互聯網的普及，云計算的浪潮，讓我們越來越離不開網絡環境。這種依賴，讓網絡犯罪分子們看到了巨大的機會，有針對性的攻擊越來越多，網絡安全形勢嚴峻。其中最為嚴重的是WEB應用安全問題。現在的攻擊超過75%甚至80%以上都是針對WEB應用的。黑客一般要攻擊一個網站，目的不再是剛開始的炫耀，而是為了獲取信息、獲取利益，這種攻擊行為通常是來無影、去無蹤的。目前，防火墻仍是很多企業最重要的安全設備之一。但隨著新型威脅造成的危害日益嚴重，傳統防火墻越來越力不從心，下一代防火墻順勢而來。

自Gartner在2009年提出了“下一代防火墻”概念，眾多國內外廠商都推出了各自的下一代防火墻產品，但是各家的下一代防火墻均有各自的特色，標準的不統一讓我們對下一代防火墻充滿疑惑，究竟什么才是下一代防火墻？為什么下一代防火墻最適合企業安全架構？下一代防火墻未來發展趨勢如何？帶著這些問題，讓我們來看看業界各方的觀點吧！

深信服殷浩：“NGFW給客戶帶來的一個核心價值就是一體化防護，如果還需要補充WAF、DLP設備，那就是失去NGFW的意義。”

▲深信服市場行銷部技術總監殷浩

殷浩首先介紹了深信服下一代防火墻目前發展的情況，“作為國內首家發布下一代防火墻的廠商，我們看到在2012年下一代防火墻一體化防護的理念在市場上被更廣泛的接納。首先，2012年選擇了深信服NGAF的客戶是2011年數量的400%，其中不乏行業領袖客戶，包括45家國家部委省廳級單位、25家運營商金融客戶、30家大型企業集團等。其次，也有不少傳統安全廠商也緊跟深信服的步伐，推出了下一代防火墻。”

“展望2013年，雖然2012年NGFW的概念很火，但是還需要結合“中國特色”進行本土化，才能完全被國內用戶接受和認可。”殷浩這樣談到，類似的安全產品都有類似的一個過程，比如很多國際咨詢機構定義的“Security Web Gateway”產品，到國內就演進成為了上網行為管理。因此，在深信服的NGAF經歷了數千家客戶實際網絡環境的實戰后，我們認為，NGFW還需要關注如下兩個方面的用戶需求：

1、Web應用安全的保護：隨著用戶應用在大量向互聯網Web遷移，Web應用成為了高安全風險所在。而NGFW的定義更多事強調網絡層FW和IPS、AC等底層系統的保護。

2、數據內容的安全保護：2012年底通過的“網絡信息保護”決定，說明了當前內容數據安全的重要性。而NGFW更多強調的是防護來自外部的攻擊，缺乏針對由內向外發送的敏感數據檢測、過濾。

“NGFW給客戶帶來的一個核心價值就是一體化防護，如果還需要補充WAF、DLP設備，那就是失去NGFW的意義。”殷浩介紹到，深信服的NGAF在NGFW的基礎上還增加了強化的Web安全保護、雙向內容檢測，可以更好的幫助用戶解決在互聯網出口、Web服務器、數據中心、廣域網等業務場景下的安全防護問題，從而實現了真正的一體化、應用高性能防護解決方案。

網康科技NGFW產品經理陳天航：“下一代防火墻要能夠解決好當前的新威脅，就需要在兩個技術上要有持續性的發展，一個是應用的細粒度識別和洞察能力，另一個是利用云技術平臺來防御新型的木馬、蠕蟲和僵尸網絡等威脅。”

▲網康科技NGFW產品經理陳天航

下一代防火墻已經成為今年最具熱點的安全產品之一，那么談起下一代防火墻的發展趨勢，就不得不先說說現代威脅的變化，近年來的新型安全威脅傳播渠道變得越來越隱蔽，威脅程序的構建也更加智能化，黑客更具有組織性和目標性，比如利用普遍性的社交網絡來傳播蠕蟲、木馬和僵尸網絡，黑客們因商業利益而進行目標性的威脅攻擊和信息竊取等，傳統防火墻或安全設備已經無法有效發現和阻止這些威脅。換句話說，下一代防火墻的出現就是能夠且持續解決好下一代威脅的網絡核心設備。

