四、如何評(píng)估NGFW

        NGFW屬于新生產(chǎn)品，目前業(yè)界對(duì)其還沒(méi)有一個(gè)公認(rèn)的 測(cè)試標(biāo)準(zhǔn)，甚至獨(dú)立的測(cè)試報(bào)告都寥寥無(wú)幾。隨著網(wǎng)絡(luò)應(yīng)用的增加以及云計(jì)算的發(fā)展，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù) 據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小，所以如何判斷下一代防火墻好壞應(yīng)從以下幾個(gè)方面綜合評(píng) 估：

        硬件架構(gòu)方面：在近幾年，一些防火墻制造商開(kāi)發(fā)了基于ASIC的防火墻，從執(zhí)行速度的角度看來(lái)，基于加上芯片的防火墻也是取決于軟件 的解決方案，它需要在很大程度上依賴于軟件的性能，雖然這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，能減輕CPU的負(fù)擔(dān)，性能要比傳統(tǒng)防火墻的性 能好許多，但這也存在很多問(wèn)題，ASIC主要處理網(wǎng)絡(luò)層數(shù)據(jù)，而當(dāng)今應(yīng)用層已經(jīng)占據(jù)半壁江山，雖然起到加速作用，但效果甚微，另一方面，由于ASIC對(duì)新 建并發(fā)、最大并發(fā)連接并不起多大作用，防火墻的并發(fā)瓶頸并未得到真正解決，人們更多的傾向于多核MIPS技術(shù)，所以，多核多線程并行處理技術(shù)既能解決高并 發(fā)的問(wèn)題，也能處理應(yīng)用層協(xié)議，這一方向得到了多數(shù)安全廠商的認(rèn)可。

        易用界面方面：管理界面的易用性也是不容忽視的評(píng)估要素。雖然用戶識(shí) 別/控制和統(tǒng)一的策略框架不是NGFW定義中的強(qiáng)制功能，但根據(jù)用戶的實(shí)際需求出發(fā)，在該領(lǐng)域應(yīng)做出更加深入的用戶體驗(yàn)改善。用戶應(yīng)當(dāng)考察NGFW產(chǎn)品是 否可以通過(guò)獲取域控制器信息或Web認(rèn)證等手段，做到IP與用戶身份的綁定，再通過(guò)統(tǒng)一的策略框架進(jìn)行更加直觀、簡(jiǎn)單的權(quán)限定義，以達(dá)到“允許市場(chǎng)部門的 所有員工從任何位置訪問(wèn)新浪微博”、“只允許IT部門員工從特定位置使用SSH、 Telnet、遠(yuǎn)程桌面應(yīng)用”等以用戶、應(yīng)用為核心元素的訪問(wèn)控制策略配置模式。易用性的另一個(gè)重要體現(xiàn)是設(shè)備是否提供中文的WebUI、報(bào)表系統(tǒng)、端點(diǎn) 套件和集中管理系統(tǒng)。

        性能測(cè)試方面：許多用戶都知道針對(duì)傳統(tǒng)防火墻有RFC2544、RFC3511、GB/T 20281-2006這樣公認(rèn)的測(cè)試規(guī)范。這類產(chǎn)品的業(yè)務(wù)模型比較單一，有經(jīng)驗(yàn)的測(cè)試人員或管理員會(huì)依照規(guī)范測(cè)得的結(jié)果，甚至可以憑經(jīng)驗(yàn)去預(yù)估防火墻在某 個(gè)特定場(chǎng)景中的性能衰減幅度。而當(dāng)網(wǎng)關(guān)設(shè)備使用的訪問(wèn)控制技術(shù)走進(jìn)應(yīng)用層感控時(shí)代開(kāi)始，實(shí)驗(yàn)室環(huán)境中進(jìn)行的標(biāo)準(zhǔn)化測(cè)試就失去了原有的指導(dǎo)意義。而NGFW 產(chǎn)品在進(jìn)行性能評(píng)估時(shí)會(huì)更復(fù)雜，用戶必須根據(jù)自身的業(yè)務(wù)需求，抽象出與之吻合的流量模型，進(jìn)行細(xì)致的、有針對(duì)性的測(cè)試工作，才能得到有價(jià)值的評(píng)估依據(jù)。并 且在測(cè)試過(guò)程中，應(yīng)時(shí)刻以“尋找最差性能”的目標(biāo)，方可在未來(lái)的實(shí)際使用中規(guī)避性能瓶頸。

五、網(wǎng)御NGFW+產(chǎn)品

         網(wǎng)御星云公司早在2010年初就已立項(xiàng)啟動(dòng)下一代智能感控防火墻的研發(fā)，當(dāng)前正經(jīng)歷臨床試驗(yàn)階段，功能包括所有NGFW的特質(zhì)，并融合網(wǎng)御的云防御理念的NGFW+新生代產(chǎn)品，預(yù)計(jì)2011年下半年將全面上市，其產(chǎn)品特點(diǎn)及核心技術(shù)有以下幾點(diǎn)：