四年過去了，下一代防火墻（NGFW）已成大勢(shì)，但市場(chǎng)中對(duì)其解讀方式卻越來越多，也愈發(fā)復(fù)雜。隨著時(shí)間的流逝，越來越多的廠商舉起了NGFW的大旗，也讓這個(gè)市場(chǎng)變得更加混亂。而這些混亂，一方面源自產(chǎn)品質(zhì)量的參差不齊，另一個(gè)很重要的方面則是對(duì)于Gartner經(jīng)典定義的“發(fā)揚(yáng)光大”，對(duì)于NGFW中應(yīng)該包括和不該包括的功能，眾廠商均持有不同意見。今年又有幾家國內(nèi)廠商陸續(xù)發(fā)布了NGFW產(chǎn)品，至此國內(nèi)網(wǎng)絡(luò)安全廠商全面擁抱NGFW。而在之前發(fā)布NGFW的廠商，也不斷向其產(chǎn)品中添加新的功能（比如定位僵尸主機(jī)或DLP相關(guān)）。且不論其是否符合NGFW的發(fā)展方向，至少在創(chuàng)新這一點(diǎn)上比拉大旗扯虎皮者強(qiáng)得多。

　　便宜沒好貨？未必！

　　下一代防火墻的價(jià)格目前還處于居高不下的階段，一方面是由于下一代防火墻的研發(fā)成本和硬件成本都較高，但是各家廠商的銷量還不足以攤平其前期投入成本，因此現(xiàn)階段無法提供親民的價(jià)格也屬情理之中。以某國際知名下一代防火墻提供商的1Gbps應(yīng)用層吞吐以上的產(chǎn)品為例，其使用了Intel、FGPA和ASIC三種不同的硬件芯片來分?jǐn)倶I(yè)務(wù)處理壓力。國內(nèi)也有幾家知名安全廠商采用了相似的Intel搭配MIPS的混合架構(gòu)模式來提升NGFW產(chǎn)品的穩(wěn)定性和處理能力。同時(shí)也有一些NGFW產(chǎn)品采用了最新的Intel DPDK架構(gòu)，既可以有效控制研發(fā)成本，降低前期產(chǎn)品售價(jià)，并且具備優(yōu)秀的應(yīng)用層處理能力。

　　當(dāng)然，在實(shí)際采購過程中，用戶一定還是看功能購買的。因此，在NGFW的功能授權(quán)方面，雖然NGFW的應(yīng)用識(shí)別是與防火墻深度集成，卻不是所有的NGFW提供商在銷售產(chǎn)品時(shí)都將應(yīng)用識(shí)別的授權(quán)向用戶免費(fèi)開放。因此，如果用戶采購了需要單獨(dú)付費(fèi)的NGFW產(chǎn)品，那么無異于提升了其采購成本。筆者認(rèn)為，應(yīng)用感知/控制需要與防火墻固化，而不是存在具有應(yīng)用感知和不具備應(yīng)用感知兩種交付形態(tài)。對(duì)于NGFW來說，根本就不應(yīng)該存在這個(gè)問題，但現(xiàn)實(shí)還是被廠商搞混淆了。采購時(shí)應(yīng)注意應(yīng)用感知/控制功能是否需要另付費(fèi)，或是打包到其他功能模塊中付費(fèi)，如果是的話，那么基本可以認(rèn)為它仍然是UTM。

　　隨著硬件性能的逐年增加，今年NGFW產(chǎn)品的性能應(yīng)該比前幾年有不小的提升，也許之前為了規(guī)格好看而虛高的性能指標(biāo)能夠?qū)崿F(xiàn)了。Gartner定義的NGFW部署在對(duì)延遲敏感的大型企業(yè)網(wǎng)絡(luò)環(huán)境中，這是區(qū)別于用在SMB的UTM的一個(gè)因素，但是卻有個(gè)別廠商將NGFW產(chǎn)品主要定位于中小企業(yè)市場(chǎng)。筆者認(rèn)為，若是能夠做出性價(jià)比很高的產(chǎn)品，對(duì)于價(jià)格敏感的中小企業(yè)也是個(gè)福音，還能促使NGFW更加普及，使其成為防火墻的真正替代者，而不只是部分替代。其實(shí)不論是大企業(yè)還是中小企業(yè)，都是在乎TCO的。如果NGFW能夠有效地降低部署成本，同時(shí)又可以提升安全性，那么何樂而不為呢。

　　漢王科技是NGFW的用戶之一，對(duì)于漢王科技這樣的上市企業(yè)并且是創(chuàng)造高智力附加值產(chǎn)品的企業(yè)來說，保障信息系統(tǒng)安全是信息部門日常工作的第一要?jiǎng)?wù)，在信息安全治理方面既要滿足監(jiān)管單位的合規(guī)性要求，又要充分識(shí)別、抵御威脅，降低信息資產(chǎn)暴漏的風(fēng)險(xiǎn)，因此他們對(duì)于網(wǎng)絡(luò)的整體安全性要求是很嚴(yán)格的。漢王科技股份有限公司信息技術(shù)部IT運(yùn)維負(fù)責(zé)人李錦毅講道：“對(duì)于核心服務(wù)器區(qū)的安全防護(hù)，要求安全設(shè)備必須在保證高性能的前提下，提供網(wǎng)絡(luò)攻擊防護(hù)、入侵防御、病毒防護(hù)、URL過濾等一體化的安全防御解決方案。而在互聯(lián)網(wǎng)邊界處，除了要求提供全面的安全防御以外，還要對(duì)辦公網(wǎng)用戶的外發(fā)信息做到精細(xì)、嚴(yán)格的控制，僅允許用戶向互聯(lián)網(wǎng)上的可信目標(biāo)發(fā)送文件，嚴(yán)防敏感數(shù)據(jù)泄漏”。

　　李錦毅補(bǔ)充道：“在實(shí)際測(cè)試過程中，給我們留下深刻印象的是網(wǎng)康NGFW在開啟入侵防御、病毒防護(hù)、URL過濾、數(shù)據(jù)防泄漏等安全功能后，同樣還能保證很高的數(shù)據(jù)轉(zhuǎn)發(fā)性能，這與我們先前曾使用過的UTM產(chǎn)品有著天壤之別”。

漢王科技股份有限公司信息技術(shù)部IT運(yùn)維負(fù)責(zé)人李錦毅

“看得見”才能更安全

“你不能保護(hù)你所不知道的”是安全圈的一句名言，但遺憾的是，雖然防火墻的功能越來越強(qiáng)大，但是仍然會(huì)產(chǎn)生越來越多的“不為人知”的信息。網(wǎng)康科技市場(chǎng)部產(chǎn)品市場(chǎng)經(jīng)理熊瑛談道：“安全建設(shè)過程中，管理比技