防火墻產(chǎn)品從上世紀(jì)九十年代至今，雖然歷經(jīng)系統(tǒng)架構(gòu)和軟件形態(tài)的多次革新，但在技術(shù)發(fā)展和用戶、帶寬不斷增長(zhǎng)的今天，卻愈發(fā)難以滿足多方面的挑戰(zhàn)。尤其是在當(dāng)前最熱門(mén)的數(shù)據(jù)中心和云計(jì)算環(huán)境下，以太網(wǎng)標(biāo)準(zhǔn)由萬(wàn)兆開(kāi)始向40G/100G邁進(jìn)，我國(guó)各類(lèi)數(shù)據(jù)中心和機(jī)房總量已經(jīng)達(dá)到50余萬(wàn)個(gè)。業(yè)務(wù)低延遲、高可靠保證和智能化安全管理，都對(duì)網(wǎng)關(guān)安全產(chǎn)品的性能和功能提出了新的要求。

今年以來(lái)，銳捷網(wǎng)絡(luò)、梭子魚(yú)、深信服陸續(xù)在國(guó)內(nèi)發(fā)布下一代防火墻(Next Generation Firewall,以下簡(jiǎn)稱NGFW)產(chǎn)品，加上已經(jīng)在市場(chǎng)上耕耘的SonicWALL、juniper、Check Point等廠商，這個(gè)在2009年Gartner定義的來(lái)形容防火墻進(jìn)化發(fā)展的產(chǎn)品似乎迎來(lái)了春天。

傳統(tǒng)的安全架構(gòu)，如今在面對(duì)數(shù)據(jù)中心帶來(lái)的大規(guī)模整合和互聯(lián)、云計(jì)算和移動(dòng)計(jì)算更為分散和全方位的安全需求時(shí)，正在經(jīng)受考驗(yàn)和CIO的質(zhì)疑，NGFW的出世是否為安全"老三樣"注入"興奮劑".經(jīng)過(guò)我們走訪和接觸數(shù)家安全及NGFW廠商發(fā)現(xiàn)，各家對(duì)NGFW的定義雖不盡相同，但發(fā)展訴求是一致的。在提到NGFW能否替代網(wǎng)絡(luò)防火墻、IPS、UTM時(shí)，各家也是眾說(shuō)紛紜，有斬釘截鐵說(shuō)是的，有認(rèn)為應(yīng)根據(jù)網(wǎng)絡(luò)環(huán)境來(lái)區(qū)別對(duì)待的，有認(rèn)為對(duì)某產(chǎn)品來(lái)說(shuō)是可以完全替代的，還有提到會(huì)對(duì)其他網(wǎng)安產(chǎn)品形成沖擊的，相信您在猶豫或面臨抉擇時(shí)能找到一份答案。對(duì)于用戶而言，要的不僅是高性能、多功能的安全產(chǎn)品，在面對(duì)威脅時(shí)，一款定位于邊界防御的安全產(chǎn)品能否表現(xiàn)出穩(wěn)定和高可靠性至關(guān)重要，對(duì)此，我們發(fā)現(xiàn)各家廠商的回答也是不一，但終究是要經(jīng)過(guò)市場(chǎng)應(yīng)用考驗(yàn)。其實(shí)，很多CIO也發(fā)現(xiàn)在面對(duì)網(wǎng)絡(luò)架構(gòu)的演進(jìn)和更復(fù)雜的終端設(shè)備和用戶應(yīng)用，對(duì)傳統(tǒng)防御造成挑戰(zhàn)，然而作為應(yīng)運(yùn)而生的一款全新產(chǎn)品NGFW能否挑起大梁，值得關(guān)注和討論。

與傳統(tǒng)的網(wǎng)絡(luò)防火墻和UTM產(chǎn)品相比，NGFW的不同之處在哪里?硬件架構(gòu)做了哪些改變?NGFW相對(duì)傳統(tǒng)獨(dú)立的網(wǎng)絡(luò)安全架構(gòu)是否具有穩(wěn)定和可靠性?企業(yè)部署應(yīng)該做哪些準(zhǔn)備，如何選型?近日，ZDNET安全頻道采訪國(guó)內(nèi)外數(shù)十家主流安全及NGFW廠商，帶您撥開(kāi)云霧。同時(shí)，并策劃一期專題"應(yīng)運(yùn)而生，看下一代防火墻能否笑傲江湖",敬請(qǐng)大家關(guān)注。

FW力不從心 防火墻在演進(jìn)

