自出现之日起，下一代防火墙（Next-Generation Firewall，以下简称NGFW）就一直在争议中前行。究其原因，在于概念提出得比较超前、产品跟进却相对缓慢。

就在不久前，梭子鱼与深信服在国内先后发布了NGFW产品，加上产品已经正式在售的SonicWall、Check Point和Palo Alto，市场上俨然一副山雨欲来风满楼的景象。

那么，NGFW究竟是如何定义的？它与传统防火墙、UTM有哪些不同？用户部署NGFW又需从哪些角度考虑？请随我们一起走进NGFW的神奇世界，共同领略这类新产品的价值所在。

何谓NGFW？

什么是下一代防火墙？这一代、上一代防火墙指的又是什么？在讨论NGFW之前，我们必须先正确认识“防火墙”这个概念。

在经历了多次技术变革后，防火墙的概念正在变得模糊，在不同语境中有着不同的含义。在描述具体产品时，防火墙大部分指代的是作用在2~4层，采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的访问控制设备；而宏观意义上的防火墙，实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备（Gateway）。国内的厂商、用户习惯将前者称为“传统防火墙”，国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念，其包含了传统防火墙、IPS、UTM及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加，广义的防火墙必然将集成更多的安全特性。

得益于许多厂商市场部门行之有效的推广工作，我们在市场上可以看到不少针对NGFW概念的解释（即便其中可能存在着完全不同的理解）。而业内普遍认同的关于NGFW的定义，来自市场分析咨询机构Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文章。Gartner注意到，在应用模式、业务流程和安全威胁不断变化的今天，传统防火墙已经无法满足用户的需求。即便在此基础上再加入IPS，也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下，Gartner定义了“NGFW”这个术语来形容防火墙的必然发展阶段，以应对攻击行为和业务流程使用IT方式的变化。

在Gartner看来，NGFW应该是一个线速（wire-speed）网络安全处理平台，定位于企业网络防火墙（Enterprise Network Firewall，Firewall指宏观意义上的防火墙）市场。这里的企业指的是大型企业，国内很大一部分都归为行业用户范畴。NGFW在功能上至少应当具备以下几个属性：

传统防火墙：NGFW必须拥有传统防火墙所提供的所有功能，如基于连接状态的访问控制、NAT、VPN等。虽然我们总是在说传统防火墙已经不能满足需求，但它仍然是一种无可替代的基础性访问控制手段。

支持与防火墙自动联动的集成化IPS：在同一硬件内集成IPS功能是必须的，但这不是Gartner想表达的重点。该机构认为，NGFW内置的防火墙与IPS之间应该具有联动的功能，例如IPS检测到某个IP地址不断地发送恶意流量，可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的，而不再需要管理员介入。比起前些年流行的传统防火墙/IDS间的联动机制，这次升级并不是一个特别高深的技术进步，但我们必须承认它能让管理和安全业务处理变得更简单、高效。

应用识别、控制与可视化：NGFW必须具有以与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化（俗称应用QoS）不是一个属于安全范畴的特性，但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。

智能化联动：获取来自“防火墙外面”的信息，做出更合理的访问控制，例如从域控制器上获取用户身份信息，将权限与访问控制策略联系起来，或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡，而不再浪费IPS的资源去判定。我们理解这个“外面”也可以是NGFW本体内的其他安全业务，它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系，实现自动联动的效果（如思科的“云火墙”解决方案）。

除此之外，文档中也提到了NGFW在部署、升级方面的一些规定，但并未做更多的强制性约束。正如文章作者、Gartner研究副总裁Greg Young在接受本报记者采访时强调的那样，集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。

发现用户需求及产品形态变化的并不只Gartner一家，国际著名第三方安全产品评测机构NSSLabs也在今年正式开始了NGFW产品的公开测试工作。从官方发布的信息来看，该机构基本认同Gartner对NGFW的定义，只是在智能化联动方面并未做过多的强制性要求，但突出了对用户/用户组的控制能力。从测试的角度出发，NSSLabs的工程师对产品配置的复杂度和易用性都有很深刻的了解，他们的观点可以代表许多用户。此外，该机构还认为企业并没有准备在数据中心中用任何方案替换独立的IPS设备，所以NGFW集成的IPS模块应该提供对客户端保护（主要在特征库方面体现）在内的完整方案，并且将针对于此的配置归纳到预定义策略模版中去。

