前幾天一個(gè)高校老師來(lái)電話，提到在即將進(jìn)行的網(wǎng)絡(luò)出口改造項(xiàng)目中，不少安全廠商開(kāi)始引導(dǎo)他關(guān)注NGFW。然后老師自己對(duì)NGFW發(fā)表了一通看法，總結(jié)完其實(shí)就是一句話：不能做應(yīng)用識(shí)別、線速、引流的防火墻不是好路由器。

大量惡意軟件不能被檢測(cè)到

這句話至少說(shuō)明了兩個(gè)問(wèn)題：第一，老師的需求，就是字面上的意思；第二，用戶有自己的評(píng)估方式，任你廠商包裝得如何花團(tuán)錦簇，用戶只從自身需求的角度看產(chǎn)品。在價(jià)格合理的前提下，產(chǎn)品對(duì)用戶需求的滿足度越高，用戶的接受程度（至少是興趣）自然也就越高。

請(qǐng)大家一起看看在業(yè)務(wù)模型的角度，用戶是不是能接受NGFW。

先圈定范圍。Gartner認(rèn)為NGFW的潛在用戶是Enterprise，本土化的翻譯叫做行業(yè)用戶。運(yùn)營(yíng)商可以算作一類(lèi)行業(yè)用戶，但中小企業(yè)不行，其需求和資金投入決定了NGFW不是它們的菜。

然后來(lái)看應(yīng)用場(chǎng)景。目前NGFW的應(yīng)用場(chǎng)景主要分兩大類(lèi)，一類(lèi)是以南北向流量為主的互聯(lián)網(wǎng)出口，另一類(lèi)是以東西向流量為主的數(shù)據(jù)中心（特指以虛擬化技術(shù)為基礎(chǔ)的大型數(shù)據(jù)中心）。這基本等同于傳統(tǒng)防火墻的應(yīng)用場(chǎng)景，所以Gartner一直把NGFW的數(shù)據(jù)放到EnterpriseFirewall里合并統(tǒng)計(jì)。

互聯(lián)網(wǎng)出口——運(yùn)營(yíng)商、教育和IDC

雖然所有行業(yè)用戶都會(huì)有自己的互聯(lián)網(wǎng)出口，但其需求卻有很大差異。如果是帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò)，運(yùn)營(yíng)者不必對(duì)安全負(fù)責(zé)，所以此類(lèi)用戶對(duì)邊緣網(wǎng)關(guān)的需求主要體現(xiàn)在網(wǎng)絡(luò)層面。

先看運(yùn)營(yíng)商。城域網(wǎng)及以上層面基本沒(méi)有安全網(wǎng)關(guān)的位置，除非IPv4地址不夠，才會(huì)考慮引入安全產(chǎn)品做NAT（4/4、4/6）。這點(diǎn)需求，傻快傻快的傳統(tǒng)防火墻顯然更合適。對(duì)二三線運(yùn)營(yíng)商和小區(qū)寬帶來(lái)說(shuō)，NAT（4/4及審計(jì)）、多鏈路負(fù)載均衡、流控、基于應(yīng)用的引流是剛需，NGFW比傳統(tǒng)防火墻有優(yōu)勢(shì)，但對(duì)愈發(fā)強(qiáng)大的專(zhuān)業(yè)流控產(chǎn)品來(lái)說(shuō)可能稍顯劣勢(shì)。

再看教育行業(yè)。高校網(wǎng)絡(luò)中心或市、區(qū)級(jí)信息中心其實(shí)等同于中小運(yùn)營(yíng)商，對(duì)邊緣網(wǎng)關(guān)的剛需自然也大同小異——NAT（4/4、4/6及審計(jì)）、多鏈路負(fù)載均衡、流控、基于應(yīng)用的引流。不過(guò)他們多少要考慮安全問(wèn)題，否則出了事頭疼的還是自己，所以對(duì)IPS、AV都有比較明顯的需求（不過(guò)不是剛需）。此外，教育行業(yè)用戶對(duì)審計(jì)的需求相當(dāng)強(qiáng)，不少用戶在交流中都提到過(guò)關(guān)鍵字級(jí)別的過(guò)濾與審計(jì)（剛需）。如果能在合理的價(jià)格區(qū)間內(nèi)，在性能滿足需求的前提下提供有效的安全保障，并且有足夠強(qiáng)的審計(jì)功能，NGFW會(huì)體現(xiàn)出一些優(yōu)勢(shì)。

