在幾年前，供應商稱他們能在一臺設備中提供多種安全功能（包括入侵防御系統功能和應用控制），隨后，我們看到了下一代防火墻開始崛起。

在對現在的下一代防火墻（NGFW）市場研究中，專家稱并不是每個NGFW都提供每家企業想要的功能，并且，在某些情況下，太多功能也可能并不是好事。

IT分析公司Gartner在4月份發布了企業網絡防火墻魔力象限報告，報告顯示，來自Check Point和Palo Alto公司的NGFW產品是當之無愧的市場領導者。而Fortinet、思科和瞻博網絡的NGFW設備都被Gartner評為挑戰者，同時十多家供應商被視為利基供應商。

Gartner公司研究副總裁同時也是防火墻魔力象限報告的作者之一Greg Young表示，Check Point和Palo Alto在眾多競爭對手中脫穎而出，因為他們提供廣泛的產品功能，并能夠在大規模企業環境有效地擴展，這是很多利基供應商存在的問題。

盡管有這些競爭優勢，但這些領先的NGFW也絕非十全十美。他指出，Check Point和Palo Alto的NGFW價格高昂，讓人難以接受，而且企業甚至不能充分利用其提供的所有安全功能。

舉例來說，在其魔力象限報告中，Gartner稱，大多數Check Point客戶只需要該供應商的軟件刀片訂閱服務就可以激活典型的NGFW功能，包括IPS、應用控制和用戶身份功能，但電子郵件安全和數據丟失防護等功能就無法選擇。

在很多情況下，Young表示，除了這兩個頂級供應商，一些鮮為人知的NGFW供應商通常可以提供更具成本效益的產品，這些產品僅提供企業需要的功能，讓企業根據其需求做出最好的選擇。

“沒有放之四海而皆準的產品，不同的產品適合不同的使用情況，”Young表示，“不要只關注頂級供應商，這就像你買車時，不應該只看哪個廠家生產的車最快。”

更多功能，更多問題

雖然有很多功能的NGFW對于某些企業來說更具吸引力，但Young警告說，啟用所有這些功能可能會導致性能降低。

Young指出，最近一些下一代防火墻供應商新增了web反惡意軟件作為其賣點。然而，啟用這個功能會影響NGFW設備的性能，并且，殺毒軟件更適合保護web網關或除NGFW外的其他安全產品。

“單一控制臺視圖當然很好，但并不是所有功能都應該在一個設備中，”Young表示，“很多下一代防火墻具有殺毒功能，但我們發現大多數企業并無法很好地享受這個功能。”

獨立IT測試公司Miercom首席執行官Robert Smithers表示，很多NGFW產品在開啟額外的功能時，性能會下降。Smithers表示其公司測試了十幾款下一代防火墻，發現在開啟所有相關功能時，Sophos公司的產品具有最佳性能，英特爾的McAfee公司的產品也表現不錯。

Smithers建議目前在評估NGFW的企業應該考慮哪些功能將會在其環境中使用，并研究當開啟所有所需功能時產品的表現如何。

“當你開啟所有這些功能，一切都會慢下來。10Gbps的產品變成3Gbps的產品，”Smithers指出，與NGFW相比，統一威脅管理設備（UTM）更加適用于中小企業，盡管他很少看到在大型企業環境部署UTM。

“我看到下一代防火墻供應商試圖擁有一切功能，他們在說，‘等一下，你不需要殺毒軟件，’”Smithers繼續說道，“我不確定告訴你們真相是否是正確的做法。”

NGFW是你的正確選擇嗎？

Young表示，對于想要購買NGFW設備的企業，價格、功能和性能似乎是最重要的因素，很多企業不會花足夠的時間來考慮他們是否能夠有效地部署下一代防火墻。

例如，應用控制是NGFW超越傳統防火墻的主要特征之一，但如果企業沒有部署正確的政策，這個功能并不會很有用。

有些企業開啟NGFW功能只是因為它們是可用的，但想要充分利用這些產品，企業需要內部專家來調整設備。在一些實例中，企業可能需要特定專家。例如，Smithers指出，Check Point系統必須由Check Point專家部署，這可能讓一些企業遲疑。

在部署NGFW之前，企業還必須考慮部署的網絡類型，因為這種產品通常會在平面網絡產生大量的警報。

“我們確實看到人們淹沒在警報信息之中，”Young表示，“因此，如果你不能應對大量的警報，這意味著，你可能還不適合部署NGFW設備。”