NGFW产品加入应用识别后的访问控制量效果

NGFW与UTM：

竞合或互补,但非竞争

需要注意的是，不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度，势必要根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异，同时更像一个大而全的集中化解决方案，给用户造成了很混乱的印象。我们在采访中听到用户最多的也是最经典的反问就是：NGFW不就是一个加强型的UTM么？

实际上，这里提到的NGFW和UTM都是对厂商包装后的产品的认知，已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开，但是这些功能必须集成在一个硬件中。IDC对UTM的定义无疑是非常聪明的，它简单明了，让人易于接受并容易做出判断。“所有功能不一定要打开”这句话，除了说明安全业务要由用户需求决定外，也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化，也确实符合当时的市场需求。有了这样一个宽泛的准入条件，UTM的概念一经推出便受到厂商与用户的一致认同，市场份额迅速扩大，成长为目前安全市场上的主流产品。

与IDC的宽松态度不同，Gartner在其市场分析报告中对UTM产品形态则有着更为细致的描述。该机构在调研后认为，除了传统防火墙与IPS，UTM至少还应该具有VPN、URL过滤和内容过滤的能力，并且将网关防病毒的要求扩大至反恶意软件（包括病毒、木马、间谍软件等）范畴。另一方面，Gartner对UTM的用户群体有着自己的看法，认为该产品主要面对1000人以下的中小企业或分支机构。这类用户通常对性能没有太高要求，看中的是产品的易用性和集成安全业务乃至网络特性（如无线规格、无线管理、广域网加速）的丰富度。实际上，Gartner之前一直使用SMB多功能防火墙（SMB Multifunction Firewalls，这里的Firewall也指宏观意义上的防火墙）来描述这类产品，只是在2010年因为UTM这个名称被市场普遍接受，才在分析报告中修改了称谓。该机构认为它与NGFW集成安全功能的差异主要体现在时延敏感性上——作为边缘网关，NGFW必须满足时延敏感型应用的需求，与之有悖的功能不适合出现在NGFW上。而从Gartner针对其他产品市场的分析报告中可以推断，安全Web网关（Secure Web Gateway）似乎是该机构认为的NGFW联合部署的理想对象，此外独立的WAF、反垃圾邮件产品也应被考虑。

通过上面的分析，我们可以得出明确的结论：至少在Gartner看来，UTM和NGFW只是针对不同级别用户的需求，对宏观意义上的防火墙的功能进行了更有针对性的归纳总结，是互为补充的关系。无论从产品与技术发展角度还是市场角度看，它们与IDC定义的UTM一样，都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述，其出发点就是用户需求变化产生的牵引力。对此，美国飞塔有限公司创始人、CTO、工程副总裁谢华在接受《计算机世界》报记者采访时有着非常精辟的总结：“UTM的概念在不断地进化，包含了越来越多的安全功能。但像500强那样的大企业对UTM的接纳相对保守，不过他们也开始从独立的安全设备开始转向集成化的道路，其关注重点就是Gartner定义的以传统防火墙与IPS为基础元素的NGFW——UTM进化中的一个细化分支。无论如何，我们将看见安全功能整合的革命将继续进行下去。”

途牛旅游网的工程师们在配置NGFW

NGFW产品

现状

理论上的定义总是滞后于用户需求和技术发展，从市场上可以购买到的实际产品来看，NGFW集成的安全功能已经远远超过了咨询机构给出的最小化定义。虽然不同厂商在功能提供上还存在差异，但大家的目标都是一样的，那就是功能最大化集成，性能（产品规格）通吃低端到高端，这与Gartner细分功能、用户群体的追求有很大出入。其实厂商这样做无可厚非，只有功能模块化加系统平台化的方式才能做到成本最低和利润最大化。

近日，《计算机世界》报记者走访了发布了NGFW产品的5个厂商和部分用户，梳理出一些国内用户在选型时最关注/最值得关注的功能和评估经验，供读者参考。

应用识别、控制与可视化：作为NGFW定义中明确要求具备的特性，应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题，受到了所有受访用户的关注。而5家提供NGFW产品的厂商均表示，该功能已经成为各自产品中的标准配置，也就是说，即便用户在购买时不包含其他任何安全功能的使用许可，也会得到一个“应用防火墙”形态的产品，我们认为这也将成为未来NGFW产品商业模式方面的常态。但多数受访厂商也希望用户认识到，NGFW产品只能做到上网行为管理产品中基于应用的访问控制与优化功能，并不提供法规遵从及审计相关的特性，不存在完全的取代关系。