最后提一下IDC，因?yàn)樗羞\(yùn)營(yíng)性質(zhì)，理論上安全也不是剛需。不過(guò)現(xiàn)在IDC運(yùn)營(yíng)者必須考慮DDoS攻擊防范，NGFW目前只能做在線式的抗DDoS，無(wú)法從根本上解決問(wèn)題，很難得到用戶信任。至于安全服務(wù)化、增值化，國(guó)內(nèi)IDC業(yè)者似乎很早以前就開(kāi)始推，但一直也沒(méi)形成氣候。

互聯(lián)網(wǎng)出口——其他行業(yè)

除了運(yùn)營(yíng)商、教育和IDC，其他行業(yè)用戶的互聯(lián)網(wǎng)出口對(duì)安全網(wǎng)關(guān)的需求又有所不同，應(yīng)該說(shuō)更關(guān)注安全。

除了NAT（4/4及審計(jì)）、多鏈路負(fù)載均衡、流控和基于應(yīng)用的引流，VPN也成為剛需的一部分。這類(lèi)用戶對(duì)IPS和AV的需求更加旺盛，但仍構(gòu)不成剛需。此外，雖然一些NGFW產(chǎn)品已經(jīng)具有一定的上網(wǎng)行為管理和DLP功能，但對(duì)于大型行業(yè)用戶來(lái)說(shuō)仍不夠?qū)I(yè)，因此難以取代單獨(dú)功能的設(shè)備。

不過(guò)，部分用戶在交流中也坦言被NGFW的一些新特性所吸引，產(chǎn)生了摸著石頭過(guò)河的意愿。比如健全的用戶身份系統(tǒng)，能讓配置和運(yùn)維更簡(jiǎn)單高效，報(bào)表功能更強(qiáng)大全面。再比如最基礎(chǔ)的應(yīng)用識(shí)別功能，有讓管理運(yùn)維思路走向白名單化的趨勢(shì)，如果識(shí)別率夠高、誤識(shí)別率夠低，無(wú)疑能讓網(wǎng)絡(luò)運(yùn)行效率更高，也更安全。

在許多行業(yè)專(zhuān)網(wǎng)中，安全網(wǎng)關(guān)本身就已經(jīng)有取代路由器的趨勢(shì)。如果NGFW在動(dòng)態(tài)路由方面支持比較完善，那么對(duì)于傳統(tǒng)防火墻和路由器來(lái)說(shuō)更具競(jìng)爭(zhēng)力。這個(gè)市場(chǎng)很大，有待國(guó)內(nèi)安全廠商充分挖掘。

最后，NGFW對(duì)于此類(lèi)用戶還有一個(gè)比較現(xiàn)實(shí)的問(wèn)題，就是管理權(quán)的歸屬。這個(gè)問(wèn)題處理不好，恐怕會(huì)對(duì)NGFW的普及造成負(fù)面影響。剛剛又有用戶和筆者討論過(guò)這個(gè)問(wèn)題，他們集團(tuán)之前采購(gòu)了上網(wǎng)行為管理設(shè)備做流控和審計(jì)，但安全運(yùn)維部門(mén)和網(wǎng)絡(luò)運(yùn)維部門(mén)在設(shè)備的管理權(quán)上產(chǎn)生糾紛，最后只用它來(lái)做審計(jì)，同時(shí)又采購(gòu)了一臺(tái)流控設(shè)備交給網(wǎng)絡(luò)運(yùn)維部門(mén)使用，完全就是重復(fù)浪費(fèi)。安全功能的集成化是大勢(shì)，用戶的IT組織架構(gòu)必須適應(yīng)這種融合的趨勢(shì)，進(jìn)行適當(dāng)?shù)恼{(diào)整。

數(shù)據(jù)中心

說(shuō)完行業(yè)，再來(lái)看數(shù)據(jù)中心。對(duì)于以東西向流量為主的大型數(shù)據(jù)中心而言，安全防護(hù)的重點(diǎn)在內(nèi)部。出口也不是不重要，但最多當(dāng)做一個(gè)獨(dú)立的安全域去看待就夠了。其對(duì)安全網(wǎng)關(guān)的剛需比起互聯(lián)網(wǎng)出口有了不小的變化，主要包括2-4層訪問(wèn)控制、服務(wù)器負(fù)載均衡、IPS和WAF/防篡改。

