前言：下一代防火墙方兴未艾

随着下一代防火墙概念的提出，目前很多国内外的安全厂商竞相推出自己的下一代防火墙产品。为了解国内下一代防火墙产品发展的最新动向，《网络世界》评测实验室分别向梭子鱼、Check Point、思科、Dell SonicWALL、Fortinet、华为、H3C、杭州迪普、Juniper、绿盟、PaloAlto、启明星辰、深信服、山石网科、天融信、网康、网神(厂商按字母排序，不分先后)等十几家国内外网络安全厂商发出了下一代防火墙产品公开对比评测的邀请。然而反回的结果确由衷的令人感到失望。国外厂商中除梭子鱼外，均无法在国内提供相关的测试产品，国内有的安全厂商虽然在大力进行产品宣传，但实际产品还未真正成熟。最终仅有梭子鱼、网康、网神三家产品送测，并且在合作伙伴的协助下，对PaloAlto下一代防火墙功能进行了深入了解。由此可见，下一代防火墙这种全新的网络应用防护技术在国内的大部分厂商中广泛应用依然尚待时日。因此我们转变了公开对比评测的角度，对这几家厂商的下一代防火墙产品进行了深入的技术分析。

那么下一代防火墙与新一代的多功能安全网关有什么区别?随着评测的惑生、惑析、惑明、惑媚逐渐的，我们对下一代防火墙有了更深入的了解，同时在惑评中对如何评估网关应用安全产品进行了一次深入分析。总体上讲，下一代防火墙虽然方兴未艾，但依然不能否定其技术的先进性。尤其是在其对网络应用及应用威胁的深度解析处理上，有着很广泛的发展前景。因此我们期望，经过一段时间的发展之后，下一代防火墙技术可以真正的蓬勃发展，为网络用户提供更加全面的网络安全服务。

惑生——下一代防火墙

自从Gartner推出下一个防火墙定义之后，各大安全厂商积极响应，均在极力的宣传自身的下一代防火墙产品。那么下一代防火墙具备了什么神奇的功能，可以今众多网络安全厂商竞相追捧呢?在对下一代防火墙产品进行深入了解之前，作者心中始终存有疑问：什么是下一代防火墙?什么样的产品才可能称得上是下一代的防火墙产品?

近年来，在作者对网关安全产品的间接接触与实际了解中发现：无论是防火墙、IPS还是功能集成度更高的UTM产品，在功能设计时，或多或少都加入一些应用层管理控制功能，并且随着网络安全设备应用层处理能力的飞速提升，不同安全功能模块同时开启后对网络应用性能的影响也在急速减少，很多UTM产品在开启所有安全功能后，也并未对其网络处理性能产生过高的影响。至于应用识别的可视性，在许多上网行为管理以及流量管理产品中这已经是比较成熟的功能了，在网关安全产品中加入此类管理功能的安全产品目前也十分常见。难道说所谓下一代防火墙就是一个集成度更高的UTM吗?!

基于上面安全产品的分析，不由始人产生一种疑惑，下一代防火墙的先进性究竟在哪里?难道说“下一代”仅是Gartner的一种市场宣传手段吗?为此《网络世界》评测实验室展开了本次下一代防火墙技术公开对比评测活动。希望可以通过对不同厂商下一代防火墙产品的技术分析，更深入的了解下一代防火墙到底可以为用户带来什么样的新安全体验。

惑起——网络安全

为了对下一代防火墙产品有一个正确的评估，我们首先需要将下一代防火墙产品在网络安全中进行一个准确定位。从而进一步分析下一代防火墙产品可以解决用户哪些方面的网络安全问题。然而在进行这方面的工作时，却让我们产生出了更多的困惑，主要体现在以下三个方面：

惑一：网络安全定义与产品功能的迷茫

首先，我们试着从网络安全定义的角度去对下一代防火墙的功能特点进行分析。但在分析过程中却发现网络安全定义的概念与下一代防火墙所定义的功能特点很难进行匹配。

从网络安全的定义中我们了解到：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全本质上来讲是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

然而在目前已知的下一代防火墙功能定义中，仅把下一代防火墙定义成具备第一代防火墙功能、具有集成式网络入侵防御能力、业务识别的应用可视性以及智能联动功能。

我们试着将网络安全的定义与下一代防火墙的功能定义进行对比分析，可是发现网络安全定义比较宽泛，很难与下一代防火墙的具体功能进行匹配分析。

可是，没有一个准确的定义，我们应当如何将下一代防火墙的安全防护功能进行分析?没有理论分析的话，应用性评估就更加无从谈起了。因此，对这个问题我们决定转换一个角度，从网络安全的应用需求来对下一代防火墙产品进行分析。

惑二：网络安全的应用需求

《网络世界》评测实验室在对厂商网络安全产品测试过程中，积累了大批网络安全产品的测试经验，同时，也对网络安全产品的应用需求有了较深入的了解。通过对这些网络安全应用需求的分析，我们可以了解，当前网络安全产品主要应用于两个不同的领域：

一个是目前常见的网关安全领域，大多数应用在中小企业的网关进行部署，主要用于企业内部数据的加密传输(VPN)、企业内部对外的网络安全访问、还有一部分网络流量管理的应用需求目前也开始集成到网关安全设备之中。

另一个是网络的干路及核心的网络安全，大多部署在大型企业数据中心、电信机房主要完成一些网络内部端口管理、攻击消减等任务，但由于部署位置关键、所需处理网络流量大，因此需要产品具有很高的可靠性及很高的网络处理性能。

目前在这两种不同的网络安全部署应用中，均对网络安全应用处理能力产生了基于深度网络应用连接分析的新需求，而下一代防火墙产品是否具备足够的功能去应对这两方面的应用?为此我们心中依然充满疑虑。为此，我们进一步对当前网络安全产品的应用现状进行了分析。

惑三：网络安全产品应用现状

目前网络安全产品应用中，两极分化十分严重。有些企业用户开始一层一层的叠加网络安全设备，然而过多的网络设备叠加不但使得网络管理变得复杂，还为网络的可靠运行增加了隐患。有些企业被迫开始了不采用网络安全设备的“裸奔”，甘愿忍受网络威胁前来肆虐!

究其原因，是因为当前的网络安全产品，尤其是防火墙类网络安全产品在网络应用安全防护方面的不足所造成的。传统防火墙的针对网络端口及简单的应用分析过滤功能已无力对日益泛滥的网络应用威胁进行防护。在目前抵御日益泛滥的网络应用层威胁的时候，通常只能通过被动更新安全补丁或增加新的网络应用安全防护设备这两种手段来进行。因此传统防火墙在目前的网络安全产品中已经退化到了一种可有可无的尴尬境地。

因此，注重网络安全的用户开始被迫一层层的进行网络安全设备叠加，为网络安全的防护增加了不菲的资金投入。而另一些网络用户认为在网络安全方面没必要有如此高的投入，甚至有极端的用户居然连防火墙也不采购开始了赤裸裸的裸奔生涯。