全方位的本土化：应用特征库的本土化是影响NGFW产品使用效果的关键因素，每一个厂商都需在协议种类与更新响应速度方面做出最大努力。采访中有用户就抱怨，目前使用的国外某UTM产品在IPS模块中虽然也集成了对应用的识别控制功能，但扩充更新速度太慢，以至于上线不久就失去了对迅雷等频繁更新应用的控制能力，同时全英文的操作/报表界面也加大了使用难度，对于IT管理效率有着不可忽视的影响。

对此，SonicWALL中国研发中心总经理陈中在接受采访时有针对性地提到，目前该公司的NGFW产品在每次系统版本更新后1~2个月内即可提供中文版，并且有专人负责国内应用特征的添加与维护，达到平时每周1次、紧急情况下1天响应的更新频率。而以内容和应用安全起家的深信服科技在这方面显然也有着先天性的优势，该公司技术总监殷浩表示，本土化的应用识别和应用防护功能是NGFW用户获得良好使用体验的基础，深信服目前使用的识别引擎已经能够辨析600多种应用，可以满足不同部署场景的要求。

用户识别与控制/统一的策略框架：虽然它们不全是Gartner的NGFW定义中的强制性功能，但我们发现目前所有的NGFW产品都有提供，并且在此领域做着更加深入的尝试。NGFW应当可以通过获取域控制器信息或Web认证等手段，做到IP与用户身份的绑定，再通过统一的策略框架进行更加直观、简单的权限定义。据Palo Alto公司创始人、首席架构师毛宇明介绍，该公司的NGFW产品将用户识别与应用识别、内容识别并列为3大核心功能，最大化地融合了用户权限与策略配置的描述，例如“允许市场部门的所有员工从任何位置访问新浪微博”、“只允许IT部门员工从特定位置使用SSH、Telnet、远程桌面应用”等等，并且这种融合会让报表更具实用价值。

集中管理平台：NGFW集成了更多的安全功能，我们认为在管理尤其是集中管理上还应该给行业用户提供更强大、易用的解决方案。梭子鱼网络有限公司中国区技术总监谷新就特别提到，该公司在集中管理平台的构建上投入了很大精力，可以管理维护多达数千台NGFW产品。该平台还结合独特的图形化管理维护技术，利用业界独特的“梭子鱼NG地球”特性，使分布网络的管理变得简单高效。

在实验室级别的测试方面，目前业界对出现在市场上不久的NGFW产品还没有一个公认的测试标准，甚至独立的测试报告都寥寥无几。NSSLabs曾经在几个月前发布了针对Check Point Power-1 11065的单品测试报告，这也是该机构第一次发布NGFW类别的测试报告。我们从中可以看出，针对NGFW产品的测试方法可以理解为在传统防火墙和IPS测试的基础上，补充了针对用户/应用的识别与控制能力的测试。据Check Point中国区技术经理刘刚介绍，该产品在测试中有着非常优秀的性能表现，在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率，成为业界首个获得NSSLabs NGFW“推荐”级别的厂商。但用户也应认识到，实验室环境中的测试结果代表了一种特殊的应用场景，在选型时还应结合自身业务需求寻找更多的评估依据。例如未来如果打算启用DLP功能，就一定要关注重组大小、解码种类等方面的限制，最好能创造环境去测试设备在此条件下的最差性能。此外，我们注意到NSSLabs在应用识别与控制测试中使用的多为欧美地区流行的应用样本，国内用户应当重点考察NGFW产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。

链接一

防火墙技术发展简介

从技术发展角度看，到目前为止，防火墙大致经历了4代变革。

首先出现在市场上的是包过滤防火墙，这类产品可以根据IP数据包的五元组（源地址、目的地址、源端口、目的端口、协议类型）做访问控制，代表性的产品是具备ACL能力的路由器。因为处理逻辑比较简单，包过滤防火墙可以做到相对较高的性能。

包过滤防火墙的缺点是处理不够智能，不能很好地适应网络应用发展的需要，所以逐步被使用状态检测技术（Stateful Packet Inspextion,SPI）的防火墙所取代。状态检测机制在基于五元组执行包过滤的基础上引入了会话的概念，维护一个全局的连接状态表，使访问控制功能更加完善、易用。即便在今天，它仍然是绝大多数防火墙或UTM产品中最基础的处理模块，其地位不可动摇。

