Gartner正式提出下一代防火墻（NGFW）概念已有4年。在這4年間，無論是IT應(yīng)用環(huán)境、用戶需求，還是安全廠商戰(zhàn)略，都發(fā)生著巨大的改變。下一代防火墻的發(fā)展，正是在各種力量的綜合作用下，在爭(zhēng)議中前行。而廠商們對(duì)下一代防火墻這塊領(lǐng)地的爭(zhēng)奪，也從最初的搶速度逐步進(jìn)入拼實(shí)力的新時(shí)代。未來，誰(shuí)將執(zhí)NGFW之牛耳？恐怕終究還是要拿實(shí)力來說話。

NGFW仍挑戰(zhàn)重重

自Gartner提出下一代防火墻概念以來，國(guó)內(nèi)外各大安全廠商都從不同角度進(jìn)入了這一領(lǐng)域。但I(xiàn)T產(chǎn)業(yè)的巨大變革及隨之而來的用戶需求變化，讓NGFW面臨著新的巨大挑戰(zhàn)。目前，市面上已有的NGFW產(chǎn)品良莠不齊，有的甚至被業(yè)界認(rèn)為算不上嚴(yán)格意義上的NGFW產(chǎn)品，而一些能稱之為NGFW的產(chǎn)品離用戶的實(shí)際需求也還有一定差距。

從Gartner的定義看，下一代防火墻產(chǎn)品有四個(gè)必備功能屬性：傳統(tǒng)防火墻所有功能（如基于連接狀態(tài)的訪問控制、NAT、VPN等）；支持與防火墻自動(dòng)聯(lián)動(dòng)的集成化IPS（而非簡(jiǎn)單的功能疊加）；應(yīng)用識(shí)別、控制與可視化；智能化聯(lián)動(dòng)。NGFW概念已經(jīng)過4年的市場(chǎng)洗禮，目前，業(yè)界對(duì)這一產(chǎn)品形態(tài)達(dá)成了基本的共識(shí)：與之前的高端防火墻、UTM不同，下一代防火墻應(yīng)該是對(duì)傳統(tǒng)防火墻的全面替代，它是基于新威脅、新應(yīng)用環(huán)境、新應(yīng)用習(xí)慣和新安全模式的全新安全產(chǎn)品，其管理邏輯和理念都有所改變，而非只是在傳統(tǒng)防火墻增加部分新功能。與此同時(shí)，它還需要通過硬件和軟件的設(shè)計(jì)來提高自身性能，使之與越來越高的業(yè)務(wù)需求相匹配，在威脅防御能力全部開啟后，性能不出現(xiàn)大幅下滑，以確?？捎眯浴；诖?，市場(chǎng)上一些以NGFW冠名的產(chǎn)品被認(rèn)為算不上真正的NGFW，它們有的只是在傳統(tǒng)防火墻的基礎(chǔ)上加了些簡(jiǎn)單的應(yīng)用識(shí)別功能，有的NGFW產(chǎn)品應(yīng)用識(shí)別和管控能力較強(qiáng)，但在安全方面的積累不足，特別是開啟威脅防護(hù)后的性能顯著下降，變得基本不可用。

下一代防火墻概念提出已經(jīng)有4年，這4年中，IT環(huán)境發(fā)生了巨大的變革：社交化、移動(dòng)化、虛擬化、云化，讓移動(dòng)和web應(yīng)用成為安全的主戰(zhàn)場(chǎng)；黑客攻擊產(chǎn)業(yè)化使得攻擊活動(dòng)更密集，威脅環(huán)境更加險(xiǎn)惡；APT讓發(fā)現(xiàn)威脅所需的時(shí)間變得更長(zhǎng)，惡意行為難以發(fā)現(xiàn)。4年間，用戶需求也發(fā)生了改變，他們對(duì)NGFW的訴求普遍集中在以下問題：希望NGFW產(chǎn)品集中較多功能；希望能簡(jiǎn)化NGFW的策略配置；希望NGFW產(chǎn)品有較強(qiáng)的應(yīng)用識(shí)別能力（本土化、細(xì)粒度）。NGFW由此面臨著新的挑戰(zhàn)：管控需要足夠精準(zhǔn)，并識(shí)別移動(dòng)互聯(lián)、云計(jì)算等帶來的新應(yīng)用風(fēng)險(xiǎn)，解決新IT環(huán)境下邊界失效問題；管理需要足夠簡(jiǎn)單，因?yàn)镹GFW增加了很多管控維度，管理配置的復(fù)雜度成倍提升；新威脅持續(xù)增長(zhǎng)，未知攻擊越來越多，面對(duì)組織化甚至國(guó)家化的黑客，防火墻需要做好網(wǎng)絡(luò)出口的“把門人”；NGFW在運(yùn)用新管控手段后，性能需要保持在一定水平，而不是開啟強(qiáng)制性防護(hù)后性能仍然像傳統(tǒng)UTM一樣下降很多，安全功能不能淪為擺設(shè)。

