下一代防火墻的概念自提出以來，在2011年的上半年忽然達到了頂峰，國內外的安全廠家相繼推出了自己的下一代防火墻產品。但熱潮退去，下一代防火墻市場逐漸趨于冷靜，與此同時，市場上也出現了一些質疑的聲音。下一代防火墻與UTM究竟有何區別?它是用戶的真正需求還是安全廠商的概念炒作?通過對多家安全廠商的采訪，本文將會對下一代防火墻產品的現在和未來進行闡述。

順應時代潮流

在被問到下一代防火墻推動力的時候，受訪者不約而同的都表示這是用戶需求所趨。歸納起來，下一代防火墻產品的出現有以下幾個原因。

第一，以太網標準現在已經由萬兆開始向40G/100G邁進，網絡帶寬的增長十分迅猛。另外，數據量也在成爆炸性增長，我國各類數據中心和機房總量已經達到50余萬個。無論是帶寬增長還是數據增長，都對網關安全產品的性能和功能提出了新的要求。對于一些大型企業來說，網絡環境趨于復雜，需要尋找新的安全解決方案來滿足除了抵擋外部攻擊以外的安全需求。

第二，網絡環境的變化。傳統的網絡攻擊手段一般都是基于第三層的網絡層，而隨著Web2.0時代的到來，大量的應用程序都建立在了http和https等協議之上，而傳統的防火墻對這些應用程序卻望塵莫及。基于網絡層的操作就意味著傳統防火墻只能根據與數據包源地址和目標地址有關的信息來檢測流量，但是對于上述的http和https流量卻是無能為力。雖然現在有針對應用層的IPS設備，但是IPS卻無法識別具體的應用，達不到目前用戶所需的精細力度的應用層控制，因而也無法對特定應用進行防護。

第三，自防火墻的概念誕生以來已經經過了十幾年的發展，但是可以發現，在這么長的時間里防火墻的功能并沒有變革性的改進，功能、性能方面與網絡的飛速前進并不匹配，網絡環境的新需求迫使防火墻進行根本性的變革。

第四，概念炒作的嫌疑。就像UTM的出現一樣，下一代防火墻一出現就成了安全廠商，尤其是傳統防火墻廠商占據制高點的關鍵。

第五，安全廠商競相發布下一代防火墻產品，不管是否是概念炒作，也不管產品是否成熟。從市場需求來看，下一代防火墻產品的出現很大一部分程度上是代表了時代的潮流。傳統防火墻產品的不足已是共識，新產品的出現已是必然。

應用識別成為焦點

相較于傳統防火墻的網絡層防護，下一代防火墻的關注重點在于對應用層的識別。目前已經推出下一代防火墻產品的梭子魚、SonicWALL、深信服、CheckPoint、銳捷、天融信等都將對應用層的識別作為推廣重點。

雖然下一代防火墻產品還沒有一個統一的標準，但是大多數安全廠商都基本認同2009年Gartner提出的下一代防火墻定義。Gartner認為，下一代防火墻至少應具備以下特征：線速的處理性能、高度融合的IPS功能、應用可視與身份鑒別的能力、傳統防火墻功能等四個方面。而目前的下一代防火墻廠商不約而同的將目光定位在了應用識別方面。

每一家下一代防火墻產品都推出了各具特色的應用識別技術。例如梭子魚的產品經理潘淵介紹，其NGFW可以為用戶提供基于應用識別的流量管理，對于企業網鏈路和VPN隧道中的業務，都能做到流量優先級定義;深信服產品經理王帆則表示其NGAF產品可以充分理解國內本土化的應用，基于應用做到流量管控，保障關鍵流量。SonicWALL中國研發中心總經理陳中也表示針對應用識別，SonicWALL的下一代防火墻產品可以為用戶提供應用智能、應用控制和應用可視化等功能。而CheckPoint中國區技術經理劉剛也表示，其NGFW產品涵蓋了從網絡層至應用層的所有防護功能，其對應用的控制更是能夠達到精細力度。天融信總工程師吳亞彪則認為NGFW更注重在Web2.0時代的客戶體驗，比如采用客戶化的GUI，多核CPU并發處理等。隨著企業的發展，需要更主動，更直觀，更定制化，性能更高的安全產品，這是NGFW的特點。對于企業來說，NGFW更貼合現有網絡環境，對企業業務保護更加全面，已經逐漸得到了大型企業的認同。