应用代理防火墙则采用了与状态检测完全不同的处理机制，改由透明代理中断连接、重组数据。虽然这种技术可以做到非常细粒度的访问控制，但仅支持有限的应用协议，只适用于非常特殊的应用场景。并且该机制注定了相对较低的执行效率，不易于性能的提升（用过ISA的朋友可以仔细体会）。也许是时间比较久远，我们并不记得曾经测试过这类硬件产品，只是在一些使用状态检测机制的防火墙上看到它以功能模块的形式出现。如果您在正在使用的防火墙上看到了针对HTTP、FTP、SMTP等常见协议的指令级或字符串级的过滤功能，不妨尝试开启一下，看看是不是会对性能造成很大影响。截至目前为止，可能只有国标中所定义的安全审计产品仍然在使用应用代理机制。

而深度包检测技术（Deep Packet Inspection，DPI）则可以看做是性能与功能平衡的产物，它在状态检测技术的基础上，尝试对数据流中更多的内容进行检测，以在资源消耗较少的情况下提供部分应用代理级别的安全性。正如名称中强调的那样，大部分采用深度包检测的设备依然不会去做太多的重组工作，仅依靠特征比对的方式执行更复杂的访问控制策略。IDS与IPS就是使用这种技术的标志性产品，它们表现出来的性能虽然比起使用状态检测机制的传统防火墙还有一定的差距，却远高于使用应用代理机制的产品。近年来，DPI在不断改进中又衍生出深度流检测技术（Deep Flow Inspection，DFI），以更好地实现各类安全特性。

链接二

NGFW产品选购指南

用户在选购NGFW产品时肯定会感到更多的困惑。一方面，UTM和NGFW短期内不存在取代关系，经过包装推广的产品在形态上会越来越相似。另一方面，NGFW必然还会加入更多的安全特性，从著名信息安全培训机构SANS的专家结合现有产品和用户需求给出的未来NGFW产品将需集成的功能列表来看，目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼，用户（尤其是中小企业用户）难免会像几年前刚接触UTM那样，产生一种不理智的选购心态。

所以，用户在选型前必须先明确自己的需求是什么，再利用NGFW体系结构上的集成化优势对未来部署做出合理性的规划，否则必将带来过犹不及的负面效果。途牛旅游网的资深网络工程师吴康就谈到这样的体会：该公司在明确自身安全需求后，选择了NGFW产品取代UTM搭配上网行为管理的方案，保护包括订单系统在内的在线OA平台。经过长达半年的细致测试，途牛旅游网的IT团队在用户身份关联的基础上逐步实现了策略的统一配置，成功地在满足需求的同时大幅提升了管理效率。

由此可见，充分的测试也是必不可少的环节，鉴于大部分用户都会同时启用NGFW产品提供的多种功能，我们建议无论是否进行实验室级别的测试，都要做至少3个月以上的、结合自身业务需求的上线测试，尽可能地与原有信息系统磨合，排除潜在隐患。

[page]

百舸争流NGFW

业界对下一代防火墙（NGFW）的产品形态和市场前景都趋于认同。面对越来越多的选择，用户对NGFW产品应理智地分析自身的安全需求，更多地结合测试评估工作进行选型。

■ 本报记者 韩勖 李智鹏

作为一类新的产品形态，下一代防火墙（以下简称NGFW）在市场上已然形成潮流。在被用户充分接受之前，这个产品市场能否顺利发展，很大程度上取决于业内的态度。所以，除了5家已经正式发售NGFW产品的厂商，本次我们还对另外14家信息安全厂商提出了采访邀请，希望了解整个行业对这一新产品形态的看法——这些厂商全部都有防火墙或/及UTM产品在市场上销售，并且长期活跃于国内信息安全市场。经过长时间的沟通，我们最终收到了13份正式答复。业界巨擘思科成为惟一没有接受采访的厂商，让人深感遗憾。

此次采访围绕着NGFW的产品形态和市场前景两大主题进行。从13份答复中可以看出，绝大多数厂商都对Gartner所定义的NGFW产品形态表示充分认同，虽然也有厂商表示个别细节值得商榷，但终归没有明确的反对意见出现。可以认为，Gartner所定义的NGFW标准是对用户需求的高度抽象，是防火墙发展到一个历史阶段的自然产物。除了定义中明确要求必须具有的基础特性，各厂商基本是从自身所擅长的技术领域，以及目标客户需求的视角，来定义NGFW应具有的其他功能。例如：有独立组网能力的H3C与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗DDoS等特性，而传统意义上的信息安全厂商则更关注网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。