目前不管是網(wǎng)絡(luò)廠商、專業(yè)防火墻廠商、IPS或應(yīng)用控制網(wǎng)關(guān)等廠商都在圖謀這一領(lǐng)域，在Gartner定義的產(chǎn)品特性基礎(chǔ)上，各家廠商也根據(jù)自己的傳統(tǒng)優(yōu)勢(shì)詮釋著自己對(duì)NGFW的理解。

企業(yè)將面臨來(lái)自于Internet的病毒、木馬、DDOS攻擊、網(wǎng)絡(luò)釣魚(yú)、SQL注入等種類(lèi)繁多且危害巨大的威脅，H3C網(wǎng)絡(luò)安全產(chǎn)品部安全技術(shù)總監(jiān)李彥賓在接受ZDNet采訪時(shí)表示，H3C認(rèn)為在數(shù)據(jù)中心和云計(jì)算中下一代防火墻應(yīng)該具備"虛擬化、高性能、高可靠以及智能化"四個(gè)特征，會(huì)向高性能、高可靠，虛擬化和智能化演進(jìn)。

對(duì)于SonicWALL來(lái)說(shuō)，下一代防火墻包括以下元素，第一個(gè)是入侵防護(hù)服務(wù)，另外是網(wǎng)關(guān)防病毒服務(wù)，還有防火墻的保護(hù)。同時(shí)包括以下特性，如內(nèi)容過(guò)濾功能、反垃圾郵件功能，以及通過(guò)策略來(lái)管理應(yīng)用程序的功能，同樣也包括確保網(wǎng)絡(luò)的可視性，并能對(duì)網(wǎng)絡(luò)中的每一個(gè)正在進(jìn)行的數(shù)據(jù)流進(jìn)行全面的檢測(cè)，SonicWALL中國(guó)區(qū)技術(shù)經(jīng)理蔡永生介紹說(shuō)。

綠盟科技產(chǎn)品市場(chǎng)經(jīng)理段繼平認(rèn)為，NGFW除了對(duì)web2.0應(yīng)用的識(shí)別管理能力外，還強(qiáng)調(diào)區(qū)分于UTM最重要的指標(biāo)之一的性能。并能夠集成IPS,Gartner認(rèn)為NGFW需要集成IPS功能，但不是像UTM那樣做簡(jiǎn)單疊加，而是要將IPS無(wú)縫的功能融合入NGFW產(chǎn)品中去。以及用戶集成，強(qiáng)調(diào)用戶身份與NGFW策略的整合。NGFW的這4點(diǎn)特征針對(duì)UTM存在的短板做了改進(jìn)，并強(qiáng)調(diào)與目前最新的安全趨勢(shì)融合。

雖然NGFW沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，經(jīng)過(guò)采訪我們發(fā)現(xiàn)，各家廠商對(duì)NGFW的發(fā)展訴求是一致的，把傳統(tǒng)防火墻將訪問(wèn)控制對(duì)象從網(wǎng)絡(luò)層、傳輸層(L3-L4)調(diào)整為應(yīng)用層(L7)協(xié)議，并能夠識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整的安全防護(hù)能力的高性能下一代防火墻。

#p#

NGFW能否替代FW、IPS、UTM

眾所周知，傳統(tǒng)防火墻在上個(gè)世紀(jì)90年代就已經(jīng)得到了廣泛應(yīng)用，種類(lèi)也比較多。而UTM概念是2004年IDC發(fā)表的，NGFW的概念是2009年Gartner發(fā)表的。新的網(wǎng)絡(luò)環(huán)境下，出現(xiàn)了哪些新的安全威脅，用戶安全需求又在如何轉(zhuǎn)變，傳統(tǒng)的安全設(shè)備如何變得愈加無(wú)力。

對(duì)此，梭子魚(yú)產(chǎn)品經(jīng)理潘淵告訴記者，傳統(tǒng)防火墻只能提供一般意義上的數(shù)據(jù)包轉(zhuǎn)發(fā)和攔截功能，以及一些簡(jiǎn)單的包檢測(cè)機(jī)制。UTM和傳統(tǒng)防火墻相比，確實(shí)增加了很多過(guò)濾功能，包括應(yīng)用層的識(shí)別和過(guò)濾。但是UTM的致命缺陷是由于采用串行掃描方式，處理效率低下。即便是增加了單點(diǎn)解決方案，能提供對(duì)email業(yè)務(wù)、Web應(yīng)用、遠(yuǎn)程接入、即時(shí)通訊軟件等病毒防護(hù)，但運(yùn)營(yíng)成本也會(huì)大幅度提高。而NGFW采用了高效的并行處理機(jī)制，并集成了網(wǎng)絡(luò)安全、內(nèi)容安全以及基于七層應(yīng)用管理的網(wǎng)絡(luò)接入控制保護(hù)能夠抵御來(lái)自應(yīng)用層的攻擊，有效解決UTM的本質(zhì)缺陷。