寫(xiě)到這里不由感嘆，深圳某公司的眼光真毒，其類(lèi)NGFW產(chǎn)品應(yīng)該也是國(guó)內(nèi)銷(xiāo)售額最高的，應(yīng)該給產(chǎn)品規(guī)劃人員加薪。

NGFW的一個(gè)切入點(diǎn)在于應(yīng)用識(shí)別和基于應(yīng)用的白名單控制，這雖然還不算剛需，但可以給數(shù)據(jù)中心的安全保障提供額外的技術(shù)手段。海外已經(jīng)有了比較成熟的部署模型，甚至進(jìn)入到行業(yè)規(guī)范；國(guó)內(nèi)也有行業(yè)用戶開(kāi)始嘗試，思路在之前大連電子政務(wù)外網(wǎng)的案例中有過(guò)詳細(xì)闡述。

不過(guò)，對(duì)于NGFW在數(shù)據(jù)中心內(nèi)部的應(yīng)用，目前運(yùn)營(yíng)者還不是很看好。其實(shí)，大部分運(yùn)營(yíng)者對(duì)數(shù)據(jù)中心內(nèi)部安全防護(hù)尚無(wú)清晰的解決思路，流量到底是牽出來(lái)給一個(gè)高大強(qiáng)的設(shè)備處理，還是通過(guò)VM版本的安全設(shè)備處理，還沒(méi)有個(gè)主流意見(jiàn)。但流量不管是遷出還是在內(nèi)部消化，現(xiàn)有NGFW產(chǎn)品都面臨性能和成本方面的瓶頸。像BTAS麾下的商業(yè)數(shù)據(jù)中心，內(nèi)部流量動(dòng)輒百G起步，NGFW的部署成本太高，方案也太復(fù)雜。

數(shù)據(jù)中心出口面臨的另一個(gè)嚴(yán)重的安全威脅是DDoS，剛才分析IDC的時(shí)候已經(jīng)說(shuō)了，目前的NGFW產(chǎn)品很難贏得用戶信任。

對(duì)于VM形式交付的NGFW方案，未來(lái)倒是值得謹(jǐn)慎看好。大型行業(yè)用戶如果將業(yè)務(wù)從本地向云端（尤其是公有云）遷移，多樣化的安全需求只能靠自己解決。在這方面，行業(yè)巨擘已經(jīng)給出了非常全面的方案。

總結(jié)：高舉低打才能成就NGFW

基本上把行業(yè)用戶的主要需求總結(jié)了一遍，NGFW能否被用戶接受，人人心里都應(yīng)該有數(shù)了。

可以看到，未來(lái)NGFW的主戰(zhàn)場(chǎng)還是以南北向流量為主的互聯(lián)網(wǎng)出口，用戶長(zhǎng)期以來(lái)的剛性需求其實(shí)就是高性能NAT，這也是大部分場(chǎng)景中傳統(tǒng)防火墻能取代路由器的主要原因。今天，殘酷的現(xiàn)實(shí)令應(yīng)用識(shí)別、流控和基于應(yīng)用的引流成為新的剛需，善于此道的NGFW也就有了足夠的群眾基礎(chǔ)，甚至讓業(yè)界產(chǎn)生了“下一代的精髓就是流控”的判斷。

這絕對(duì)是中國(guó)特色。海外用戶普遍認(rèn)為IPS及智能聯(lián)動(dòng)才是NGFW的精髓，國(guó)內(nèi)用戶卻把優(yōu)先級(jí)排到應(yīng)用識(shí)別、流控和基于應(yīng)用的引流后面。想在國(guó)內(nèi)市場(chǎng)有所斬獲的NGFW廠商，除了必須充分認(rèn)識(shí)到這一點(diǎn)、在功能上有所側(cè)重外，行銷(xiāo)上還要高舉低打，直擊用戶痛點(diǎn)。不過(guò)，縱觀目前市售NGFW產(chǎn)品，能做到這一步的還不多。在專(zhuān)業(yè)流控產(chǎn)品和單一功能安全產(chǎn)品的夾擊下，NGFW的普及之路仍然漫長(zhǎng)。