當相機拍攝出一幅幅黑白影像，其實是灰度圖像，有著豐富的層次感。“灰”并不是黑與白的調和，而是這個世界的本來面目。我們所處的世界如此，在攻防尤為激烈的網絡安全行業更是如此，除了黑白之外，還存在著很多灰色流量，那里隱藏著各種看不見的風險。

網絡安全行業，從來不缺乏新產品、新技術，尤其以2012年在國內不斷興起的下一代防火墻為代表。然而一直困擾企業用戶的，就在于大家很難明確區分下一代防火墻與傳統防火墻、UTM的區別。為此，筆者將網絡安全中三類最易產生理解誤區的FW、UTM、NGFW產品理念問題進行梳理，追溯到一類產品所產生的起源、背景，幫助大家對這三種不同品類的產品有一個更加深入的了解。筆者用三種情境進行概括：確定性的情境（FW的白色世界）、半確定性情境（UTM的黑色世界）、混沌模糊的情境（NGFW的灰色世界）。在這三種情境里，來看我們所面對的問題及其解決方法，就會非常清晰了。

第一種情境：確定性的情境——FW以“白名單”為中心，類似兒童時期認知

FW就像兒童時期孩子對世界認知只有黑與白一樣，沒有混沌，也沒有灰度，只有非黑即白的 “確定性的世界”。傳統防火墻就是基于這個原理工作：只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻。這個過程中，流量的影響變量即五元組信息是確認已知的，變量轉為目標值也是確認即allow或deny，總結起來就是傳統防火墻是以“白名單”為核心配置相關策略，執行阻斷或者允許動作。

但是這個認知有較大局限性，就像孩子們經常通過一個人長相外貌等外在東西去判斷一個人好壞，對于“偽裝者”卻無法進行辨別。例如Skype通信可以偽裝成80端口，這種簡單“偽裝”成白名單上合法端口后，“天真”的傳統防火墻也一樣識別不出來。那么面對FW這樣“防守”現狀，誰將站出來接替它守護網絡邊界安全大門呢？它就是UTM。

第二種情境：半確定性的“黑色世界”——尋找灰色空間中“黑名單”為核心，青少年時代

隨著互聯網發展，FW也從兒童長大到青少年時代UTM，接觸到更多人和事，對世界的認知也慢慢開始逐漸走向成熟，逐漸明白黑白世界之外還有灰色空間存在，并對灰色空間的認知也有一些判斷標準。

本質上來說，防火墻產品從FW成長為UTM，最根本變化是從僅僅依靠五元組信息做控制策略狀態，增加應用識別能力、集成IPS、AV等安全模塊方式加強對應用層安全防護能力，能夠檢測識別“灰色內容”中的“黑名單成員”，比如某些合法應用中可能跑著惡意流量，可以根據已有特征識別出來并阻斷。不過，UTM基于已知特征庫進行檢測且對不能識別的“灰色”內容全部允許通過，結果自然是某些已知惡意流量能夠識別出來，有些未知威脅卻成為漏網之魚。問題就在這里，“棄之不管”那部分灰色空間中還隱藏著很多未知風險威脅，只是我們不知道罷了。

面對應用層中大量“灰色內容”，UTM“黑名單”防護理念已經顯得捉襟見肘，那么又是誰肩負起網絡邊界安全大門？NGFW就此橫空出世。

第三種情境：模糊的灰色世界——以“灰名單”為核心，成人的世界

UTM進一步從青少年長大成NGFW，需要挑戰的是“灰色世界”，這是一種超越白色系統和黑色系統之外的空間，狀態很混沌，環境變量也很多，每個變量都可能引起系統的整體變動，就像管理對象由原先的IP和端口變為應用的時候，不確定性就大大增加了。

NGFW在基礎傳統防火墻功能上，深度集成IPS功能，對一體化、應用識別與管控、高性能等要求更高，通過應用、用戶、內容等多個維度的識別將模糊的網絡環境映射為實際的業務環境，從而實現精準的訪問控制和安全檢測，發現灰色空間中的“黑名單”，完成deny動作。

除此之外，NGFW引入風險視角思維，對于無法做出確切判斷的“灰色內容”，對其做一個概率性質和威脅性質的判斷，并嘗試為其進行應用風險打分。這是一種對模糊系統的控制，而不是一個確定系統的控制。在不明確未來會怎樣的情況下，NGFW必須對業務應用的風險狀況進行監控，并通過持續的策略調優，確保其安全有效性，而此部分內容在防火墻和UTM概念模型中并無對應的設計。本質上來說防火墻，從UTM演進到NGFW最大變化便是理念的不同而導致的價值不同。NGFW引入風險的視角，以關聯分析等技術，通過可視化這樣工具將灰色空間中的不確認的威脅告知用戶，讓用戶參與決策。

那么用一句話總結NGFW與FW、UTM差別是怎么樣的呢？筆者認為：NGFW開始聚焦FW、UTM尚未涉及的“灰色地帶”，通過引入風險視角和可視化工具，解決“灰色區”的安全問題。