UTM誕生是因?yàn)樵缙诘木W(wǎng)絡(luò)防火墻在IPS、反病毒、防惡意代碼、反垃圾郵件等功能的缺失，而在其基礎(chǔ)上堆砌了這些功能，邁克菲中國(guó)區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉強(qiáng)調(diào)說(shuō)，UTM產(chǎn)品的本質(zhì)仍然是基于傳統(tǒng)網(wǎng)絡(luò)防火墻架構(gòu)的過(guò)渡性產(chǎn)品，其底層架構(gòu)與傳統(tǒng)網(wǎng)絡(luò)防火墻無(wú)異。

"NGFW更注重在Web2.0時(shí)代的客戶體驗(yàn)，比如采用客戶化的GUI,多核CPU并發(fā)處理等。隨著企業(yè)的發(fā)展，需要更主動(dòng)，更直觀，更定制化，性能更高的安全產(chǎn)品，這是NGFW的特點(diǎn)。對(duì)于企業(yè)來(lái)說(shuō)，NGFW更貼合現(xiàn)有網(wǎng)絡(luò)環(huán)境，對(duì)企業(yè)業(yè)務(wù)保護(hù)更加全面。"天融信方案與推廣副總裁劉輝說(shuō)。

各大廠商幾乎不約而同的說(shuō)到，不論是傳統(tǒng)防火墻還是UTM,已無(wú)力應(yīng)對(duì)Web2.0交換式多種應(yīng)用場(chǎng)景下的實(shí)時(shí)變化的安全威脅。在記者問(wèn)到NGFW將是網(wǎng)絡(luò)防火墻、IPS、UTM的替代品嗎的問(wèn)題時(shí)。瞻博網(wǎng)絡(luò)大中國(guó)區(qū)產(chǎn)品市場(chǎng)經(jīng)理譚俊直言道，"是的，這是一個(gè)基于新一代架構(gòu)和理念不斷創(chuàng)新和演進(jìn)的過(guò)程。" 深信服市場(chǎng)行銷(xiāo)部技術(shù)總監(jiān)殷浩表示，傳統(tǒng)防火墻、UTM由于低廉的采購(gòu)成本，在少數(shù)簡(jiǎn)單網(wǎng)絡(luò)環(huán)境還是會(huì)成為用戶的一種選擇。但最終面對(duì)用戶的應(yīng)用層安全需求，F(xiàn)W、UTM終將不斷演進(jìn)到NGFW的產(chǎn)品形態(tài)。邁克菲中國(guó)區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉的回答更為保守，他認(rèn)為，對(duì)于一些安全要求比較低的網(wǎng)絡(luò)環(huán)境比如企業(yè)的訪客網(wǎng)絡(luò)，非核心業(yè)務(wù)網(wǎng)絡(luò)等，傳統(tǒng)網(wǎng)絡(luò)防火墻還是有其應(yīng)用需求的，并且可以和NGFW實(shí)現(xiàn)梯次配置，實(shí)現(xiàn)差異化分層防護(hù)。IPS產(chǎn)品的優(yōu)勢(shì)在于利用簽名技術(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行快速、無(wú)時(shí)延的檢索，要求其有高轉(zhuǎn)發(fā)率特性，擅長(zhǎng)檢索已知網(wǎng)絡(luò)威脅，防止DDos攻擊等，因而與NGFW相比有各自不同的關(guān)注重點(diǎn)。但在談到UTM時(shí)，郭偉認(rèn)為，凡是UTM能夠部署的地方， NGFW都可以無(wú)縫替換，更加之UTM一直存在性能瓶頸，所以UTM產(chǎn)品最終會(huì)為NGFW所取代。啟明星辰邊界安全產(chǎn)品部副經(jīng)理馬駿則特別強(qiáng)調(diào)了NGFW對(duì)上網(wǎng)行為管理市場(chǎng)的沖擊，馬駿認(rèn)為，NGFW最終會(huì)替代上網(wǎng)行為管理產(chǎn)品，與FW、UTM和IPS產(chǎn)品會(huì)形成新的市場(chǎng)布局，并形成相對(duì)長(zhǎng)期競(jìng)爭(zhēng)態(tài)勢(shì)，相互功能也會(huì)不斷融合，與各種形態(tài)的網(wǎng)關(guān)產(chǎn)品市場(chǎng)形成比較理性的布局。

