前些日子，跟一個客戶談一筆防火墻生意，一切進展順利。會議快結束時候，隨口問了一句：您為什么要選擇購買下一代防火墻？在提這個問題時候，我設想了幾種客戶可能會給的答案，類似性價比高，安全性高，性能強……但是客戶最終的回答卻出乎我意料：既然要買防火墻，為什么不選擇“下一代”防火墻呢？客戶這個反問式的回答出乎我意料，做一個簡單類比就是如果你現在選擇夠買蘋果手機，新版iPhone SE來了，你還會去選擇買一個4S嗎？這個邏輯看似簡簡單明了，但問題是如何購買一款真正下一代防火墻？

尤其是這幾年，國內很多廠商紛紛推出了自己的下一代防火墻，其中不乏“巧借名目”和“搶占高地”者。研究這些產品資料也不難看出，此類產品與傳統防火墻相比只是換湯不換藥，在其技術特性中根本讀不到任何NGFW的基因，只是將幾年前推出的傳統防火墻冠以“NG”開頭的名稱而已。這個時候就需要我們客戶有一雙慧眼，能夠識別出真正的下一代防火墻，能夠認清傳統防火墻，UTM，下一代防火墻之間差別。

下一代防火墻 ≠ （傳統防火墻 + 應用可視）

“下一代”這似乎是個飽含炒作意味的詞匯，但是它代表了多功能、高性能，也是對于傳統設備軟件和硬件技術的革新。顧名思義有“下一代”必然有上一代，也就是傳統防火墻。

根據Gartner的定義，最初下一代防火墻只是強調應用識別、深度集成IPS等基礎能力，而之后一段時期則開始關注管理分析能力、性能、抗攻擊逃逸能力的提升，最近及未來一段時間內，隨著以威脅情報、大數據等為代表的前沿安全技術的成熟，則開始強調與這些外部智能系統、其他安全產品的聯動協同。因此，相較于傳統防火墻，NGFW會以全局視角解決用戶網絡面臨的實際問題，不是簡單的功能堆砌和性能疊加，而是真正的集成，貼切網絡環境與用戶需求。

從Gartner對NGFW定義這張圖看，“下一代防火墻”安全能力內涵和外延，早已遠遠超過二十多年前定義“防火墻”品類時所界定的范疇。下一代防火墻應該是邊界防御領域一個新的產品品類。只是截至目前，尚未想到更好的概念名詞去描述它。因此下一代防火墻絕對不是某些廠商宣傳一樣，約等于傳統防火墻加上應用可視化這么簡單。

更何況，近年來一些廠商將越來越炫酷的UI界面或各類TOP 10排名灌之以深度可視化的名頭，這是典型的將visualization理解成了visibility。可視化不是簡單的將數據圖形化呈現，不是日志信息的簡單分類和歸集，而是深度挖掘這些原始數據素材之后的內在關聯，以全局視角幫助網絡管理者看清各種威脅，看清攻擊事件的全貌，幫助了解攻擊者的真正意圖和目標。

下一代防火墻 ≠ UTM

另外，說到下一代防火墻和UTM的差別，必須要澄清一個概念，“下一代防火墻” 并不是前些年市場上流行的“統一威脅管理（UTM）”。

UTM誕生的時間更早，推向市場的背景是為了降低中小企業用戶以及低預算用戶的總體擁有成本，所以UTM在防火墻平臺的基礎上集成了盡可能多的安全功能，可能包括上網行為管理、入侵防御、Web攻擊防護、病毒防護、垃圾郵件過濾、URL過濾等。在未來，UTM仍然會不斷的集成更多新的安全功能，而這樣的產品設計很難避免多功能堆砌的架構，這決定了UTM性能可預測性差、功能融合度低等技術特點。

相比而言，下一代防火墻的定義中明確指出，它并不是僅面向中小企業的“多功能防火墻”，NGFW必須要適應大企業環境的要求。盡管NGFW也集成了IPS、AV等安全功能，但并不是以提升產品性價比為主要目的。這種集成不是功能模塊和引擎的堆砌，而是一種深度的集成，將各種安全功能融入一個獨立的架構中，而不是簡單的將多個安全設備堆疊到一起，塞進叫防火墻的外殼里。這一切的主要目的，則是為了提升安全檢測效率和安全防護水平。