重新定義NGFW

面對(duì)日益險(xiǎn)惡的威脅環(huán)境及其對(duì)防火墻產(chǎn)品帶來的新挑戰(zhàn)，一些安全產(chǎn)品供應(yīng)商開始對(duì)下一代安全進(jìn)行了重新思考。

在企業(yè)級(jí)業(yè)務(wù)領(lǐng)域聚焦于ICT管道戰(zhàn)略的華為，安全業(yè)務(wù)也緊緊圍繞ICT管道來開展，其安全解決方案覆蓋了云數(shù)據(jù)中心安全、局域網(wǎng)和廣域網(wǎng)安全、移動(dòng)辦公安全等各個(gè)層面，在安全產(chǎn)品設(shè)計(jì)和規(guī)劃中已將各種應(yīng)用場(chǎng)景考慮在內(nèi)。而針對(duì)現(xiàn)有NGFW產(chǎn)品在管控精度、自動(dòng)化、威脅感知、防護(hù)性能各方面均存在不足的現(xiàn)狀，華為提出了全新的NGFW理念。

在華為看來，今天，NGFW需要細(xì)粒度管控，以適應(yīng)IT移動(dòng)化、虛擬化、社交化趨勢(shì)，除了感知應(yīng)用、用戶和內(nèi)容外，還需要感知位置、風(fēng)險(xiǎn)和設(shè)備；NGFW需要實(shí)現(xiàn)智能管理，提供新管控方式下的策略建議，以及安全風(fēng)險(xiǎn)的智能分析和處理建議；NGFW需要實(shí)現(xiàn)全面防護(hù)，不僅識(shí)別應(yīng)用還能識(shí)別應(yīng)用威脅，并具備未知威脅和APT的防御機(jī)制；NGFW還需要具備高性能，不僅有“防火墻+應(yīng)用識(shí)別”的基礎(chǔ)性能，而且在全威脅防護(hù)開啟時(shí)，性能下降不小于50%。

在細(xì)粒度管控方面，華為NGFW產(chǎn)品以"ACTUAL（App，Cantent，Time，User，Attack，Location）"全局環(huán)境感知為核心，將網(wǎng)絡(luò)環(huán)境轉(zhuǎn)換為具體的"應(yīng)用+內(nèi)容+時(shí)間+用戶+威脅+位置"的應(yīng)用層信息，可實(shí)現(xiàn)對(duì)移動(dòng)辦公、云計(jì)算等新環(huán)境下網(wǎng)絡(luò)邊界的感知，提供基于應(yīng)用層的精確訪問控制和動(dòng)態(tài)威脅防御。華為NGFW能識(shí)別6000種應(yīng)用，并可識(shí)別應(yīng)用中的威脅。在智能管理配置方面，華為NGFW產(chǎn)品能實(shí)現(xiàn)多維、多級(jí)配置，將6000多種應(yīng)用分為5大類、33個(gè)子類，并基于應(yīng)用子類快速部署；可實(shí)現(xiàn)策略主動(dòng)優(yōu)化，通過流量分析生成調(diào)優(yōu)建議，通過應(yīng)用風(fēng)險(xiǎn)分析生成防護(hù)動(dòng)作建議；還可實(shí)現(xiàn)策略冗余分析，進(jìn)行策略命中率統(tǒng)計(jì)。威脅防護(hù)方面，華為NGFW基于云實(shí)現(xiàn)了對(duì)未知威脅的防御，通過沙箱模擬運(yùn)行系統(tǒng)，生成云端特征庫(kù)和云端信譽(yù)庫(kù)，在此基礎(chǔ)上快速發(fā)現(xiàn)未知威脅。高性能方面，華為通過重新設(shè)計(jì)NGFW硬件和軟件引擎，IPS性能和全威脅防御性能均達(dá)到業(yè)界頂尖水平。

