四、如何評估NGFW

        NGFW屬于新生產品，目前業界對其還沒有一個公認的 測試標準，甚至獨立的測試報告都寥寥無幾。隨著網絡應用的增加以及云計算的發展，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數 據。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數據穿過防火墻所帶來的延遲要足夠小，所以如何判斷下一代防火墻好壞應從以下幾個方面綜合評 估：

        硬件架構方面：在近幾年，一些防火墻制造商開發了基于ASIC的防火墻，從執行速度的角度看來，基于加上芯片的防火墻也是取決于軟件 的解決方案，它需要在很大程度上依賴于軟件的性能，雖然這類防火墻中有一些專門用于處理數據層面任務的引擎，能減輕CPU的負擔，性能要比傳統防火墻的性 能好許多，但這也存在很多問題，ASIC主要處理網絡層數據，而當今應用層已經占據半壁江山，雖然起到加速作用，但效果甚微，另一方面，由于ASIC對新 建并發、最大并發連接并不起多大作用，防火墻的并發瓶頸并未得到真正解決，人們更多的傾向于多核MIPS技術，所以，多核多線程并行處理技術既能解決高并 發的問題，也能處理應用層協議，這一方向得到了多數安全廠商的認可。

        易用界面方面：管理界面的易用性也是不容忽視的評估要素。雖然用戶識 別/控制和統一的策略框架不是NGFW定義中的強制功能，但根據用戶的實際需求出發，在該領域應做出更加深入的用戶體驗改善。用戶應當考察NGFW產品是 否可以通過獲取域控制器信息或Web認證等手段，做到IP與用戶身份的綁定，再通過統一的策略框架進行更加直觀、簡單的權限定義，以達到“允許市場部門的 所有員工從任何位置訪問新浪微博”、“只允許IT部門員工從特定位置使用SSH、 Telnet、遠程桌面應用”等以用戶、應用為核心元素的訪問控制策略配置模式。易用性的另一個重要體現是設備是否提供中文的WebUI、報表系統、端點 套件和集中管理系統。

        性能測試方面：許多用戶都知道針對傳統防火墻有RFC2544、RFC3511、GB/T 20281-2006這樣公認的測試規范。這類產品的業務模型比較單一，有經驗的測試人員或管理員會依照規范測得的結果，甚至可以憑經驗去預估防火墻在某 個特定場景中的性能衰減幅度。而當網關設備使用的訪問控制技術走進應用層感控時代開始，實驗室環境中進行的標準化測試就失去了原有的指導意義。而NGFW 產品在進行性能評估時會更復雜，用戶必須根據自身的業務需求，抽象出與之吻合的流量模型，進行細致的、有針對性的測試工作，才能得到有價值的評估依據。并 且在測試過程中，應時刻以“尋找最差性能”的目標，方可在未來的實際使用中規避性能瓶頸。

五、網御NGFW+產品

         網御星云公司早在2010年初就已立項啟動下一代智能感控防火墻的研發，當前正經歷臨床試驗階段，功能包括所有NGFW的特質，并融合網御的云防御理念的NGFW+新生代產品，預計2011年下半年將全面上市，其產品特點及核心技術有以下幾點：