对于NGFW产品在国内的市场前景，受访厂商也普遍表示看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争，但必将逐渐替代防火墙、IPS、UTM，成为阶段性的终结者。启明星辰还提到了上网行为管理产品，认为NGFW的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加明确，认为NGFW短期内不会有独立市场，中期来看将从行业用户处开始普及，最终会成为综合网关市场的核心产品。而华为赛门铁克则认为，有中国特色的NGFW必将成为市场的宠儿。

可以看出，业界对NGFW的产品形态和市场前景都趋于认同。也正基于此，13个受访厂商中的5家已明确表示有NGFW产品研发计划，今明两年内我们很可能看到至少4款来自不同厂商的NGFW产品出现在市场上。迪普科技、山石网科则表示现有产品已符合NGFW标准规范，只是未进行过有针对性的包装推广。瞻博网络声称，其2008年发布的SRX系列防火墙是NGFW的代表作，但在该公司官方网站及互联网上我们暂时没有找到相关信息。

如何看待Gartner定义的NGFW标准？

NGFW标准是对用户需求的高度抽象，是防火墙发展到一个历史阶段的自然产物。在我们的采访中，绝大多数厂商都对Gartner定义的NGFW产品形态表示充分认同，也有一些厂商认为个别细节值得商榷。

H3C安全产品部部长马前祖称，Gartner提倡的下一代防火墙产品很类似于UTM，都是尽可能将传统的单一防火墙功能扩充到安全中。“与部分厂商解读的‘NGFW就是将所有的安全功能尽量集中于一体’不同，H3C更注重从网络安全整体的角度看安全产品。Gartner提倡的解决方案是从纯安全的角度去看安全的产品，而H3C更提倡系统化安全。”据介绍，H3C不仅要把防火墙和IPS做成高性能或者互动，同时还要把交换机、路由器与管理中心、桌面控制平台联合到一起，这样可以从各个层面来完善整网的安全解决方案。

“基于应用的流量识别与控制，给客户带来投资减少和管理方便是显而易见的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业程度限制，因此产品形态缺乏标准，指标随意。”马前祖说。

传统防火墙厂商天融信对NGFW的概念有所保留。“随着业务、应用、需求的变化，防火墙的定义和功能也一直在变化，总体趋势是做一个功能更加丰富、性能更高的网关或防火墙。Gartner定义的NGFW标准在一定程度上反映了产业发展的状况，但还存在一些不足。首先精确性有待探讨，实际上，业界各个厂家也有各自的理解，定义还缺乏广泛性和权威性。”北京天融信公司总工程师吴亚飚表示。

吴亚飚认为，Gartner的定义对当前防火墙发展的理解存在片面性，比较适合企业级客户对应用的控制，并不适合大型IDC数据中心的业务。

“根据Gartner的定义，NGFW不是UTM和现有防火墙的简单升级，而是提供了更全面的应用、用户识别机制，更灵活的控制机制，以及更全面的安全防御。NGFW主要对以下方面进行了大的改进：What, NGFW采用基于DPI/DFI技术的检测，能够深入到应用层报文，通过签名、行为特征识别技术，将应用或威胁进一步区分出来，便于制定不同的控制策略；Who，NGFW改变了传统防火墙/UTM依赖于物理设备地址(MAC/IP)和用户身份对应的机制，结合身份认证机制和深度挖掘，更主动和更精准地关联用户的实际身份；Where，在一些应用场合，特别是远程应用，NGFW可以准确判定用户的位置；How，灵活的控制策略和丰富的可视化内容。” 汉柏科技战略产品中心总经理时培昕认为。

NGFW应具备哪些其他功能？

除了Gartner定义的NGFW标准中明确要求必须具有的基础特性之外，各厂商还根据自身擅长的技术领域，以及目标客户的需求，定义了NGFW应具有的其他功能。

“具备多种安全防护功能是下一代防火墙需具备的特点之一，但与此同时，我们注意到目前IT界两大发展趋势：一是带宽越来越宽，以太网标准开始由万兆向40G、100G迈进；二是云计算风生水起，已成为众多企业CIO的关注焦点。NGFW要跻身这个市场，在具有融合的安全防护功能同时，还必须满足以下两个基本要求：高吞吐和高并发的性能弹性匹配，云计算环境中虚拟化技术带来的安全虚拟化需求。”H3C安全产品部部长马前祖认为。

