越来越多的厂商举起下一代防火墙（NGFW）的大旗，让这个市场变得更加混乱。而这些混乱，一方面源自产品质量的参差不齐，另一个很重要的方面则是对于Gartner经典定义的“发扬光大”，对于NGFW中应该包括和不该包括的功能，众厂商均持有不同意见。

今年又有几家国内厂商陆续发布了NGFW产品，至此国内网络安全厂商全面拥抱NGFW。而在之前发布NGFW的厂商，也不断向其产品中添加新的功能（比如定位僵尸主机或DLP相关）。且不论其是否符合NGFW的发展方向，至少在创新这一点上比拉大旗扯虎皮者强得多。

NGFW价格下降，性能提高？

下一代防火墙的价格目前还处于居高不下的阶段，一方面是由于下一代防火墙的研发成本和硬件成本都较高，但是各家厂商的销量还不足以摊平其前期投入成本，因此现阶段无法提供亲民的价格也属情理之中。当然，在实际采购过程中，用户一定还是看功能购买的。因此，在NGFW的功能授权方面，虽然NGFW的应用识别是与防火墙深度集成，却不是所有的NGFW提供商在销售产品时都将应用识别的授权向用户免费开放。因此，如果用户采购了需要单独付费的NGFW产品，那么无异于提升了其采购成本。笔者认为，应用感知/控制需要与防火墙固化，而不是存在具有应用感知和不具备应用感知两种交付形态。对于NGFW来说，根本就不应该存在这个问题，但现实还是被厂商搞混淆了。采购时应注意应用感知/控制功能是否需要另付费，或是打包到其他功能模块中付费，如果是的话，那么基本可以认为它仍然是UTM。

随着硬件性能的逐年增加，今年NGFW产品的性能应该比前几年有不小的提升，也许之前为了规格好看而虚高的性能指标能够实现了。Gartner定义的NGFW部署在对延迟敏感的大型企业网络环境中，这是区别于用在SMB的UTM的一个因素，但是却有个别厂商将NGFW产品主要定位于中小企业市场。笔者认为，若是能够做出性价比很高的产品，对于价格敏感的中小企业也是个福音，还能促使NGFW更加普及，使其成为防火墙的真正替代者，而不只是部分替代。其实不论是大企业还是中小企业，都是在乎TCO的。如果NGFW能够有效地降低部署成本，同时又可以提升安全性，那么何乐而不为呢。

汉王科技是NGFW的用户之一，对于汉王科技这样的上市企业并且是创造高智力附加值产品的企业来说，保障信息系统安全是信息部门日常工作的第一要务，在信息安全治理方面既要满足监管单位的合规性要求，又要充分识别、抵御威胁，降低信息资产暴漏的风险，因此他们对于网络的整体安全性要求是很严格的。汉王科技股份有限公司信息技术部IT运维负责人李锦毅讲道：“对于核心服务器区的安全防护，要求安全设备必须在保证高性能的前提下，提供网络攻击防护、入侵防御、病毒防护、URL过滤等一体化的安全防御解决方案。而在互联网边界处，除了要求提供全面的安全防御以外，还要对办公网用户的外发信息做到精细、严格的控制，仅允许用户向互联网上的可信目标发送文件，严防敏感数据泄漏”。

李锦毅还说：“在实际测试过程中，给我们留下深刻印象的是网康NGFW在开启入侵防御、病毒防护、URL过滤、数据防泄漏等安全功能后，同样还能保证很高的数据转发性能，这与我们先前曾使用过的UTM产品有着天壤之别”。

“看得见”才能更安全

“你不能保护你所不知道的”是安全圈的一句名言，但遗憾的是，虽然防火墙的功能越来越强大，但是仍然会产生越来越多的“不为人知”的信息。网康科技市场部产品市场经理熊瑛谈道：“安全建设过程中，管理比技术上的控制更加重要，但是管理需要有技术手段提供强有力的支撑，几乎所有的技术人员在面对由传统安全设备输出的单调、重复、难懂的日志和报表时，都在为如何将它们与安全风险联系在一起而面露难色。”

NGFW完全基于应用层构建安全，可帮助网络管理者深入地看到数据传输中人、应用和内容的情况。此外，在对大量行为信息收集的基础之上，可在同一页面通过一系列的单次点击就完成数据的挖掘和钻取，并且提供了基线对比的方式，能够以时间、流量、威胁为维度，对比出当前与同一历史时间段的差异，帮助管理者了解网络的变化趋势，分析可疑行为，这无疑可以帮助管理员“看得更透”。