#p#

NGFW單次解析架構(gòu) 滿足網(wǎng)絡(luò)高性能

很多用戶對(duì)UTM的抱怨是，如果對(duì)集成的多種功能同時(shí)開(kāi)啟，性能顯著下降，從而無(wú)法兌現(xiàn)其標(biāo)稱的性能指標(biāo)。打個(gè)比方，UTM產(chǎn)品架構(gòu)類(lèi)似于我們經(jīng)常在城鎮(zhèn)郊區(qū)看到的自建房，因?yàn)橐婚_(kāi)始沒(méi)有統(tǒng)籌規(guī)劃，在擴(kuò)建上只能在原來(lái)的平房的基礎(chǔ)上加蓋，但你很少見(jiàn)到加蓋的層數(shù)超過(guò)4層。因?yàn)檫@樣，地基、承重墻都無(wú)法負(fù)擔(dān)。這就是目前UTM的架構(gòu)。

"這實(shí)際上是由于UTM產(chǎn)品軟硬件架構(gòu)設(shè)計(jì)原理瓶頸所致，" 邁克菲中國(guó)區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉說(shuō)到，NGFW在設(shè)計(jì)之前就已經(jīng)考慮到未來(lái)安全的需求變化，軟硬件架構(gòu)采用了分離棧的設(shè)計(jì)思路，不同的應(yīng)用防護(hù)，不同的功能集成項(xiàng)分別設(shè)置分離的TCP/IP棧結(jié)構(gòu)，充分利用了目前硬件的多CPU、多喝的硬件體系，所以在全部功能加載運(yùn)行后不會(huì)像UTM產(chǎn)品那樣，雖然功能比較全，但實(shí)際應(yīng)用場(chǎng)景中性能指標(biāo)無(wú)法滿足，而最終導(dǎo)致很多UTM功能成為擺設(shè)。

深信服市場(chǎng)行銷(xiāo)部技術(shù)總監(jiān)殷浩告訴記者，NGAF采用單次解析架構(gòu)，結(jié)合多核并行處理技術(shù)，將所有內(nèi)容掃描功能混合在一個(gè)模塊完成，由于所有數(shù)據(jù)流只會(huì)有一次掃描，性能就得到了大幅提升，相對(duì)于多數(shù)UTM僅有幾百兆到1G的應(yīng)用層性能來(lái)說(shuō)，NGAF實(shí)現(xiàn)10G應(yīng)用層吞吐能力更能滿足用戶對(duì)高性能場(chǎng)景的需求。梭子魚(yú)梭子魚(yú)產(chǎn)品經(jīng)理潘淵表示，"性能差異是UTM設(shè)備和NGFW設(shè)備最根本的區(qū)別，這是由于完全不同的功能實(shí)現(xiàn)機(jī)制導(dǎo)致的。梭子魚(yú)下一代NGFW特有的ACPF防火墻引擎技術(shù)，通過(guò)一次性的解包，并行處理所有識(shí)別、掃描、過(guò)濾與控制，大大提升數(shù)據(jù)處理效率。"

NGFW的重要特點(diǎn)就是開(kāi)啟多重安全功能后性能不會(huì)出現(xiàn)明顯下降，綠盟科技產(chǎn)品市場(chǎng)經(jīng)理段繼平解釋到，NGFW相對(duì)于原有的UTM產(chǎn)品最大的創(chuàng)新在于軟件方面，比如軟件架構(gòu)采用統(tǒng)一引擎架構(gòu)，將原有的安全功能的堆疊變?yōu)榘踩δ艿娜诤希赪eb 2.0 的可視化等。

傳統(tǒng)UTM設(shè)備僅僅將FW、IPS、AV進(jìn)行簡(jiǎn)單的整合，開(kāi)啟多個(gè)模塊時(shí)是串行處理機(jī)制，一個(gè)數(shù)據(jù)包先過(guò)一個(gè)模塊處理一遍，再重新過(guò)另一個(gè)模塊處理，一個(gè)數(shù)據(jù)要經(jīng)過(guò)多次拆包，多次分析，導(dǎo)致降低了包的處理傳輸效率。這是我們采訪時(shí)聽(tīng)到的最多的答案。NGFW由于實(shí)現(xiàn)在一次拆包中的并行處理，山石網(wǎng)科技術(shù)市場(chǎng)經(jīng)理任磊強(qiáng)調(diào)到，"在設(shè)備本身硬件架構(gòu)方面勢(shì)必要采用具備并行處理能力的多核處理芯片，而在當(dāng)前眾多安全廠商的多核產(chǎn)品中以采用多核網(wǎng)絡(luò)專用架構(gòu)的解決方案更適用于當(dāng)前復(fù)雜應(yīng)用控制、安全防護(hù)的網(wǎng)絡(luò)。