與傳統的防火墻相比，下一代防火墻最主要的特征就是對于應用層安全的保障，作為防火墻廠商，山石網科產品經理賈彬認為下一代防火墻基于應用識別只是控制手段的增強，安全性方面可能并沒有實質性的提升。黑客技術日新月異，下一代防火墻與傳統防火墻還都沒有做到主動防御，因此下一代防火墻依然是黑客嚴重的獵物，安全功能也需要加強。

除了對應用的識別和傳統防火墻的功能之外，下一代防火墻還需要支持與防火墻自動聯動的集成化IPS、應用識別、控制與可視化、智能化聯動這幾個主要功能。

UTM的終結者?

下一代防火墻自出現以來，和UTM的對比之聲就不絕于耳。在用戶方面，往往還有很存在很多迷惑的地方。在此次采訪中，針對UTM與下一代防火墻的未來，所有的受訪對象都一致認為，下一代防火墻在未來將來會取代現在的UTM設備。因為，從產品結構、功能、性能等方面來看，下一代防火墻都比UTM要領先一步。

相較于傳統防火墻，UTM提供了更多的安全功能，但潘淵表示，UTM的致命缺陷就是采用串行掃描方式，處理效率低下，尤其在激活了多種掃描過濾功能之后，整體的性能會使企業的網絡受到極大的影響。王帆則表示，UTM只是將防火墻、IPS、AV進行簡單的功能堆砌，功能全部開放時的效率非常低下，另外，UTM在防護方面也不完善，例如Web應用方面的防護就有缺失。

而陳中認為UTM到NGFW是安全產品的進一步演化，相較于備受中小企業的UTM設備，下一代防火墻面對的用戶范圍更加廣泛，NGFW的發展是需求推動。從技術方面，劉剛介紹了UTM和NGFW的一些區別。下一代防火墻產品之所以能夠達到比UTM更高的性能和實現更多的功能，是因為其產品架構之間的根本區別。NGFW產品自設計之初，就采用了一體化的引擎，而UTM只是把多種安全引擎疊加在了一起，這種做法會使數據流在每個安全引擎分別執行解碼、狀態復原等操作，導致大量的資源消耗。而NGFW則不同，它會一次性的對數據流完成識別、掃描，因而可以達到更高的性能。吳亞彪表示，UTM開始的設計就是針對中小企業網絡的，性能受到了很大的局限。UTM的理念是不需要用戶開啟全部功能。NGFW擁有靈活的架構與擴充性，這主要得益于NGFW支持虛擬化，使得NGFW能夠更靈活的架構。除了定制化能力外，還有一點很重要的就是硬件資源可以通過虛擬化技術進行分配的。舉例來說，NGFW很有可能有能力多臺防火墻串連虛擬為單一的防火墻設備，或是將單臺防火墻虛擬為多臺小型防火墻，達到分開處理流量的效果。

雖然NGFW產品與UTM相比具有了先天性的優越性，但對于追求高性價比的中小企業用戶來說，UTM在最近的幾年中無疑還有巨大的市場潛力。作為非下一代防火墻廠商，H3C安全產品部總工李彥賓提出了比較中立的觀點，他認為短期來看，下一代防火墻產品比UTM有一定的優勢。但從技術的演進來看，受中小企業客戶的強烈需求推動和UTM廠商自身軟硬件能力的提升，或許UTM會具備一些新的功能。吳亞彪也認為，NGFW雖然有可能會取代之前的網絡防火墻、IPS、UTM等產品，但這取決于用戶的根據自身需求和投入來選擇，無論UTM還是NGFW可能在未來一段時間內會并存下去。

百家爭鳴

除了遵循Gartner所提出的NGFW定義之外，下一代防火墻廠商都自己的產品添加了特色功能，以滿足不同用戶的需求。

潘淵認為，在NGFW產品中應該增加網絡性能提升的功能，如自適應網絡路由，帶寬管理，遠程接入控制，網絡延展性等技術。而使用梭子魚下一代防火墻產品的信息管理人員就可以輕松管理基于應用的路由配置，根據多鏈路、多通道和不同的流量情況安排鏈路的優先順序。

