Palo Alto在2011年發(fā)布PA-200，它是價值2000美金，具有100Mbps吞吐量的下一代防火墻。與其相同，SonicWall也發(fā)布了兩款針對分支機(jī)構(gòu)的下一代防火墻：NSA220和NSA250M，它們的起始價格分別是1095美金和1495美金。下一代防火墻所包含的應(yīng)用智能和控制功能在SonicWall 設(shè)備上是可選的，它需要額外的授權(quán)費(fèi)，但這在發(fā)布會中沒有詳細(xì)說明。使用下一代防火墻模式，SonicWall設(shè)備大概可以達(dá)到110Mbps的速度。

　　傳統(tǒng)的狀態(tài)防火墻檢驗(yàn)端口和協(xié)議是為了判斷，例如是否經(jīng)過TCP 80端口的流量確實(shí)是合法的HTTP流量。下一代防火墻超越了端口和協(xié)議安全的做法，應(yīng)用深層報文檢測來識別用HTTP協(xié)議的請求和用80端口接入的應(yīng)用程序。這項(xiàng)功能在今天尤為重要，特別是當(dāng)企業(yè)的應(yīng)用程序愈來愈多的基于網(wǎng)頁，而且客戶網(wǎng)頁應(yīng)用程序可以在企業(yè)中合法使用。

　　根據(jù)ZK Research首席分析員Zeus Kerravala所言，今天企業(yè)正在它們的中心位置部署大型且昂貴的下一代防火墻。為了使它們的分支機(jī)構(gòu)能夠感知應(yīng)用安全，企業(yè)為了檢測要么回程分支機(jī)構(gòu)網(wǎng)絡(luò)流量到中央防火墻，要么在分支機(jī)構(gòu)部署輕量級安全設(shè)備，比如統(tǒng)一威脅管理設(shè)備。

　　而在分支機(jī)構(gòu)直接部署下一代防火墻，企業(yè)可以將廣域網(wǎng)的安全問題降入分支機(jī)構(gòu)，節(jié)省回程流量消耗的帶寬。

　　Kerravala說：“其實(shí)沒必要在核心跑所有因特網(wǎng)流量，但是如果你轉(zhuǎn)到一個分離的隧道模式，并且希望分支機(jī)構(gòu)的用戶能直接訪問因特網(wǎng)，那么和核心位置一樣，你需要在分支機(jī)構(gòu)使用相同的應(yīng)用感知防火墻。想要分支機(jī)構(gòu)的下一代防火墻價格便宜，并且吞吐量盡可能高。顯然你的分支機(jī)構(gòu)的技術(shù)不能昂貴到超過了回程因特網(wǎng)流量的費(fèi)用?！?/P>

　　根據(jù)信息技術(shù)總監(jiān)Michael Giorgio介紹：“ SonicWall客戶Connex信用合作社使用中央SonicWall NSA 3500 統(tǒng)一威脅管理防火墻，將流量從銀行分支回程到網(wǎng)絡(luò)核心。從用戶的觀點(diǎn)看，我更愿意把流量分散，它可以減輕網(wǎng)絡(luò)的負(fù)荷，通過取消回程流量到WAN上的 hub，每個分支機(jī)構(gòu)的下一代防火墻可以減少分支機(jī)構(gòu)的WAN鏈路。”

　　分支機(jī)構(gòu)下一代防火墻功能：選擇還是必須？

　　Current Analysis研究總監(jiān)Andrew Braunberg說：“這仍然有待觀察，我們不知道分部很多的企業(yè)，它們對下一代防火墻應(yīng)用智能技術(shù)有多大需求。在分支機(jī)構(gòu)使用狀態(tài)防火墻很不明智。但是小型分支機(jī)構(gòu)可能不需要下一代防火墻的精細(xì)應(yīng)用控制功能。如果你想在每個設(shè)備上安裝這個功能，它會在哪里開啟，會到什么程度？你知道一旦你開啟了額外的深層報文檢測，你會進(jìn)行性能檢測。我認(rèn)為分支機(jī)構(gòu)會使用該功能，但是我好奇它的使用情況以及使用方式?！?/P>

　　如果將來證實(shí)確有必要，他相信許多企業(yè)將部署SonicWall設(shè)備，因?yàn)閷頎顟B(tài)防火墻可以升級為下一代防火墻。

　　Palo Alto產(chǎn)品市場總監(jiān)Chris King 提到，Palo Alto的PA-200“天生”就可以在下一代防火墻模式中工作。PA-200根據(jù)對應(yīng)用程序的識別來決定允許或拒絕流量。他提到了其他廠家，也包括 SonicWall在內(nèi)，是根據(jù)端口來決定的。他們在流量中應(yīng)用一個單獨(dú)的深層報文檢測引擎來識別應(yīng)用程序，做出不同的策略決定。哪種做法更優(yōu)現(xiàn)在還無定論。

　   有關(guān)Palo Alto：

　　Palo Alto是近幾年發(fā)展非常迅猛的一家安全企業(yè)，在業(yè)內(nèi)負(fù)有盛名。該公司旗下僅擁有NGFW一類產(chǎn)品，被看做NGFW時代的先行者。經(jīng)過充分的準(zhǔn)備，Palo Alto于2011年年初在國內(nèi)設(shè)立了辦事處。據(jù)了解，諸如應(yīng)用特征庫、WebUI和報表管理系統(tǒng)的本土化工作已初見成效。

　　Palo Alto將用戶識別、應(yīng)用識別和內(nèi)容識別并列為產(chǎn)品的3大核心功能，使用戶權(quán)限和策略設(shè)定變得像自然語言般簡單易懂，同時讓報表的可讀性更強(qiáng)。內(nèi)容識別基于防火墻、IPS、反惡意軟件、URL過濾乃至DLP等多種安全功能，可以為用戶提供全面的安全保障。在業(yè)務(wù)處理方面，其產(chǎn)品采用了單數(shù)據(jù)流并行處理體系結(jié)構(gòu)，保證了高性能、低延遲。有業(yè)內(nèi)人士認(rèn)為，Palo Alto產(chǎn)品中關(guān)于一體化的處理引擎和一體化的策略框架是最關(guān)鍵的設(shè)計(jì)理念，在保證高性能的同時提高了易用性。

　　產(chǎn)品規(guī)格方面，Palo Alto面向不同規(guī)模用戶推出了從最低端的PA-500到最高端的PA-5060在內(nèi)的多款產(chǎn)品。其最低端產(chǎn)品PA-500擁有250Mbps的防火墻處理能力、100Mbps的攻擊防護(hù)能力和50Mbps的IPSec VPN性能，最高端的PA-5060則將這3個指標(biāo)推向20Gbps/10Gbps/4Gbps。Palo Alto公司創(chuàng)始人、首席架構(gòu)師毛宇明在接受我們采訪時特別指出，該公司在官方網(wǎng)站公布了所有產(chǎn)品的性能指標(biāo)，其中攻擊防護(hù)能力一項(xiàng)均為開啟應(yīng)用識別及所有安全模塊后的數(shù)據(jù)，并且即便用戶沒有選購任何安全功能的許可，也可以使用不受任何限制的應(yīng)用識別與控制功能。