“Gartner定义的NGFW标准主要强调了在应用层抗攻击的重要性，从技术层面上看，我公司认为NGFW需要在应用层实现丰富的审查与控制功能，例如实现应用层的流量分析与过滤、应用层QoS，以及对应用层DDoS攻击的防护，都是下一代防火墙的重要特征。在产品层面，下一代防火墙需要在高可扩展性方面做出更多革新，通过在软件和硬件层面的模块化设计，实现功能、接口数量、处理能力的即插即用式可全面升级，才能够使下一代防火墙具有更长的生命周期。因此，具有长远的技术前瞻性，架构设计优秀的产品才能够作为下一代防火墙的代表。”瞻博网络系统工程师侯志昂表示。

侯志昂认为，NGFW应该实现控制、转发、抗攻击三方面的硬件模块化分离设计。由于下一代防火墙需要在高性能网络中承担应用层审查和攻击抵御的责任，其转发平面势必面临比传统防火墙更为繁重的压力。把控制层面独立出来，在高速安全处理的同时保证管理层面的畅通无阻是提升防火墙的稳定性和可靠性的保障。下一代防火墙中，在高端产品线引入交换矩阵是非常重要的理念，只有通过交换矩阵的方式才能突破跨板卡流量性能的瓶颈，真正实现无阻塞转发。下一代防火墙需要能够实现性能、接口的零配置平滑升级，而决不能是简单的多台独立防火墙堆砌式升级。另外，高可管理性也是下一代防火墙实现的目标。

与具有独立组网能力的H3C和瞻博网络相比，传统意义上的安全厂商则更关注防数据泄露、立体防护、终端接入控制等功能的集成实现。

“就NGFW的定义来看，我公司觉得还需要补充以下两方面内容：一是在Gartner的定义中对威胁关注点是由‘外’向‘内’（或称之为攻击），对内部的数据安全考虑较少，面对日益严重的数据泄漏问题，有必要在网络边界处增加对内部数据安全的解决方案；二是以用户为访问控制的策略上，需要考虑终端与边界防护的立体防护方案，在终端的接入上进行必要的控制。”北京安氏领信科技发展有限公司研发总监杜永峰表示。

山石网科技术市场经理任磊则认为，NGFW应打破传统的单一功能叠加，实现基于应用的综合控制，其中只拆一次包和并行处理是关键。在识别应用的基础上，应能够对协议中的行为做深层次的可视、管理和安全控制。“除去安全功能外，在网络技术发展的今天，应用的变化不仅使数据流量增加，更高的并发连接和更多的会话一直困扰着传统设备；另外，当把多项功能集中于一台设备上的时候，软硬件的高可靠设计也是至关重要的。软件方面，AA、集群等可以通过软件算法实现多台设备之间的互备；而硬件方面，多控制冗余、多处理冗余、多进程冗余、多电源冗余等设计可以帮助设备在根本上提高稳定性。”

NGFW在国内的市场前景如何？

对于NGFW产品在国内的市场前景，受访厂商普遍看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争，但其必将逐渐替代防火墙、IPS、UTM，成为阶段性的终结者。

“短期内NGFW在国内不会形成独立的市场，将会与传统的防火墙、UTM，甚至IPS、上网行为等网关类产品形成直接竞争。中期内，由于国内各类用户对新产品的认可度不同，NGFW产品将会先在大型企业、金融、电信等中高端领域被用户接受。长期看，由于NGFW代表了未来综合安全网关的发展方向，国内其他防火墙、UTM厂商会逐渐改进现有产品线以符合NGFW方向。最终，NGFW会成为综合网关市场最核心的产品形态。”绿盟科技产品管理中心总监王伟认为。

“NGFW代表着防火墙产品发展的一种趋势，在数据处理模式和效率方面有质的提升，这种提升已经与国内网络发展的需求相匹配，理应成为未来用户解决网络安全问题的主流选择。而随着云计算环境下安全的需求和虚拟化技术的不断普及，在安全方面针对应用的高性能深层防护将出现井喷式需求，市场潜力是巨大的。” 山石网科技术市场经理任磊表示。

