根據Gartner的調查數據，目前有超過75%的安全攻擊都是針對各類應用的，而不是系統底層和網絡。下一代防火墻關注的重點正是應用層的安全，作為緊跟時代潮流的一款安全產品，它在企業的應用現狀如何?企業如何選型NGFW?企業對于下一代防火墻更多的期待是什么?為此，我們采訪了綠盟科技產品推廣經理黃海，由他來和我們分享下一代防火墻相關的話題。

▲綠盟科技產品推廣經理黃海

 下一代防火墻發展趨勢及需求

目前，國內外的下一代防火墻的發展非常迅速，大部分安全廠商都發布了下一代防火墻產品，甚至包括一些在傳統防火墻領域里的絕對領導者都在推下一代防火墻。而作為下一代防火墻的首創者PaloAlto更是快速的在Gartner魔力四象限里成為了企業防火墻市場的領導者。但從國內實際接受程度上看，下一代防火墻想替代傳統防火墻還需要進行較多的市場投入。黃海表示，“讓客戶認識到下一代防火墻是能夠給現有的安全管理帶來改變是需要時間和金錢的。尤其是，中國市場相對海外可能會更加保守，市場化的完善程度也稍差，這些原因會導致下一代防火墻所蘊含的新理念和新技術在推行方面遇到更多障礙和阻力。”

黃海繼續談到，目前，從企業用戶的需求來看，不斷增長的下一代防火墻需求，反應出的是當前企業用戶對高性價比的基礎網絡安全功能的需求。隨著安全技術的進步和黑客文化的流行在不斷的演變，十年前說到基礎網絡安全功能，很多企業客戶想到的就是傳統防火墻，能夠劃分安全域，能進行訪問控制就行。但是近幾年應用、僵尸網絡、蠕蟲、木馬、APT攻擊的泛濫都在不斷的給很多企業客戶敲響警鐘，企業必須部署IPS和內容級安全設備來增加整個網絡系統的安全防護和管控能力。但專業的IPS設備與傳統防火墻設備相比可謂要價不菲，如果真的升級網絡安全系統的話，對企業來說，它的資金消耗是非常龐大的。所以這個時候就需要有性價比更為優越的安全設備出現來解決企業客戶在資金和安全需求之間的矛盾關系。所以下一代防火墻這個時候出現。

一款優秀的下一代防火墻應包括哪些內容?

黃海介紹說，首先要有優秀的應用層性能，這是衡量一款下一代防火墻設備好壞的關鍵;其次要有強大的入侵防護能力，入侵防護功能是是幫助企業客戶免于蠕蟲、木馬等入侵技術的主要手段;再次需要一套能夠快速更新的應用及內容識別系統，這是當前幫助企業客戶應對應用泛濫和員工上網行為混亂的重要功能。

而下一代防火墻給用戶帶來最大的好處就是高性價比的基礎網絡安全功能。下一代防火墻在一臺設備里面集成了傳統防火墻、IPS、應用識別、內容過濾等功能既降低了整體網絡安全系統的采購投入，又減去了多臺設備接入網絡帶來的部署成本，還通過應用識別和用戶管理等技術降低了管理人員的維護和管理成本。

下一代防火墻選型怎樣做?

黃海談到，“下一代防火墻選型最主要是要關注應用層性能，因為前面也提到了這是下一代防火墻產品的最大的價值，也決定了產品性價比。”目前，業界主要的應用性能測試主要是realworld流量測試方式，它是通過測試儀來模擬現實網絡應用環境的一種測試技術，可以較好的來檢驗一臺設備的應用層性能。

其次，要看產品在各個功能上完善程度，這一方面可以通過測試來驗證，另一方面，為了避免麻煩可以通過調研廠家在各個功能上的積累來檢驗。

另外需要額外注意的一點是，很多企業客戶在采購下一代防火墻的時候很有可能又會落入UTM設備的怪圈，因為安全功能的多少和性能高低之間基本上是一個反比的關系，現在很多功能眾多的下一代防火墻實際上很UTM設備之間差異并不明顯，真正將性能聚焦到重要的安全功能上才是一臺好的下一代防火墻設備。

下一代防火墻未來發展趨勢

從市場方面看，下一代防火墻產品會逐漸的替代傳統防火墻，這種趨勢一方面是由企業用戶的需求所驅動，另外一方面也由廠家的技術發展來驅動。黃海表示，隨著下一代防火墻替代傳統防火墻的趨勢越發明顯，很多安全廠家都會主動將傳統防火墻設備轉型為下一代防火墻，這樣傳統防火墻會逐漸退出市場，可以使得下一代防火墻可以進入很多沒有明確下一代防火墻需求的場景，比如內網隔離，這也就加速了整個行業趨勢的發展。

從技術方面看，云是一種安全設備的普遍發展趨勢，下一代防火墻也會逐漸的與云技術進行結合，比如基于云的檢測技術，基于云平臺的管理和維護，基于云和大數據的整網分析報告等等一系列技術都將是未來的行業發展方向。

另外一種技術趨勢就是如何和NGIPS等全新下一代安全體系進行結合，這里會有多種技術發展方向，比如協同管理、威脅識別、下一代入侵分析等。