隨著網絡安全問題日益突出并且已上升至國家戰略高度，當前所有的企業和機構均在加強網絡安全防護。在眾多安全產品中，防火墻可謂是一棵經久不衰的常青樹，自90年代末引入國內以來，長期活躍在安全市場上。

據IDC最新的研究數據顯示，2013年防火墻和統一威脅管理（UTM，在IDC的定義中泛指融合多種安全功能的綜合性安全網關產品）依然是中國安全市場中的生力軍，其市場份額分別占到了整體IT安全硬件市場的34.9%和25.7%，兩項占比之和超過60%。換言之，泛防火墻類產品仍然是當前國內用戶進行安全建設時的首選設備。

防火墻的發展簡史

根據定義，防火墻是部署于不同網絡安全域之間的一系列技術防御措施，禁止非授權的訪問以及阻斷惡意連接，是其最核心的兩項功能。安全專家認為，相比其它安全產品，防火墻的優勢在于功能明確，即對網絡流量執行放行或阻斷，因此用戶往往對于防火墻有著明確的功能預期，而防火墻產品也有比較可靠的功能實現。明確的預期和可靠地實現使得防火墻成為用戶心中最值得信賴、最好用的安全產品。

事實上，安全環境始終在快速變化，防火墻為了確保其功能預期的可靠實現，也從未停止過自身的演進。防火墻技術起步較早，最早的防火墻技術僅僅是與路由器結合的包過濾功能，而后又發展至應用代理、狀態檢測等。90年代末，防火墻被首次引入國內，從技術代級上劃分，當時的防火墻技術已經發展至第四代，即狀態檢測防火墻。

　　中國市場上的防火墻演進之路

隨著主流網絡威脅由網絡層、傳輸層向應用層遷移，業界又先后定義出了統一威脅管理、下一代防火墻等具備更多高級功能的防火墻類產品，并逐步在用戶端走向普及。

2009 "下一代防火墻"橫空出世

在防火墻發展的歷史長河中，2009年是一個重要的時間節點，在那年"下一代防火墻"的定義被首次提出，這也是防火墻產品距離今天最近的一次代級演進。

如同防火墻產品的歷次升級一樣，下一代防火墻的提出在當時同樣具有其特定的歷史背景。一方面，隨著各類應用的迅猛發展和廣泛運用，當時的網絡管理者似乎在一夜之間發現，傳統的防火墻技術已無法對主流的應用流量進行精確的管理和控制，各種使用TCP80端口的非Http應用可以輕松繞過傳統防火墻的訪問控制策略。而更為嚴重的是，網絡中的主流威脅似乎全部學會了喬裝打扮，肆虐網絡的病毒、蠕蟲、木馬等攻擊，無不將自己隱藏在看似正常的數據包中傳播，而傳統防火墻無異于被蒙上雙眼的哨兵，對于此類威脅毫無感知，更談不上防御。

訪問控制完全失靈、新型攻擊輕松繞過，傳統防火墻長期賴以維持用戶信任的兩項核心功能幾乎同時失效，下一代防火墻就此應運而生。2009年，權威機構在一份報告中首次提出了下一代防火墻概念，并描述出了其最基本的能力模型。

按照最初的定義，下一代防火墻需要具備傳統防火墻的所有功能，融合可與防火墻聯動的入侵防御（IPS）模塊，能夠進行應用識別、控制并實現可視化，同時還可與防火墻以外的系統（如用戶認證系統、URL過濾系統等）進行智能化聯動。

然而，下一代防火墻在定義之初的幾年里卻飽受爭議，產品專家認為，概念提出比較超前、產品跟進相對落后是其根因。不過無論如何，新產品形態的定義畢竟在很大程度上代表了用戶需求的轉變，在隨后幾年，下一代防火墻得到了國內外安全廠商的熱捧，紛紛推出了自己的下一代防火墻產品，一時間市場上儼然一副山雨欲來風滿樓的景象。

2009～2014下一代防火墻從概念回歸本質

什么才是真正的下一代防火墻？這是在其定義之初所有用戶都會問到的問題，甚至到今天，還有很多用戶并不了解"下一代防火墻"到底算一個技術名詞，還是概念的炒作。

其實，2009年定義的下一代防火墻，只是一個功能框架和最低標準，對于技術實現的描述是比較模糊的。但這卻給了眾多安全廠商"自由發揮"的空間，有的以性能強標榜自己是下一代，有的以能夠防御Web攻擊標榜自己是下一代，更有甚者，直接將原有產品的型號冠以"NG"字樣便標榜為下一代。從某種意義上說，中國下一代防火墻市場的發展，是在概念的爭斗中開始的。