“尽管目前NGFW在整体安全市场上的占有率不足1%，但我们对其未来的发展充满信心，尤其是在中小企业市场。很多人都会拿UTM来与NGFW进行比较，权且不论国际市场如何，就国内情况来看，UTM大而全、性能低下、没有整体防御逻辑的诟病较难被国内用户接受，NGFW全新的产品理念在迎合企业管理需求上能很好地弥补UTM的不足，市场前景看好。”北京安氏领信科技发展有限公司研发总监杜永峰认为。

北京启明星辰信息安全技术有限公司产品管理中心产品部副经理任平特别提到了NGFW对上网行为管理市场的冲击：“NGFW在国内最可能首先冲击上网行为管理市场，最终替代上网行为管理产品，与防火墙、UTM和IPS产品形成新的市场布局，并形成相对长期的竞争态势，相互功能也会不断融合。”任平认为，NGFW的出现是紧跟应用安全需求的产物，市场发展前景相对比较乐观，但会在经历一个爆发期后，与各种形态的网关产品市场形成比较理性的布局。“NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求，国内安全厂商对专用硬件平台的驾驭能力会在一定程度上影响NGFW产品在国内市场的发展。在没有颠覆性软硬件技术革新网关商用模式的前提下，UTM、NGFW之间还难以形成替代关系。而两者差异的存在，使其在部署上反而会存在一定的互补性，满足用户的多维度需求。”

网御神州副总裁王刚则认为，NGFW会带动整个防火墙市场实现突破：“防火墙产品作为边界安全第一道防线，仍是安全市场的需求热点，且仍会占据安全市场的最大份额。NGFW作为防火墙产品中的一员，自然会在这个市场中占有一席之地。短期来看，用户接受NGFW还需要一个过程；长期来看，NGFW能更好地解决部分现有防火墙难解决的问题，市场增长速度会超过防火墙整体市场增长速度。当国内厂商积极引导客户的需求，一致推出NGFW产品时，会掀起市场的热潮，不仅NGFW市场需求会扩大，而且整个防火墙市场也会受益、获得更大的突破。”

计划何时推出NGFW产品？

在13家受访厂商中，有3家厂商宣称已有符合NGFW标准规范的产品推出，只是没有按照NGFW的提法进行包装；有5家明确表示已有NGFW产品研发计划，今明两年内将推出产品。总体来说，厂商对NGFW产品的态度比较积极。

瞻博网络认为，其2008年发布的SRX系列防火墙就是NGFW的代表作。

山石网科也声称，从产品功能来看，该公司产品早在2008年就具备了Gartner定义的NGFW特征。

迪普科技产品部副部长孙晓明认为，其现有的FW1000和UTM2000都可以归入NGFW类中。“其中FW1000应用防火墙除具有基本防火墙功能以外，还具有对四层攻击、拒绝服务攻击的抵御能力，可以对P2P、网络游戏、炒股软件等各种应用协议进行识别并进行限流或者阻断，可以基于自带的1000万条的URL库进行URL过滤等功能。而UTM2000系列产品在FW1000应用防火墙产品的基础上还增加了IPS、防病毒、应用控制、关键字过滤、行为审计等功能。无论是FW1000还是UTM2000，都是采用‘一次解析、多次匹配’、单引擎+多库合一（协议库、漏洞库、病毒库、URL库）的模式，使产品在设计上具有非常好的伸缩性。” 孙晓明表示。

“网御星云早在2010年初就已立项启动下一代智能感控防火墙的研发，当前正在最后试验阶段，产品功能包括所有NGFW的特性，并融合了网御星云的云防御理念，预计将于2011年下半年全面上市。”网御星云副总裁、CTO毕学尧说。

东软集团股份有限公司网络安全产品营销中心产品策划部部长王军民的态度则相对比较冷静：“对新技术的跟踪，我公司一直以来都是非常关注的，但产品化要看市场的成熟度，上市太早没有销量，投资的资金压力会很大，而上市太晚又会失去很多市场机会。如何拿捏好产品上市的尺度，是需要进行周密考虑的。总体上看，未来两年将是NGFW产品发展的高速上升期。”

华为赛门铁克科技有限公司安全市场与产品行销部部长武鹏表示，该公司早就开始研究下一代网络安全产品技术、并积累了大量的经验，今年全面整合研发资源、研发下一代网络安全产品。“目前我们的挑战是如何设计一个高效率的新的体系架构。我们致力于为中国客户提供下一代的网络安全产品，一体化的安全防御、更高的性能、更丰富的策略、更简便的管理，全系列产品都将向下一代产品演进，这对客户是个很好的消息。”