陳天航談到下一代防火墻要能夠解決好當前的新威脅，就需要在兩個技術上要有持續性的發展，“一是應用的細粒度識別和洞察能力，目的是為了企業在正常業務需求下減少新威脅通過應用傳播的途徑，具體表現在能夠有效并持續的對WEB2.0的應用程序進行細粒度識別和對有逃逸性的應用程序進行洞察，比如代理應用識別和SSL隧道解密。另一個是利用云技術平臺來防御新型的木馬、蠕蟲和僵尸網絡等威脅，這是因為當今威脅的變種越來越頻繁和智能化(比如變種木馬和僵尸網絡的自更新)，只有利用云技術的高計算能力和大數據存儲優點，才能夠保證實時且全面有效的對大量威脅文件進行搜索匹配識別，同時還大幅度降低網絡設備的計算消耗；另外，還可以利用云技術平臺來發現新威脅文件，并能夠讓加入安全云內的設備都可以實時享有對新威脅文件的防御能力。”

資深安全顧問張百川(網絡ID：網路游俠)：“說到下一代防火墻，其實在2011年我在微博中說到過：NGFW沒有任何新的功能出現，所有的功能都是此前有過的功能。而NGFW的重點，則應放在提升用戶網絡效率和價值上。”

▲資深安全顧問張百川

作為業界知名的安全人士，張百川首先分析到，目前網絡安全廠商宣傳NGFW多數都是從性能、功能兩個方面來進行。而僅是在這兩方面張百川也提出了質疑，“性能方面，高端的傳統防火墻、UTM都可以跑到400G以上，而不知NGFW有幾臺可以跑到這個數值？其次NGFW如果開了防病毒、應用層過濾、VPN、IPS模塊(實際上，UTM里面都有)，性能損耗多少？到目前沒有一個NGFW廠家公開這個數據。在功能方面，NGFW一直都宣稱面向應用層，但是其實很多廠家的防火墻、UTM早就包含了應用層過濾。”

“從廠家團隊來看，推廣NGFW的多數是新興廠家，且多數在傳統防火墻、IDS/IPS、VPN、UTM市場中做的并不算好，而在細分領域，如：上網行為管理、網絡流量控制等應用層產品市場做的不錯，在這樣的情況下，炒作一個新概念，并將其包裝的更洋氣、更拉風，讓用戶感覺‘下一代’更NB，成了很多新型廠家的目標。”

“以上說了不少NGFW的負面，其實NGFW對用戶而言還是非常有用，否則廠家也無法進行有效包裝，比如：通過應用層識別，NGFW可以有效識別網絡中的各種流量，有效控制非業務流量，保證視頻會議、ERP等辦公帶寬，有效提升網絡的利用效率。”張百川最后這樣談到，UTM的重點此前都著重強調更全面、更安全，而NGFW的重點放在提升用戶網絡效率和價值上。

第三方獨立測試、分析、咨詢機構格物資訊的創始人韓勖(網絡ID：學生小韓)：“面對錯綜復雜的互聯網應用發展趨勢，NGFW必須更智能、更精準，才能讓用戶更省心、更安全。”

▲第三方獨立測試、分析、咨詢機構格物資訊的創始人韓勖

我坦白現在已經看不懂NGFW了，并且最近一直為此感到困惑。正好有機會向PaloAlto Networks的毛總請教了兩個問題：1、在產品層面UTM和NGFW到底有啥不同？2、貴司如何用簡單易懂的方式告訴用戶NGFW的作用？

毛總是這樣回答的：

NGFW和UTM所面對的問題是一樣的，但體系結構使它們在有效性、可用性和可管理性上的表現大不一樣。UTM要趕上，必須做很大改進來滿足Gartner對NGFW的要求。NGFW在功能細粒度和深度上的要求是明顯高于UTM產品的。舉個例子，用戶使用Google Service，入口是Gmail，那UTM通常只識別成WebMail-Gmail，后續的安全防護手段也隨之確定。但在實際應用中，同一個連接承載的業務是不唯一的，也許Gmail轉變成Gtalk，然后又變成共享應用，需要對應到不同的安全防護手段。所以現實要求應用識別不能基于一個點，必須時時刻刻都在進行，否則會在管理和安全防護方面留下漏洞。而這，只有NGFW才能做到。