有專家指出，下一代防火墻從價值取向上講與先前幾代并沒有本質變化，同樣應當歸屬在防火墻的品類中。因此，假若拋開所謂的概念，能否進行精確的訪問控制、能否有效抵御主流威脅的評判標準，對于下一代防火墻的優劣對比同樣適用。

近日，著名咨詢機構IDC聯合國內最早推出下一代防火墻的網康科技，共同發布了《中國下一代防火墻發展趨勢研究》白皮書。根據白皮書觀點，下一代防火墻應該具備傳統企業級防火墻的全部功能，如基礎的包過濾、多層狀態檢測、NAT、VPN等功能，以及面對一切網絡流量時保持高穩定性和可用性。在此之上，下一代防火墻還必須要具備深度的應用識別和控制、用戶控制、終端及內容控制、一體化引擎多安全模塊智能數據聯動、靈活的功能擴展選擇和外部安全智能，如云計算及大數據分析技術。

　　IDC、網康聯合發布《中國下一代防火墻發展趨勢研究》白皮書

從白皮書中不難發現，本次IDC對于下一代防火墻的解讀，進一步提出了更加具體的技術要求。例如，IDC認為，下一代防火墻的訪問控制應當關注應用、用戶、終端、內容，而非先前僅僅強調的應用、用戶控制；下一代防火墻為了實現安全功能間的聯動以及安全信息的關聯，應當使用一體化引擎架構；下一代防火墻應當可以和云計算、大數據等系統進行智能聯動以提升其安全防護能力等。

種種跡象均在表明，隨著用戶的逐步接受和認可，無論從市場需求還是產品能力上，下一代防火墻已經進入了快速增長并不斷創新發展的階段，下一代防火墻市場的激烈競爭已經由概念之爭回歸到了產品能力的比拼上。

未來--市場潛力巨大 技術創新不止

白皮書指出，下一代防火墻對傳統防火墻和UTM的替換正在快速進行。根據IDC最新研究數據顯示，2013年，下一代防火墻占總體防火墻和UTM市場的32%。隨著市場對下一代安全網關的需求增加，預計到2018年，這一比例將達到80%，2013到2018年的5年復合增長率超過40%。

IDC同時預測，由于IT安全威脅趨勢的變化，市場對下一代防火墻將會有更高的要求。從未來的發展趨勢來看，下一代防火墻勢必將會在應用識別技術、整合威脅情報應對未知威脅等方面做出進一步的技術創新。

IDC認為，用戶對于訪問控制的精度需求將會更加嚴苛，未來訪問控制的模式勢必將從現有的黑名單模式過渡至白名單，這就要求下一代防火墻的應用識別能力需要進一步提升，不但要盡可能多的識別應用，還要能夠對平臺化應用的子功能進行更深入的識別。此外，對于加密流量的解密、隧道封裝流量的內容識別同樣是下一代防火墻在未來應當關注的。

同時，網絡威脅和新的挑戰在陸續增加，APT攻擊在持續擴大和強化，未來未知攻擊會越來越多，并且非常隱蔽。安全防御的模式將從被動式防御向著更主動的方式過渡，甚至在未來實現威脅預知。作為下一代防火墻，提供更加豐富的信息收集和分析，整合威脅情報（Threat Intelligence）到現有的信息安全計劃中，可以加強威脅評估，并幫助企業利用這些信息在攻擊啟動之前就盡早部署防御措施。

白皮書中還特別強調，企業安全防護水平的高低，并不全部由其部署了多少安全產品或是否部署了高技術產品所決定，安全防護的有效性取決于配置和監控這些技術的人員，管理員必須學會如何有效地利用新型技術，讓它們真正提供額外的保護。因此，無論是出于降低部署難度，還是提升安全管理效率，在信息安全專業人才緊缺的大環境下，安全產品必將更加強調用戶體驗。

此外，移動互聯網下的安全防護、安全防御技術的不斷豐富以及產品性能的持續提升，也將是下一代防火墻在未來發展中所將關注的方向。

在下一代防火墻市場如火如荼的競爭格局中，IDC分析師建議用戶明辨真假需求，牢牢把握住新一代網絡安全的攻防特征。在選擇下一代防火墻產品時，重點關注其應用層吞吐性能、應用識別能力、安全防護能力以及可視化智能管理能力，同時從廠商基因、技術實力、戰略投入及服務等多方面綜合審視，做出合理、優化、正確的選擇方案。