网康NGFW提供的基线对比

北京蓝星环境工程有限公司是中国蓝星(集团)总公司在北京唯一一家子公司，2005年开始大规模建设信息系统，到目前70%~80%的无形资产均以数据的形式保存在应用服务器上。该公司CIO胡振环讲道：“NGFW设备上线之后第一感觉是这款防火墙提供了非常丰富的可视化界面，有各种形式的监控和报表直观的呈现给用户，登录设备管理界面，我们就可以轻松的看到网络中的流量构成，印象比较深刻的是还可以看到IP地址所属的国家或地区，这些在先前我们所使用的设备中是看不到的。”胡振环还强调说：“下一代防火墙强大的可视化功能，让我们通过直观的查看和简单的点击，就及时发现了隐蔽性很强的攻击，实现了更加主动的防御，我想这也体现了下一代防火墙带给我们的变革”。

网康NGFW将IP与地理位置关联

中国自动化集团有限公司网络信息化主管储可与笔者分享了他在运维中使用NGFW的经验。他说：“在我们的日常办公中，使用QQ进行沟通是非常普遍的，但根据公司的信息安全策略，使用QQ及其它即时通信软件进行文件传输的行为是不被允许的，而网康NGFW对QQ子功能的支持多达9种，有了如此深入的识别能力，我们就可以通过设置访问控制策略，灵活的实现对QQ及其它即时通信软件文件传输行为的禁止，而仅开放这些软件文本聊天的功能。”

向复杂说再见

“由于价格和管理复杂度的问题，目前很多的中小企业都处于裸奔状态，或是只把下一代防火墙当做流控或传统防火墙使用。虽然很多产品销售出去了，但是并没有发挥出应有的作用，这不是一件安全业界值得庆幸的事情。也就是说，目前下一代防火墙的产品和技术，并没有真正地为广大需要它的客户去服务，这是我们需要努力的一个方向。” 网康科技高级市场经理严雷如是说。

传统安全设备的组合比如防火墙、IPS、AV、等设备的日志信息，只是罗列出来的话，对于普通IT运维人员的话想要分析清楚，从中得到有价值的信息可谓是难如登天。传统的报表型日志阅读难度高，分析起来更加无从入手。这样的情况下，对于多数人来说，安全还算是什么呢？

从传统安全角度讲，每一个设备从自己的角度出发，产生日志报表，可是不同设备、不同安全引擎之间并没有联动起来，使彼此对安全情况的认知不能交流，这就使得我们无法对于整个网络安全有全貌的理解。

NGFW改善了以往独立IPS产品对于事件记录挖掘不深，无法提供给安全运维人员友好的报表显示等顽疾，受到了众多IT人员的欢迎。在NGFW中，对于安全事件的深度挖掘是相当重要的，基于大量日志记录的关联分析来给运维人员提出安全性建议，无疑会加快安全问题的定位和解决的速度，某种程度上还能防患于未然。

能在同一页面通过一系列的单次点击就完成数据的挖掘和钻取，并且提供了基线对比的方式，能够以时间、流量、威胁为维度，对比出当前与同一历史时间段的差异，帮助管理者了解网络的变化趋势，分析可疑行为，这无疑可以帮助管理员将安全管理化繁为简。这就是网康NGFW在对大量行为信息收集的基础之上做的事情。

通过色块形式直观呈现高危流量占比

可视化技术的初衷是为了提供直观、简单的信息，为管理策略的调整提供技术支撑，传统网络安全设备输出的日志、报表，多以IP、连接、带宽为维度，纵使统计全面、数据充分，但仍然很难帮助网络管理者了解网络的变化趋势，让安全只能被少数既精通技术又了解业务的专家所读懂。

NGFW的发展与异化

下一代防火墙把检测的高度提升到应用层，按照目前互联网发展情况看，应用层上不论攻击还是防护，可做的事情都太多了。因此下一代防火墙给予了厂商更多的机会和主动权，大家可以在下一代防火墙的经典定义之上做更多的事情，尤其是在各自擅长的领域中做出突破创新。

虽然NGFW做得越来越像UTM，但也只是貌似而已，我们仍然可以在不同厂家的NGFW产品中看到他们本来的面貌。像网康这样生于应用层的新兴NGFW厂商，主打功能自然聚焦在应用层，例如能够基于用户的应用控制和资源分配等等。NGFW 其实并不神秘也不复杂，只是将防火墙原本的访问控制提升到应用层面，同时固化了应用识别特性，所以才不叫下一代UTM 。

对于产品的发展走向，网康科技CEO袁沈钢表示：“下一代防火墙最大的特点是以人容易理解的方式展现出整体网络活动，也就使人具有了洞察力。NGFW很大程度上是发挥了人的判断力、理解力和知识等各方面的能力来做更多、更准确的判断。如果是传统防火墙和UTM，会把这些信息割裂，产生大量的碎片化信息，人就很难理解，而NGFW则是向人来展现各种相关联的信息。NGFW会展现风险程度以及产生风险的原因，从而帮助人进行快速判断，使人具有洞察力。因此，NGFW的发展方向将是持续对于新生安全威胁、防护方法等知识的积累。在这个基础之上，加入更多的数据分析和挖掘，使之变得更智能。最终使人具有更强的洞察力和识别能力，这也是网康下一步需要更加发力的方向。