2009年，Gartner在《Defining the Next-Generation Firewall》一文中首次定义了NGFW这个术语，用来形容应对攻击行为、业务流程和使用IT方式的不断变化防火墙产品发展所要经历的必然阶段。Gartner认为，下一代防火墙（NGFW）是一种多功能集成式线速网络安全处理平台，包含所有标准功能，即常见的网络功能，如网络地址转换（NAT）、包过滤和全状态包检测功能，而应用识别、控制和可视化是其重要的核心特性。放眼今天的信息安全市场，各个厂商对NGFW热情高涨，但部分用户却认为NGFW和UTM产品的差别不大，对二者的概念也不是很清晰。那么，到底该如何定义NGFW？它和UTM又有那些不同？用户该如何选择适合自己的NGFW产品？带着这些疑问，记者采访了东软网络安全营销中心产品策划部部长王军民，与大家共同分享东软安全对NGFW的看法以及相关产品和技术理念。

王军民，东软网络安全营销中心产品策划部部长

　　记者：下一代防火墙与传统防火墙、IPS和UTM存在哪些不同？

　　王军民：应用识别是防火墙未来发展的重要技术方向，基于应用的攻击不断变化，也要求防御技术必须有所提升。对于这样的变化，传统防火墙只能望而兴叹，因为它在应用层无法起到良好的防御效果；而IPS仅关注应用层检测，防火墙功能较弱，这也是有些用户把IPS当做IDS使用的一个原因；UTM则是一个集大成的产品，能够很好的融合各种安全技术。但是，一个缺乏统一指挥、统一资源调配的庞大团队，产生的效率低下问题是无法避免的。NGFW的使命，就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃，满足用户新的防御和管理需求。相对于传统防火墙和UTM产品而言，NGFW与它们的主要区别在于：

　　一、传统防火墙局限于IP地址、接口层面的安全防护。从基于简单包过滤技术防火墙到基于状态检测技术的防火墙，重点的防护还仅仅是停留在OSI模型的四层以内；

　　二、UTM是在“瘦防火墙”基础上发展而来的，集防火墙、IPS、VPN等安全功能于一体的集成安全网关，或者说是“胖防火墙”，其不足之处在于处理机制繁琐，效率低下，内部安全模块间缺少智能关联；

　　三、NGFW除了具备传统防火墙功能外，更关注针对应用层面的安全防护。实时性、准确性、高效性也成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果，自动识别到该流量在应用层执行的安全策略。流量控制需要更“精细化”的管理，不仅仅能够对异常攻击流量进行阻止或允许动作，更可用来进行基于应用层的QoS控制。控制粒度更为细致：例如，可允许用户使用Netmeeting会议，但禁止其白板功能等。检测顺序也更为高效：设备对数据流仅需进行一次检测，IPS、FW模块并行进行识别判断。另外，高效面对变化多端的应用威胁也是该类产品的重要特点之一。

　　记者：下一代防火墙的市场现状和发展前景如何？

　　王军民：从目前情况看，未来两年将是NGFW产品高速发展的一段时间。我个人认为，它会成为传统防火墙、IPS的阶段性终结者。Gartner预测2014年底，NGFW将占有防火墙（以及IPS）市场的60%。历史不会重现它的事实，但会重现它的规律。每一种新技术的出现都将取代旧的技术，无论当前各个信息安全公司的认识与认可程度如何，NGFW终将成为当前网关类产品发展的显而易见的技术方向。

　　记者：行业用户部署下一代防火墙需从哪些角度考虑？

　　王军民：针对应用识别的性能仍然是首要重点考虑的因素。而另一个重要因素就是应用识别的准确性和丰富性。传统防火墙的选择是很简单的，只需关注网络吞吐量、并发连接数、新建连接数等几个指标，目前的传统防火墙在性能上是完全可以达到要求的。而NGFW必须具有强大的DI处理能力，这个关键因素是NGFW的固有优势，同时也正是普通UTM产品的短板。而作为侧重应用层防护的产品来说，应用协议识别的丰富性、准确性是非常关键的。甚至可以说，它是确保用户网络安全的核心所在。

　　记者：东软从何时开始研发下一代防火墙，核心技术是什么？研发的历程请简单介绍一下。

　　王军民：东软从2007年开始进行新一代NOS设计时，在思路上与Gartner所提的NGFW不谋而合，可以说在很大程度上两者是一致的。

　　一、在系统架构上，并非各个模块的简单堆叠，对数据流的检测已经做到了IPS、FW等模块的并行检测处理；

　　二、基于应用的智能识别已经贯穿到整条产品线中。例如，针对SIP的控制，已经细化到命令级，控制粒度可以做到允许视频但不允许其中作共享；

　　三、在性能提升上，除了进行多核支持外，更将部分策略集成到ASIC芯片中。通过“多核+ASIC”的结合，大幅提升了DI的检测效率。

　　东软一直保持着对世界前沿技术的跟踪和技术的不断创新，为用户所带来的价值将一如既往的体现在我们优秀的产品之中。

　　记者：东软的下一代应用防火墙有哪些技术亮点？能够帮助用户解决哪些问题？

　　王军民：东软的下一代应用防火墙的显著特点是：

　　一、从硬件层面，基于“多核+ASIC”的混合架构提升DI检测效率；

　　二、软件架构采用并行的一次性检测技术，大幅提升检测效率，避免串行检测带来的低效问题；

　　三、采用核心的NEL语言进行多点并行检测，在提升检测效率的同时，提高了检测的准确度，有效减少了误判、漏判的发生。

　　当前用户亟待解决的主要问题是对应用攻击的防护，而高效、准确地识别应用攻击是东软下一代应用防火墙的“拿手好戏”，能够切实地帮助用户解决棘手的防护难题。

　　后记

　　据悉，东软下一代应用防火墙相关产品已经开始进行大规模的推广，目前也获得了良好的市场反馈。在未来，东软下一代应用防火墙所面向的受众将更加广泛，在电信、金融、电力、政府等各大行业中将会得到更加深入的应用。另外，产品覆盖度将更加宽广，可以覆盖从100Mbps低端至40Gbps的高端市场。同时，它可以通过灵活的模块化控制机制，有针对性地为不同行业的客户提供准确的安全防护方案，为其带来前所未有的安全防护体验。