所以，NGFW不是像UTM那樣簡單的擴展功能模塊，此外各安全模塊也不像UTM那樣各自為戰，而是各安全模塊間可開展有機聯動，各模塊產生的信息可實現全維度關聯，使NGFW具備強大的模塊間安全協同能力和威脅情報聚合能力。舉個簡單類比，UTM功能集合更像是簡單的1+1=2甚至是1+1<2，而NGFW則是1+1>2。

大家可能都聽說過一個和尚挑水喝，兩個和尚抬水喝的故事，這個故事除了告訴我們分配制度重要性以外，還有一個寓意就是1+1可能小于2。而UTM雖然堆砌式地集成了很多功能，但是集成各個功能都不完善，都有其不可逃避的缺陷。設想幾個并不太完整的功能簡單疊加在一起，不正猶如一個瞎子背著瘸子過河一般嗎？這顯然是不可能快速過河，甚至兩個人都會掉進河里。這也是UTM可預測性差、功能融合度低的最好體現。

下一代防火墻選型知多少？

如今的市場上有不少廠商都宣稱自己是下一代防火墻，如何選擇一款真正下一代防火墻還是一個復雜工作。筆者建議從下面幾個下一代防火墻標簽進行考慮：

下一代防火墻的幾個比較顯著的標簽是：基于應用層構建安全、主動防御、多威脅檢測機制智能融合，與這些標簽相對應的參數或考量標準主要體現在以下幾點：應用識別的廣度和深度以及與本土用戶使用習慣的契合度；可視化及智能分析的能力和操作體驗；功能完全開啟后的性能以及性能衰減趨勢。

具體來說，企業在選型時候需要重點關注下一代防火墻幾個方面的表現：

1. 應用識別的能力：既要廣度更要深度

識別的廣度和深度是應用識別最重要的指標，也是下一代防火墻區別于傳統防火墻的重要特征。在應用識別廣度方面，業界領先的NGFW產品應用識別數量基本在3000以上。類似網康等專注于應用領域技術的廠商，目前應用識別數量應該都在4000以上。

除了識別數量足夠廣之外，識別深度也更為重要。例如，企業可能會僅允許QQ聊天，但禁止QQ游戲；對跑在HTTP上的應用，能夠精準識別出該應用的具體用途；同時，能夠從逃逸，帶寬等多個維度去判斷應用屬性是否安全，比如限制P2P等流量耗費型且安全性不高的應用帶寬。

同時，應用識別的結果還將提高后期智能聯動的防護效率，例如：SQL Server流量僅和SQL Server相關特定漏洞進行IPS防護，從而提升性能，降低誤報率。

2. 功能與性能兼備：功能完備性不能以顯著的性能衰減為代價

下一代防火墻至少應融合IPS的防護，同時各廠家根據各自的理解還集成了其他更多的功能，但是有的廠商集成過多功能，甚至是集成Web應用防火墻這樣產品功能，嚴重導致NGFW性能下降，甚至出現死機現象。因此客戶在選擇產品時不能僅看到功能的全面性，卻忽視了開啟這些功能后的性能衰減。不然后期只能被迫禁用一些應用層防護的功能模塊，導致下一代防火墻變成了傳統防火墻或者UTM。業內權威機構認為，優秀的下一代防火墻產品開啟IPS功能后整機性能下降不應超過50%。

3. 可視化（visibility）和智能分析能力

隨著網絡快速發展，各式各樣復雜威脅層出不窮，用戶需要更加及時的掌握網絡現狀、風險、威脅、事件以及防御效果等用于支撐安全決策。這就需要下一代防火墻具備良好的可視化和智能分析能力，幫助用戶看得清威脅，防得住攻擊。因此，真正的“可視化智能管理”應該是在多維統計的基礎上加以深入的分析，從應用和用戶視角多層面的將網絡應用的狀態展現出來。同時，通過引入外部威脅情報，實現安全態勢感知和風險預測功能，解決單機設備與生俱來的短板，以幫助用戶更加快速的了解網絡風險并及時部署防御措施。

總而言之，看得清，看得全，看得透，才能讓安全看得見！