東西向流量為主的數(shù)據(jù)中心（特指以虛擬化技術為基礎的大型數(shù)據(jù)中心）。這基本等同于傳統(tǒng)防火墻的應用場景，所以Gartner一直把NGFW的數(shù)據(jù)放到EnterpriseFirewall里合并統(tǒng)計。

互聯(lián)網(wǎng)出口——運營商、教育和IDC

雖然所有行業(yè)用戶都會有自己的互聯(lián)網(wǎng)出口，但其需求卻有很大差異。如果是帶有運營性質(zhì)的網(wǎng)絡，運營者不必對安全負責，所以此類用戶對邊緣網(wǎng)關的需求主要體現(xiàn)在網(wǎng)絡層面。

先看運營商。城域網(wǎng)及以上層面基本沒有安全網(wǎng)關的位置，除非IPv4地址不夠，才會考慮引入安全產(chǎn)品做NAT（4/4、4/6）。這點需求，傻快傻快的傳統(tǒng)防火墻顯然更合適。對二三線運營商和小區(qū)寬帶來說，NAT（4/4及審計）、多鏈路負載均衡、流控、基于應用的引流是剛需，NGFW比傳統(tǒng)防火墻有優(yōu)勢，但對愈發(fā)強大的專業(yè)流控產(chǎn)品來說可能稍顯劣勢。

再看教育行業(yè)。高校網(wǎng)絡中心或市、區(qū)級信息中心其實等同于中小運營商，對邊緣網(wǎng)關的剛需自然也大同小異——NAT（4/4、4/6及審計）、多鏈路負載均衡、流控、基于應用的引流。不過他們多少要考慮安全問題，否則出了事頭疼的還是自己，所以對IPS、AV都有比較明顯的需求（不過不是剛需）。此外，教育行業(yè)用戶對審計的需求相當強，不少用戶在交流中都提到過關鍵字級別的過濾與審計（剛需）。如果能在合理的價格區(qū)間內(nèi)，在性能滿足需求的前提下提供有效的安全保障，并且有足夠強的審計功能，NGFW會體現(xiàn)出一些優(yōu)勢。

最后提一下IDC，因為它有運營性質(zhì)，理論上安全也不是剛需。不過現(xiàn)在IDC運營者必須考慮DDoS攻擊防范，NGFW目前只能做在線式的抗DDoS，無法從根本上解決問題，很難得到用戶信任。至于安全服務化、增值化，國內(nèi)IDC業(yè)者似乎很早以前就開始推，但一直也沒形成氣候。

互聯(lián)網(wǎng)出口——其他行業(yè)

除了運營商、教育和IDC，其他行業(yè)用戶的互聯(lián)網(wǎng)出口對安全網(wǎng)關的需求又有所不同，應該說更關注安全。

除了NAT（4/4及審計）、多鏈路負載均衡、流控和基于應用的引流，VPN也成為剛需的一部分。這類用戶對IPS和AV的需求更加旺盛，但仍構不成剛需。此外，雖然一些NGFW產(chǎn)品已經(jīng)具有一定的上網(wǎng)行為管理和DLP功能，但對于大型行業(yè)用戶來說仍不夠?qū)I(yè)，因此難以取代單獨功能的設備。

不過，部分用戶在交流中也坦言被NGFW的一些新特性所吸引，產(chǎn)生了摸著石頭過河的意愿。比如健全的用戶身份系統(tǒng)，能讓配置和運維更簡單高效，報表功能更強大全面。再比如最基礎的應用識別功能，有讓管理運維思路走向白名單化的趨勢，如果識別率夠高、誤識別率夠低，無疑能讓網(wǎng)絡運行效率更高，也更安全。

在許多行業(yè)專網(wǎng)中，安全網(wǎng)關本身就已經(jīng)有取代路由器的趨勢。如果NGFW在動態(tài)路由方面支持比較完善，那么對于傳統(tǒng)防火墻和路由器來說更具競爭力。這個市場很大，有待國內(nèi)安全廠商充分挖掘。

