在2013華為企業(yè)網(wǎng)絡(luò)大會(huì)上，華為正式發(fā)布了華為的下一代防火墻產(chǎn)品(NGFW)。此次發(fā)布的全系列的NGFW產(chǎn)品一共有13款設(shè)備，覆蓋到1G-40G應(yīng)用層性能，擁有20G全威脅防護(hù)的性能。

[[86752]]

在2009年Gartner發(fā)布了一篇白皮書中，第一次提出了下一代防火墻的概念。在這以后的4年間，用戶需求也發(fā)生了改變，他們對(duì)NGFW的訴求普遍集中在以下問題：

第一，管控是否足夠精準(zhǔn)。如何識(shí)別最新的應(yīng)用、如何在應(yīng)用過程中識(shí)別風(fēng)險(xiǎn)、如何解決新IT環(huán)境下邊界失效的問題，重新建立起網(wǎng)絡(luò)邊界的有效管控，成為NGFW首要挑戰(zhàn)。

第二，管理是否足夠簡(jiǎn)單。下一代防火墻加了很多管控維度以后，管理配置的復(fù)雜度成倍提升，但是對(duì)于用戶來說，應(yīng)該做到越簡(jiǎn)單越好。

第三，可辨未知威脅。近幾年新威脅和新挑戰(zhàn)持續(xù)增加，特別是未知的攻擊越來越多，很多的攻擊行為非常隱蔽的，需要延時(shí)去檢測(cè)，要能夠?qū)π碌耐{做防護(hù)。

第四，性能是否足夠。有些產(chǎn)品一旦開啟強(qiáng)制性防護(hù)，性能急劇下降，基本不可用，NGFW在性能方面一定要有專門的測(cè)試辦法和門檻要求。

現(xiàn)在有些防火墻產(chǎn)品只是增加了一些簡(jiǎn)單的應(yīng)用識(shí)別，或者從流量管控的形態(tài)加上一些威脅防控能力就號(hào)稱為下一代防火墻，大多數(shù)還是為了迎合市場(chǎng)宣傳。根據(jù)Gartner的定義，下一代防火墻必須符合如下幾點(diǎn)要求，第一，應(yīng)該具備基本防火墻的功能，如NAT、VPN等，還有應(yīng)用識(shí)別能力，這個(gè)是NGFW的最核心的本質(zhì)特性;第二是要跟IPS深度的集成，不能是簡(jiǎn)單的功能疊加; 第三，Gartner還要求NGFW提供諸如智能聯(lián)動(dòng)和智能分析的一些輔助功能。另外下一代防火墻在設(shè)計(jì)之初主要應(yīng)用場(chǎng)景是大型企業(yè)的出口，主要面向的是中高端用戶。

華為認(rèn)為NGFW應(yīng)該從以下幾個(gè)方面做相應(yīng)的改進(jìn)：一是更細(xì)粒度的管控，匹配IT的移動(dòng)化、虛擬化、社交化，除了價(jià)值應(yīng)用、用戶和內(nèi)容外，還應(yīng)該感知位置、風(fēng)險(xiǎn)和設(shè)備等。二是智能管理，華為希望為NGFW提供一個(gè)新的管控手段，給使用者和管理者讓IT管理者可以更智能、更簡(jiǎn)潔的方法來使用下一代防火墻，并且能夠自動(dòng)識(shí)別網(wǎng)絡(luò)中的應(yīng)用、風(fēng)險(xiǎn)和問題，給出合理的意見和建議。三是全面防護(hù)，不僅識(shí)別應(yīng)用，還要識(shí)別應(yīng)用威脅、風(fēng)險(xiǎn)和未知威脅，并擁有ATP的防御技巧和手段。四是高性能體驗(yàn)，NGFW的基礎(chǔ)性能是防火墻加上應(yīng)用識(shí)別，開啟應(yīng)用識(shí)別后的FW性能，才能代表NGFW的基本性能。為了讓NGFW的各種威脅特性可用，全威脅防護(hù)開啟下的性能相對(duì)基礎(chǔ)性能，下降幅度不應(yīng)超過50%。

此外，和其他廠商的產(chǎn)品相比，華為NGFW產(chǎn)品有四個(gè)重大的優(yōu)勢(shì)：

一是提供最精準(zhǔn)的訪問控制，通過華為獨(dú)有的ACTUAL六維管控機(jī)制，可提供6000多種應(yīng)用識(shí)別和8500萬網(wǎng)頁過濾;

二是擁有最簡(jiǎn)單的管理配置，具有主動(dòng)流量學(xué)習(xí)和自動(dòng)策略建議功能，TCO降低可達(dá)30%;

三是最全面的威脅防護(hù)，采用了云和沙箱的防御和保護(hù)機(jī)制，達(dá)到應(yīng)用層全威脅防御和萬兆的流量監(jiān)控;

四的是通過重新設(shè)計(jì)的硬件和采用先進(jìn)的專用處理器，為用戶提供最高性能體驗(yàn)。