四年過去了，下一代防火墻（NGFW）已成大勢，但市場中對其解讀方式卻越來越多，也愈發復雜。隨著時間的流逝，越來越多的廠商舉起了NGFW的大旗，也讓這個市場變得更加混亂。而這些混亂，一方面源自產品質量的參差不齊，另一個很重要的方面則是對于Gartner經典定義的“發揚光大”，對于NGFW中應該包括和不該包括的功能，眾廠商均持有不同意見。今年又有幾家國內廠商陸續發布了NGFW產品，至此國內網絡安全廠商全面擁抱NGFW。而在之前發布NGFW的廠商，也不斷向其產品中添加新的功能（比如定位僵尸主機或DLP相關）。且不論其是否符合NGFW的發展方向，至少在創新這一點上比拉大旗扯虎皮者強得多。

　　便宜沒好貨？未必！

　　下一代防火墻的價格目前還處于居高不下的階段，一方面是由于下一代防火墻的研發成本和硬件成本都較高，但是各家廠商的銷量還不足以攤平其前期投入成本，因此現階段無法提供親民的價格也屬情理之中。以某國際知名下一代防火墻提供商的1Gbps應用層吞吐以上的產品為例，其使用了Intel、FGPA和ASIC三種不同的硬件芯片來分攤業務處理壓力。國內也有幾家知名安全廠商采用了相似的Intel搭配MIPS的混合架構模式來提升NGFW產品的穩定性和處理能力。同時也有一些NGFW產品采用了最新的Intel DPDK架構，既可以有效控制研發成本，降低前期產品售價，并且具備優秀的應用層處理能力。

　　當然，在實際采購過程中，用戶一定還是看功能購買的。因此，在NGFW的功能授權方面，雖然NGFW的應用識別是與防火墻深度集成，卻不是所有的NGFW提供商在銷售產品時都將應用識別的授權向用戶免費開放。因此，如果用戶采購了需要單獨付費的NGFW產品，那么無異于提升了其采購成本。筆者認為，應用感知/控制需要與防火墻固化，而不是存在具有應用感知和不具備應用感知兩種交付形態。對于NGFW來說，根本就不應該存在這個問題，但現實還是被廠商搞混淆了。采購時應注意應用感知/控制功能是否需要另付費，或是打包到其他功能模塊中付費，如果是的話，那么基本可以認為它仍然是UTM。

　　隨著硬件性能的逐年增加，今年NGFW產品的性能應該比前幾年有不小的提升，也許之前為了規格好看而虛高的性能指標能夠實現了。Gartner定義的NGFW部署在對延遲敏感的大型企業網絡環境中，這是區別于用在SMB的UTM的一個因素，但是卻有個別廠商將NGFW產品主要定位于中小企業市場。筆者認為，若是能夠做出性價比很高的產品，對于價格敏感的中小企業也是個福音，還能促使NGFW更加普及，使其成為防火墻的真正替代者，而不只是部分替代。其實不論是大企業還是中小企業，都是在乎TCO的。如果NGFW能夠有效地降低部署成本，同時又可以提升安全性，那么何樂而不為呢。

　　漢王科技是NGFW的用戶之一，對于漢王科技這樣的上市企業并且是創造高智力附加值產品的企業來說，保障信息系統安全是信息部門日常工作的第一要務，在信息安全治理方面既要滿足監管單位的合規性要求，又要充分識別、抵御威脅，降低信息資產暴漏的風險，因此他們對于網絡的整體安全性要求是很嚴格的。漢王科技股份有限公司信息技術部IT運維負責人李錦毅講道：“對于核心服務器區的安全防護，要求安全設備必須在保證高性能的前提下，提供網絡攻擊防護、入侵防御、病毒防護、URL過濾等一體化的安全防御解決方案。而在互聯網邊界處，除了要求提供全面的安全防御以外，還要對辦公網用戶的外發信息做到精細、嚴格的控制，僅允許用戶向互聯網上的可信目標發送文件，嚴防敏感數據泄漏”。

　　李錦毅補充道：“在實際測試過程中，給我們留下深刻印象的是網康NGFW在開啟入侵防御、病毒防護、URL過濾、數據防泄漏等安全功能后，同樣還能保證很高的數據轉發性能，這與我們先前曾使用過的UTM產品有著天壤之別”。

漢王科技股份有限公司信息技術部IT運維負責人李錦毅

“看得見”才能更安全

“你不能保護你所不知道的”是安全圈的一句名言，但遺憾的是，雖然防火墻的功能越來越強大，但是仍然會產生越來越多的“不為人知”的信息。網康科技市場部產品市場經理熊瑛談道：“安全建設過程中，管理比技