我個人比較認同這個解讀。面對錯綜復雜的互聯網應用發展趨勢，NGFW必須更智能、更精準，才能讓用戶更省心、更安全。不過顯然不是所有號稱NGFW的產品都能做到這一點，有的甚至沒有滿足最基本的定義，讓用戶對NGFW印象不佳。毛總提到的這個應用場景很經典，也許用戶在評估NGFW的時候可以借鑒。

PaloAlto Networks對用戶的宣導方式很簡單，就是從業務而非產品本身入手。舉個例子，現在郵件安全的解決方案比較成熟，可以基于信譽，可以基于算法判別，也可以做病毒掃描等等，是多層立體的安全防護體系。PaloAlto Networks的NGFW產品做了拓展，能為用戶提供全業務的立體防護，可以讓用戶在Web瀏覽、即時通信、文件傳輸等主流應用中享受到與郵件一樣的全面安全防護。因為涉及到的業務場景多種多樣，不同的NGFW產品在細節上會體現出差異。

這個角度很有新意，從業務入手可以讓用戶少關注技術實現，多關注實用效果，把選型從攀比規格的怪圈中解放出來。以前總覺得NGFW比UTM多了應用識別和控制，對應到產品形態上就是加入應用防火墻或流控功能，卻沒想到DPI對安全業務的整體支撐。

梭子魚中國區技術支持總監賈玉彬：“高性能、簡單易用和易維護必將是下一代防火墻的未來發展趨勢；如果說還有一個發展趨勢那必然是網絡虛擬化，這項技術一定會出現在下一代防火墻中，因為將來的下一代防火墻可能還會有另外一個名字---軟件定義網關(SDG)。”

▲梭子魚中國區技術支持總監賈玉彬

從第一臺防火墻誕生到現在已有20多年的歷史，傳統網絡防火墻在信息安全尤其是網絡邊界安全領域占有非常重要地位。然而，信息技術發展尤如宇宙大爆炸一樣迅速，新技術新應用層出不窮，如今信息技術已普遍應用人們日常工作與生活方方面面。

信息安全也越來越受到重視，然而傳統的網絡防火墻能否滿足這種快速發展的需要呢？傳統的網絡防火墻工作在ISO模型的第3、4層，已經不能適應信息技術及互聯網的發展需要，因為越來越多的應用工作在第7層，因此安全問題也第7層上也要引起高度重視。

綜上所述，下一代防火墻的誕生將接替傳統網絡防火墻繼續捍衛網絡安全。因此在新建網絡中下一代防火墻將大量出現，也會更新淘汰掉原有的傳統網絡防火墻。賈玉彬表示，可想而之這個市場是非常龐大的。

談及NGFW的未來發展趨勢，賈玉彬表達了自己的觀點：“隨著下一代防火墻所要處理的安全事務越來越多，系統越來越復雜，高性能、簡單易用和易維護必將是一個發展趨勢；另外如何管理這些下一代防火墻呢？答案是集中管理和統一安全策略；如果說還有一個發展趨勢那必然是網絡虛擬化，這項技術一定會出現在下一代防火墻中，因為將來的下一代防火墻可能還會有另外一個名字---軟件定義網關(SDG)。”

天融信網關產品線推廣經理馬騰輝：“NGFW必須具有強大的性能和不斷增加的吞吐量，同時具有基于用戶防護、面向應用安全、高效轉發平臺、多層級冗余架構、全方位可視化及安全技術融合等特性。”

▲天融信網關產品線推廣經理馬騰輝

在以“云計算”、“WEB2.0”及“移動互聯”等一系列新應用技術被廣泛使用的今天，層出不窮的應用種類以及不斷變化的應用形式，使新的安全風險也在持續產生并時刻威脅著我們的網絡。于是，用戶對傳統邊界安全防護手段防火墻技術提出了更高的要求。為了應對日益增長的惡意威脅并防止入侵，下一代防火墻必須具有強大的性能和不斷增加的吞吐量，同時提供extra-intelligence。

馬騰輝認為：如果站在用戶業務與應用角度去研發產品，那么下一代防火墻NGFW應該具有“基于用戶防護”、“面向應用安全”、“高效轉發平臺”、“多層級冗余架構”、“全方位可視化”及“安全技術融合”等特性。