深信服將目光鎖定在了本土化應用的識別問題上，利用其有優勢的應用層技術，其NGAF可以基于應用做流量管控，保障關鍵流量。另外，它還可以做到第二層至第七層的全面防護。

SonicWALL的NGFW的獨特之處在于其免重組深度數據包檢測技術。它允許用戶檢測網絡內外的一切情況，并且不會造成延遲。因此用戶在應用任何標準協議或者臨時協議之前，仍然可以保持原有的性能。

而以軟刀片架構著稱的CheckPoint，雖然在下一代防火墻的概念上一直很低調，但在“一體化”的概念上卻很有發言權，它的每款設備都可以運行多個軟刀片，用戶可根據需要自行選擇所需要的功能刀片。最為獨特的是，用戶在以后的功能添加過程中，無需購買新的設備，也無需更改自身的網絡設置，只需要更新一下原有設備即可完成。更是為用戶提供了統一的管理平臺，這也是劉剛認為下一代防火墻應該具有的特征。

天融信的NGFW產品集成了防火墻、VPN、帶寬管理、防病毒、內容過濾等功能的，具有高性能、高可靠性、高安全性的特點，天融信NGFW還提供了強大的網絡應用控制功能，用戶可以輕松的針對一些典型網絡應用。由于采用了天融信自主知識產權的安全操作系統TOS(TopsecOperatingSystem)，并采用模塊化結構設計，既提高了產品性能，又提高了產品的靈活性、高效性和安全性。

由于下一代防火墻還未標準化，但安全廠商卻在不斷推進這件事情。但是，行業總有領頭人，誰將主宰NGFW的標準化進程，還要看誰抓住了用戶的需求。

統一是未來

不管是對于大型用戶還是小型用戶來說，他們都希望用最簡單的管理實現最多總類的安全。相較于以往采購單個專業安全設備的方式來說，在功能、性能和一體化方面都比較出色的NGFW產品無疑代表了市場潮流。

在記者采訪宅急送信息部副總監唐輝輝時，他明確表示出了自己對于NGFW產品非常感興趣，但是他也表達了自己的擔憂。NGFW是否只是一個盒子?他認為在一個硬件盒子上實現多種功能的集合必定會有性能方面的局限性，就如UTM一般。同時，他也認為，對于大型企業或電信級用戶來說，他們是否會相信一個平臺下面可以實現多種安全的保障。

由此可見，用戶對于NGFW產品還存有一定的困惑，尤其是在先進還沒有標準化，各家廠商的產品功能都有所不同時，這也是NGFW廠商需要去解決的問題。劉剛在接受采訪時也表示，目前具有專業性的安全長品，例如WAF等也會在近幾年長期存在，因為NGFW產品在有正式的標準出來之前，市場恐怕難以出現實質性的進展。

在記者看來，NGFW不應該只是一個產品，它應該是一個平臺，該平臺可以實現高性能的擴展，多功能的集成，以及多功能之間的聯動。同時，用戶使用和管理起來應該簡便。每種新興的技術或產品都需要經過市場的檢驗，NGFW產品目前剛剛開始發展，但是安全產品走向統一的腳步卻不會改變了。我們期待NGFW產品成熟和市場爆發的那一刻。

編看編想：冷思考

不可否認，UTM和NGFW產品都代表了IT界的統一方向，但是下一代防火墻產品也面臨著新技術的一些挑戰。一方面，下一代防火墻產品發展還未成熟，用戶對下一代防火墻的認知還有迷惑，市場接受度遠沒有傳統防火墻和UTM那樣高;另一方面，云計算和虛擬化技術在用戶中的流行也必然會對安全產品的需求產生影響，例如虛擬化的安全問題、云計算的安全問題，以及最近大數據引起的數據爆炸對安全產品的影響等，這是否應該成為下一代防火墻產品需要納入的新功能?這都是安全廠商需要考慮的因素。在這個新技術層出不窮的時代，NGFW廠商要想獲取用戶信任必須緊跟技術的潮流，不斷更新自身的產品，才能把握市場的先機。