#p#

面對(duì)穩(wěn)定和可靠性 NGFW能否經(jīng)得起考驗(yàn)

通過(guò)我們逐步深入的了解，顯然，NGFW具備高度融合的特性。所以，NGFW自身必須具備高度的穩(wěn)定性、可靠性和性能可擴(kuò)展性，這是一個(gè)前提條件，否則自身會(huì)成為安全防御和網(wǎng)絡(luò)性能的一個(gè)薄弱點(diǎn)。面對(duì)重大的網(wǎng)絡(luò)入侵，如何依然保證其高度穩(wěn)定和可靠性，就要求實(shí)現(xiàn)的產(chǎn)品具備高度成熟的模塊化操作系統(tǒng)，高可靠的電信級(jí)冗余設(shè)計(jì)，可擴(kuò)展性和高性能。NGFW能否擔(dān)此重任，或者相比傳統(tǒng)獨(dú)立安全設(shè)備是否具有優(yōu)勢(shì)，看記者深入采訪，且聽(tīng)百家爭(zhēng)鳴。

北美和歐洲的政府機(jī)構(gòu)，包括對(duì)網(wǎng)絡(luò)安全管控要求較高的機(jī)構(gòu)和阻止，例如：國(guó)家基礎(chǔ)設(shè)施，電力、能源、水利等領(lǐng)域在最近幾年已經(jīng)幾乎摒棄了傳統(tǒng)網(wǎng)絡(luò)防火墻和UTM設(shè)備的采購(gòu)而轉(zhuǎn)向NGFW.再看看全球500強(qiáng)的大型跨國(guó)公司目前對(duì)網(wǎng)絡(luò)安全的設(shè)備需求也都紛紛轉(zhuǎn)向到更加專注于應(yīng)用安全管控NGFW為主體，包括銀行、保險(xiǎn)等機(jī)構(gòu)，例如對(duì)知識(shí)產(chǎn)權(quán)關(guān)注度較高的Hi-Tech公司。新加坡也從2009年規(guī)定，今后有關(guān)政府、公共安全部門(mén)的防火墻采購(gòu)需求將以NGFW為主體，不再考慮對(duì)傳統(tǒng)網(wǎng)絡(luò)防火墻和UTM的采購(gòu)。邁克菲中國(guó)區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉強(qiáng)調(diào)，"這些都在商務(wù)和客戶層面證實(shí)了NGFW能夠滿足企業(yè)對(duì)網(wǎng)絡(luò)安全產(chǎn)品的穩(wěn)定性和可靠性的要求。"

天融信方案與推廣副總裁劉輝表示，"NGFW產(chǎn)品一般都集成了多種安全引擎，使其具備了防火墻、IPSEC VPN、SSL VPN、防病毒、IPS、虛擬防火墻等安全功能。這些功能將通過(guò)一個(gè)引擎進(jìn)行檢測(cè)，通過(guò)統(tǒng)一的界面控制，無(wú)論遇到那種威脅，智能管理系統(tǒng)都會(huì)執(zhí)行相應(yīng)的策略，用最有效的功能組合來(lái)阻擋入侵。相對(duì)于單獨(dú)的安全產(chǎn)品堆砌來(lái)說(shuō)，NGFW各項(xiàng)功能間的配合更緊密。比如入侵防御模塊發(fā)現(xiàn)的威脅可以自動(dòng)加載到防火墻規(guī)則內(nèi)，在網(wǎng)絡(luò)層就能提前被阻斷，防火墻和入侵防御已經(jīng)不僅僅是互動(dòng)關(guān)系，而是一個(gè)整體。"

"對(duì)于常見(jiàn)的網(wǎng)絡(luò)層入侵，NGFW所具備的更高每秒新建會(huì)話能力在相同軟件算法的情況下可以提供更強(qiáng)壯的抗攻擊能力;對(duì)于應(yīng)用層攻擊，NGFW真正集成IPS后在一次拆包就可以實(shí)現(xiàn)對(duì)入侵行為的識(shí)別、動(dòng)作和記錄，這種無(wú)縫對(duì)接保證了對(duì)網(wǎng)絡(luò)入侵行為出現(xiàn)時(shí)的時(shí)效性、準(zhǔn)確性和高處理性能。"山石網(wǎng)科技術(shù)市場(chǎng)經(jīng)理任磊顯然對(duì)于NGFW的防御能力深信不疑。

