下一代防火墻的定義目標(biāo)比較明確，針對應(yīng)用安全。在功能模塊組成上，Gartner并未明確規(guī)定功能細(xì)節(jié)組成，定義的功能覆蓋比較合理。我們認(rèn)為NGFW的發(fā)展訴求應(yīng)該是，把傳統(tǒng)防火墻將訪問控制對象從網(wǎng)絡(luò)層、傳輸層(L3~L4)調(diào)整為應(yīng)用層(L7)協(xié)議。因此，對于NGFW的主要基礎(chǔ)不再是各個模塊協(xié)同工作，而是依托于網(wǎng)絡(luò)應(yīng)用的識別能力來實(shí)施安全訪問控制措施。從這一點(diǎn)上，雖然技術(shù)和知識上存在相通性，但由于訪問控制對象的不同，使NGFW與UTM在系統(tǒng)設(shè)計方面會存在本質(zhì)差異。NGFW定義更強(qiáng)調(diào)應(yīng)用識別能力、用戶行為管理和應(yīng)用安全，提供面向應(yīng)用控制的網(wǎng)關(guān)安全防護(hù)，但UTM針對整個內(nèi)網(wǎng)強(qiáng)調(diào)全方位的安全能力，提供比較適中的，具有更高性價比的網(wǎng)關(guān)安全防護(hù)。UTM與NGFW相比，還可提供VPN、SSL、反垃圾郵件、防病毒、防攻擊、內(nèi)網(wǎng)管理等針對于內(nèi)網(wǎng)的安全防護(hù)能力。從目前來看，還沒有一個廠商可以實(shí)現(xiàn)UTM、NGFW特性高效融合的案例，更多還是在應(yīng)用、安全分別各自見長。

NGFW與FW、UTM最大的不同在于，NGFW更多的考慮了用戶在上網(wǎng)行為管理方面的訴求，加強(qiáng)了應(yīng)用識別、細(xì)粒度控制和展示，適合于關(guān)注上網(wǎng)行為管理的用戶群。就目前了解到的市場情況而言，NGFW在其他功能方面和性能方面并未有足夠多的差異化優(yōu)勢，表現(xiàn)出來的情況就是，NGFW集成的功能越來越多，已經(jīng)完全超過了Gartner的定義，與UTM也越來越像(盡管前面提到“NGFW與UTM在系統(tǒng)設(shè)計方面會存在本質(zhì)差異”，但二者在功能方面卻越來越類似)，對最終用戶而言，選擇一款適合自己業(yè)務(wù)需求的產(chǎn)品才是硬道理。

NGFW從功能上滿足了用戶多個層次的安全需求(如FW、IPS及應(yīng)用訪問控制)，可以簡化企業(yè)邊界安全部署。從架構(gòu)上來說，NGFW仍屬于邊界安全產(chǎn)品，對于傳統(tǒng)安全架構(gòu)影響不大。對于新建網(wǎng)絡(luò)來說，部署NGFW比較簡單;但是在網(wǎng)絡(luò)改造過程中的替代部署，則需要企業(yè)與廠商仔細(xì)評估NGFW對原設(shè)備功能的替代度。這里舉一個例子，原有FW系統(tǒng)支持VPN，這就需要評價NGFW的VPN協(xié)議的支持、隧道數(shù)的支持、用戶數(shù)的支持、算法的支持、認(rèn)證模式等多項(xiàng)指標(biāo)。企業(yè)在向NGFW遷移時，首先要考慮自身的邊界安全需求，包括性能及功能兩個方面，現(xiàn)有的NGFW是否能夠替代原有多個安全設(shè)備，能否滿足新的安全需求?如果不能完全替換，則需考慮跟NGFW如何配合使用，以及在配合使用下的綜合運(yùn)營成本，不能簡單考慮只是設(shè)備的替換。

NGFW在性能方面的追求對硬件平臺的專業(yè)化提出了更高的要求，國內(nèi)安全廠商對專用硬件平臺的駕馭能力會一定程度影響NGFW產(chǎn)品在國內(nèi)市場化的發(fā)展。不論是UTM還是NGFW，其硬件平臺的選擇大致雷同，比如多核、X86、ASIC等承載平臺。在沒有顛覆性軟硬件技術(shù)革新網(wǎng)關(guān)商用模式的前提下，UTM、NGFW之間還難以形成替代關(guān)系，只是會出現(xiàn)用戶更迫切解決什么問題。而二者差異的存在，使其在部署上反而會存在一定的互補(bǔ)性，在網(wǎng)絡(luò)邊界形成安全網(wǎng)關(guān)網(wǎng)發(fā)揮各自優(yōu)勢，滿足用戶的多維度需求。

回到下一代防火墻的核心功能，面對網(wǎng)絡(luò)入侵的表現(xiàn)。啟明星辰邊界安全產(chǎn)品部副經(jīng)理馬駿告訴記者，網(wǎng)絡(luò)入侵往往包含了多種攻擊手段，從攻擊過程來看，是一個動態(tài)的、長期的、變化的過程，涉及人員、網(wǎng)絡(luò)、設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)多個方面。從縱深防御體系來看，NGFW是定位在邊界防御，考量NGFW的重要指標(biāo)在于其全面防御能力以及事件庫的更新速度，這方面取決于廠商在漏洞研究、漏洞驗(yàn)證、入侵檢測、快速響應(yīng)、硬件整合等多方面的能力，是廠商綜合能力的體現(xiàn)。專業(yè)設(shè)備在這方面目前做得很成熟，并已經(jīng)獲得市場和用戶的認(rèn)可。在NGFW上還需要時間和市場應(yīng)用的檢驗(yàn)。

在問到NGFW在國內(nèi)市場的應(yīng)用前景時，馬駿表示，NGFW將對傳統(tǒng)FW市場、UTM市場、上網(wǎng)行為管理市場和IPS市場產(chǎn)生沖擊，國內(nèi)各傳統(tǒng)安全設(shè)備廠商會根據(jù)NGFW的沖擊不斷調(diào)整自身產(chǎn)品形態(tài)，將一定程度影響到國內(nèi)網(wǎng)關(guān)市場的調(diào)整與分布。NGFW的出現(xiàn)是緊跟應(yīng)用安全需求下的產(chǎn)物，NGFW的應(yīng)用層訪問控制跟上網(wǎng)行為管理沒有本質(zhì)區(qū)別，在國內(nèi)最可能首先沖擊上網(wǎng)行為管理市場，最終替代上網(wǎng)行為管理產(chǎn)品，與FW、UTM和IPS產(chǎn)品形成新的市場布局。

【編輯推薦】

1. 梭子魚下一代防火墻為中歐銀行提供安全穩(wěn)定網(wǎng)絡(luò)環(huán)境
2. 下一代防火墻簡化傳統(tǒng)安全架構(gòu) 提升用戶和應(yīng)用感知能力
3. 下一代防火墻NGAF成功問世
4. 深信服發(fā)布下一代防火墻NGAF 進(jìn)軍防火墻市場
5. 2011上網(wǎng)行為管理渠道深入解析