最后，NGFW對于此類用戶還有一個比較現(xiàn)實的問題，就是管理權的歸屬。這個問題處理不好，恐怕會對NGFW的普及造成負面影響。剛剛又有用戶和筆者討論過這個問題，他們集團之前采購了上網(wǎng)行為管理設備做流控和審計，但安全運維部門和網(wǎng)絡運維部門在設備的管理權上產(chǎn)生糾紛，最后只用它來做審計，同時又采購了一臺流控設備交給網(wǎng)絡運維部門使用，完全就是重復浪費。安全功能的集成化是大勢，用戶的IT組織架構必須適應這種融合的趨勢，進行適當?shù)恼{(diào)整。

數(shù)據(jù)中心

說完行業(yè)，再來看數(shù)據(jù)中心。對于以東西向流量為主的大型數(shù)據(jù)中心而言，安全防護的重點在內(nèi)部。出口也不是不重要，但最多當做一個獨立的安全域去看待就夠了。其對安全網(wǎng)關的剛需比起互聯(lián)網(wǎng)出口有了不小的變化，主要包括2-4層訪問控制、服務器負載均衡、IPS和WAF/防篡改。

寫到這里不由感嘆，深圳某公司的眼光真毒，其類NGFW產(chǎn)品應該也是國內(nèi)銷售額最高的，應該給產(chǎn)品規(guī)劃人員加薪。

NGFW的一個切入點在于應用識別和基于應用的白名單控制，這雖然還不算剛需，但可以給數(shù)據(jù)中心的安全保障提供額外的技術手段。海外已經(jīng)有了比較成熟的部署模型，甚至進入到行業(yè)規(guī)范；國內(nèi)也有行業(yè)用戶開始嘗試，思路在之前大連電子政務外網(wǎng)的案例中有過詳細闡述。

不過，對于NGFW在數(shù)據(jù)中心內(nèi)部的應用，目前運營者還不是很看好。其實，大部分運營者對數(shù)據(jù)中心內(nèi)部安全防護尚無清晰的解決思路，流量到底是牽出來給一個高大強的設備處理，還是通過VM版本的安全設備處理，還沒有個主流意見。但流量不管是遷出還是在內(nèi)部消化，現(xiàn)有NGFW產(chǎn)品都面臨性能和成本方面的瓶頸。像BTAS麾下的商業(yè)數(shù)據(jù)中心，內(nèi)部流量動輒百G起步，NGFW的部署成本太高，方案也太復雜。

數(shù)據(jù)中心出口面臨的另一個嚴重的安全威脅是DDoS，剛才分析IDC的時候已經(jīng)說了，目前的NGFW產(chǎn)品很難贏得用戶信任。

對于VM形式交付的NGFW方案，未來倒是值得謹慎看好。大型行業(yè)用戶如果將業(yè)務從本地向云端（尤其是公有云）遷移，多樣化的安全需求只能靠自己解決。在這方面，行業(yè)巨擘已經(jīng)給出了非常全面的方案。

總結：高舉低打才能成就NGFW

基本上把行業(yè)用戶的主要需求總結了一遍，NGFW能否被用戶接受，人人心里都應該有數(shù)了。

可以看到，未來NGFW的主戰(zhàn)場還是以南北向流量為主的互聯(lián)網(wǎng)出口，用戶長期以來的剛性需求其實就是高性能NAT，這也是大部分場景中傳統(tǒng)防火墻能取代路由器的主要原因。今天，殘酷的現(xiàn)實令應用識別、流控和基于應用的引流成為新的剛需，善于此道的NGFW也就有了足夠的群眾基礎，甚至讓業(yè)界產(chǎn)生了“下一代的精髓就是流控”的判斷。

這絕對是中國特色。海外用戶普遍認為IPS及智能聯(lián)動才是NGFW的精髓，國內(nèi)用戶卻把優(yōu)先級排到應用識別、流控和基于應用的引流后面。想在國內(nèi)市場有所斬獲的NGFW廠商，除了必須充分認識到這一點、在功能上有所側重外，行銷上還要高舉低打，直擊用戶痛點。不過，縱觀目前市售NGFW產(chǎn)品，能做到這一步的還不多。在專業(yè)流控產(chǎn)品和單一功能安全產(chǎn)品的夾擊下，NGFW的普及之路仍然漫長。