而H3C網(wǎng)絡(luò)安全產(chǎn)品部安全技術(shù)總監(jiān)李彥賓的回答則大相徑庭，他對(duì)NGFW的表現(xiàn)顯然不那么樂(lè)觀，"面對(duì)重大的網(wǎng)絡(luò)入侵，NGFW融合的設(shè)備相對(duì)IPS(入侵防御系統(tǒng))獨(dú)立安全設(shè)備在穩(wěn)定性和可靠性方面還有一定的差距。比如IPS透明部署在網(wǎng)絡(luò)中，在遇到極端情況下，有二層回退、PFC掉電保護(hù)等多種可靠性設(shè)計(jì)，保證業(yè)務(wù)的暢通。而NGFW作為網(wǎng)關(guān)部署在網(wǎng)絡(luò)中，一旦出現(xiàn)問(wèn)題，會(huì)造成網(wǎng)絡(luò)的中斷。"

國(guó)標(biāo)中對(duì)入侵的定義是指"任何危害或可能危害資源完整性、保密性、可用性的行為",網(wǎng)絡(luò)入侵往往包含了多種攻擊手段，從攻擊過(guò)程來(lái)看，是一個(gè)動(dòng)態(tài)的、長(zhǎng)期的、變化的過(guò)程，涉及人員、網(wǎng)絡(luò)、設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)多個(gè)方面。啟明星辰邊界安全產(chǎn)品部副經(jīng)理馬駿表示，從縱深防御體系來(lái)看，NGFW是定位在邊界防御，考量NGFW的重要指標(biāo)在于其安全防御能力以及事件庫(kù)的更新速度，這方面取決于廠商在漏洞研究、漏洞驗(yàn)證、入侵檢測(cè)、快速響應(yīng)、硬件整合等多方面的能力，是廠商綜合能力的體現(xiàn)。專業(yè)設(shè)備在這方面目前做得很成熟，并已經(jīng)獲得市場(chǎng)和用戶的認(rèn)可。在NGFW上還需要時(shí)間和市場(chǎng)應(yīng)用的檢驗(yàn)。

#p#

應(yīng)運(yùn)而生 NGFW是否存在獨(dú)立市場(chǎng)

NGFW產(chǎn)品是最終網(wǎng)絡(luò)安全需求的深入和目前時(shí)刻面臨的多變的基于應(yīng)用和內(nèi)容網(wǎng)絡(luò)安全威脅而誕生的，根據(jù)Gartner的預(yù)測(cè)，到2014年底，35%的企業(yè)會(huì)在采購(gòu)安全設(shè)備的時(shí)候轉(zhuǎn)向下一代防火墻，60%新購(gòu)買(mǎi)的防火墻將是NGFW.在這種趨勢(shì)下，傳統(tǒng)安全設(shè)備廠商不可能熟視無(wú)睹，他們的產(chǎn)品都會(huì)向高性能的應(yīng)用識(shí)別和應(yīng)用防護(hù)的方向轉(zhuǎn)變，最終實(shí)現(xiàn)普遍的應(yīng)用層安全。

在談到NGFW在國(guó)內(nèi)的市場(chǎng)應(yīng)用前景時(shí)，山石網(wǎng)科技術(shù)市場(chǎng)經(jīng)理任磊告訴記者，下一代防火墻代表著防火墻產(chǎn)品發(fā)展的一種趨勢(shì)，在數(shù)據(jù)處理模式和效率方面有質(zhì)的提升，這種提升是為了滿足網(wǎng)絡(luò)發(fā)展的需求，這樣的話也就理應(yīng)成為未來(lái)用戶解決網(wǎng)絡(luò)安全問(wèn)題的主流選擇，而隨著云計(jì)算環(huán)境下安全的需求和虛擬化技術(shù)的不斷普及，在安全方面針對(duì)應(yīng)用的高性能深層防護(hù)將出現(xiàn)井噴性需求，市場(chǎng)潛力是巨大的。

"下一代防火墻將開(kāi)辟一個(gè)全新的，獨(dú)立的網(wǎng)絡(luò)安全硬件市場(chǎng)，國(guó)內(nèi)的下一代防火墻市場(chǎng)處于起步階段，卻發(fā)展迅速，而主流的安全硬件廠商都已推出了基于下一代防火墻概念的產(chǎn)品也恰恰驗(yàn)證了這一市場(chǎng)的廣闊前景;國(guó)內(nèi)用戶在選擇安全產(chǎn)品時(shí)，肯定會(huì)發(fā)現(xiàn)下一代防火墻產(chǎn)品正是能解決日益增多的企業(yè)網(wǎng)絡(luò)安全問(wèn)題，日益下降的網(wǎng)絡(luò)性能問(wèn)題，困擾網(wǎng)管們的網(wǎng)絡(luò)管理問(wèn)題的最佳產(chǎn)品。" 梭子魚(yú)產(chǎn)品經(jīng)理潘淵表示。