華為：不容小覷的NGFW新主角

9月初，華為將在首屆企業(yè)網(wǎng)絡(luò)大會(huì)（HENC）上正式推出全系列NGFW產(chǎn)品，包括10余款設(shè)備，能覆蓋1G-40G應(yīng)用層性能，20G全威脅防護(hù)性能。

從時(shí)間點(diǎn)看，華為正式推出NGFW產(chǎn)品相對(duì)其他國(guó)內(nèi)外安全廠商而言并不算早。但實(shí)際上，從防火墻的發(fā)展歷史看，華為一直是引領(lǐng)產(chǎn)業(yè)發(fā)展方向的角色。早在2008年，以華為為首的一些公司，通過自身硬件積累，采用專門的多核芯片，并采用分布式架構(gòu)將防火墻的性能大幅度提升，率先推出高端防火墻產(chǎn)品。當(dāng)時(shí)，離下一代防火墻概念的提出還有1年時(shí)間。

今年2月,Gartner發(fā)布2013年“企業(yè)防火墻魔術(shù)象限”,華為成為首位且唯一進(jìn)入該象限的中國(guó)廠商;今年7月,Gartner發(fā)布2013年“UTM魔術(shù)象限”，華為再次成為首位且唯一進(jìn)入該象限的中國(guó)廠商。這標(biāo)志著華為已經(jīng)成為全球防火墻&UTM市場(chǎng)的主流廠商。

那么，為何在NGFW概念出現(xiàn)4年后才正式推出NGFW？華為有自己的考慮。華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線防火墻及應(yīng)用網(wǎng)關(guān)領(lǐng)域營(yíng)銷經(jīng)理朱峰告訴記者，如果按照Gartner對(duì)NGFW的定義，華為在2011年就已經(jīng)擁有符合該定義的下一代防火墻產(chǎn)品，但華為認(rèn)為當(dāng)時(shí)該產(chǎn)品在客戶體驗(yàn)方面沒有達(dá)到目標(biāo)，還不足以從根本上解決用戶面臨的新問題。華為希望在NGFW產(chǎn)品中真正注入自己的實(shí)力后再正式發(fā)布，而不是為了迎合市場(chǎng)宣傳而倉(cāng)促推出。因此，華為對(duì)NGFW產(chǎn)品重新設(shè)計(jì)了硬件，改寫了軟件，并站在新的角度設(shè)計(jì)用戶體驗(yàn)。

在企業(yè)領(lǐng)域，要做就要做最好，做不到最好就不做。這在華為NGFW領(lǐng)域也同樣得到體現(xiàn)。作為一家以技術(shù)性為主導(dǎo)的公司，華為每年有10%的收入用于研發(fā)。這種與生俱來的技術(shù)創(chuàng)新基因也成為華為對(duì)NGFW底氣十足的有力支撐。華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全產(chǎn)品總經(jīng)理左文樹表示，為了讓NGFW產(chǎn)品在開啟威脅防御能力后不出現(xiàn)性能的大幅下滑，華為早在2009年就在全球范圍內(nèi)招募了頂級(jí)專家，專門研究并解決威脅防御全部開啟后的防火墻性能問題，在本質(zhì)上實(shí)現(xiàn)了關(guān)鍵的突破，為今后贏得市場(chǎng)奠定了堅(jiān)實(shí)的基礎(chǔ)。

看來，在今后的下一代防火墻競(jìng)爭(zhēng)中，光有速度還不夠，只有真正的實(shí)力派才能最終贏得用戶。