綠盟科技產(chǎn)品市場(chǎng)經(jīng)理段繼平認(rèn)為，短期內(nèi)NGFW在國(guó)內(nèi)不會(huì)形成獨(dú)立的市場(chǎng)，將依然會(huì)與傳統(tǒng)的防火墻，UTM,甚至IPS,上網(wǎng)行為等網(wǎng)關(guān)類(lèi)產(chǎn)品形成直接競(jìng)爭(zhēng)。中期內(nèi)，由于國(guó)內(nèi)各類(lèi)用戶對(duì)新產(chǎn)品的認(rèn)可度不同，NGFW產(chǎn)品將首先會(huì)在大型企業(yè)，金融，電信等中高端領(lǐng)域逐漸被用戶接受。長(zhǎng)期內(nèi)，由于NGFW代表了未來(lái)綜合安全網(wǎng)關(guān)的發(fā)展方向，國(guó)內(nèi)其他FW,UTM等類(lèi)廠商會(huì)逐漸改進(jìn)現(xiàn)有產(chǎn)品線以符合NGFW方向。最終NGFW會(huì)成為綜合網(wǎng)關(guān)市場(chǎng)最核心的產(chǎn)品形態(tài)。

"根據(jù)企業(yè)需求部署網(wǎng)絡(luò)安全網(wǎng)關(guān)產(chǎn)品是比較具有性價(jià)比的模式。對(duì)于中大型企業(yè)來(lái)說(shuō)，NGFW的功能、性能、管理等方面都更勝一籌，所以是一種更好的選擇。對(duì)于一些小企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，安全問(wèn)題不突出，則可以選擇單一的安全產(chǎn)品或者是UTM.目前的NGFW還是以行業(yè)用戶應(yīng)用為主。" 天融信方案與推廣副總裁劉輝認(rèn)為。

NGFW作為Internet安全網(wǎng)關(guān)，在部署以及維護(hù)管理上有很好的優(yōu)勢(shì)，可以滿足中小企業(yè)的需求，在云計(jì)算和數(shù)據(jù)中心環(huán)境下各個(gè)廠商也提出推出了適應(yīng)這種環(huán)境要求的安全網(wǎng)關(guān)。H3C網(wǎng)絡(luò)安全產(chǎn)品部安全技術(shù)總監(jiān)李彥賓認(rèn)為，但由于沒(méi)有統(tǒng)一標(biāo)準(zhǔn)，在技術(shù)上還需要進(jìn)一步提高發(fā)展和規(guī)范，整個(gè)市場(chǎng)還需要培育。

#p#

網(wǎng)絡(luò)改造 如何選型NGFW

企業(yè)選擇下一代防火墻應(yīng)該從自身需求角度出發(fā)，在提供應(yīng)用識(shí)別、訪問(wèn)控制、入侵防御等基本功能的基礎(chǔ)上，綜合處理性能、每秒新建、最大并發(fā)連接數(shù)和接口數(shù)量都是衡量一款設(shè)備是否滿足要求的重要指標(biāo)。山石網(wǎng)科技術(shù)市場(chǎng)經(jīng)理任磊同時(shí)強(qiáng)調(diào)，升級(jí)的及時(shí)性、管理界面的友好度、技術(shù)支持能力都是考慮的因素，而在一臺(tái)設(shè)備承載網(wǎng)絡(luò)中越來(lái)越多職能的今天，良好的軟硬件擴(kuò)展性、設(shè)備的高可靠能力也開(kāi)始被大多數(shù)用戶所關(guān)注。

SonicWALL中國(guó)區(qū)技術(shù)經(jīng)理蔡永生給出了企業(yè)選型NGFW更為細(xì)致的要素。

·性能。IPS與其他功能的緊密集成是實(shí)現(xiàn)NGFW極低網(wǎng)絡(luò)延遲的關(guān)鍵。

·強(qiáng)大的掃描功能。許多NGFW提供商都在大肆宣傳DPI功能，但對(duì)這些產(chǎn)品的測(cè)試發(fā)現(xiàn)，DPI功能會(huì)大幅降低網(wǎng)絡(luò)的安全防御能力。評(píng)估時(shí)，應(yīng)選擇具備以下功能的NGFW:可掃描各種大小的文件;可解密、掃描和重新加密SSL數(shù)據(jù)包;可掃描穿越所有端口的原始TCP流量以及大量協(xié)議。

·易管理性。

·應(yīng)用智能、控制和可視化。

·經(jīng)帶擴(kuò)展的NetFlow和IPFix報(bào)告的能力。NetFlow和IPFix是向外部收集程序報(bào)告網(wǎng)絡(luò)流量的兩大行業(yè)標(biāo)準(zhǔn)。NetFlow部署于交換機(jī)和路由器，可導(dǎo)出各種數(shù)據(jù)，如IP地址源和目的地、源端口和目標(biāo)端口、3層協(xié)議類(lèi)型和服務(wù)等級(jí)。

深信服市場(chǎng)行銷(xiāo)部技術(shù)總監(jiān)殷浩強(qiáng)調(diào)了NGFW應(yīng)具備完整的應(yīng)用內(nèi)容防護(hù)功能，避免安全防護(hù)的短板。能夠提供完整的漏洞防護(hù)能力，不但可以針對(duì)服務(wù)器OS、應(yīng)用系統(tǒng)的漏洞提供防護(hù)，還可以針對(duì)終端瀏覽器、惡意代碼、Office軟件的漏洞提供防護(hù)能力。具備Web服務(wù)器強(qiáng)化防護(hù)，支持防應(yīng)用掃描、防SQL注入、OS注入、XSS攻擊、URL權(quán)限控制、數(shù)據(jù)保護(hù)等功能，以避免來(lái)自內(nèi)容級(jí)別的入侵竊取服務(wù)器關(guān)鍵數(shù)據(jù)。

瞻博網(wǎng)絡(luò)大中國(guó)區(qū)產(chǎn)品市場(chǎng)經(jīng)理譚俊特別指出，下一代防火墻與整體安全架構(gòu)的協(xié)同防護(hù)能力。NGFW需要和其他企業(yè)安全基礎(chǔ)設(shè)施整合，具備感知全方位安全、應(yīng)用和身份信息的能力，才能充分發(fā)揮其效能。

企業(yè)部署NGFW,將有效地簡(jiǎn)化傳統(tǒng)安全架構(gòu)并提升其感知應(yīng)用和用戶的能力。但NGFW并不是一個(gè)孤立的元素，更需要整合到整體的安全體系中才能充分發(fā)揮其效果，實(shí)現(xiàn)有效地全面安全防護(hù)。譚俊同時(shí)強(qiáng)調(diào)，作為企業(yè)而言，在遷移中需要基于當(dāng)前需求，以及下一步虛擬化，云計(jì)算的應(yīng)用趨勢(shì)來(lái)考慮整合安全架構(gòu)的設(shè)計(jì)。首先要選擇滿足相應(yīng)容量，性能和可靠性要求的平臺(tái)，其次要在該平臺(tái)上部署高度集成的NGFW安全服務(wù)，最后還要注意該方案能夠具備方便的，不影響業(yè)務(wù)的添加新的安全服務(wù)和擴(kuò)充新的容量的能力。

NGFW從功能上滿足了用戶多個(gè)層次的安全需求(如FW、IPS及應(yīng)用訪問(wèn)控制)，可以簡(jiǎn)化企業(yè)邊界安全部署。從架構(gòu)上來(lái)說(shuō)，NGFW仍屬于邊界安全產(chǎn)品，對(duì)于傳統(tǒng)安全架構(gòu)影響不大。對(duì)于新建網(wǎng)絡(luò)來(lái)說(shuō)，部署NGFW比較簡(jiǎn)單;但是在網(wǎng)絡(luò)改造過(guò)程中的替代部署，則需要企業(yè)與廠商仔細(xì)評(píng)估NGFW對(duì)原設(shè)備功能的替代度。

正如啟明星辰邊界安全產(chǎn)品部副經(jīng)理馬駿舉的一個(gè)例子，原有FW系統(tǒng)支持VPN,這就需要評(píng)價(jià)NGFW的VPN協(xié)議的支持、隧道數(shù)的支持、用戶數(shù)的支持、算法的支持、認(rèn)證模式等多項(xiàng)指標(biāo)。企業(yè)在向NGFW遷移時(shí)，首先要考慮自身的邊界安全需求，包括性能及功能兩個(gè)方面，現(xiàn)有的NGFW是否能夠替代原有多個(gè)安全設(shè)備，能否滿足新的安全需求?如果不能完全替換，則需考慮跟NGFW如何配合使用，以及在配合使用下的綜合運(yùn)營(yíng)成本，不能簡(jiǎn)單考慮只是設(shè)備的替換。