防火墙产品从上世纪九十年代至今，虽然历经系统架构和软件形态的多次革新，但在技术发展和用户、带宽不断增长的今天，却愈发难以满足多方面的挑战。尤其是在当前最热门的数据中心和云计算环境下，以太网标准由万兆开始向40G/100G迈进，我国各类数据中心和机房总量已经达到50余万个。业务低延迟、高可靠保证和智能化安全管理，都对网关安全产品的性能和功能提出了新的要求。

　　今年以来，锐捷网络、梭子鱼、深信服陆续在国内发布下一代防火墙(Next Generation Firewall，以下简称NGFW)产品，加上已经在市场上耕耘的SonicWALL、juniper、Check Point等厂商，这个在2009年Gartner定义的来形容防火墙进化发展的产品似乎迎来了春天。

　　传统的安全架构，如今在面对数据中心带来的大规模整合和互联、云计算和移动计算更为分散和全方位的安全需求时，正在经受考验和CIO的质疑，NGFW的出世是否为安全“老三样”注入“兴奋剂”。经过我们走访和接触数家安全及NGFW厂商发现，各家对NGFW的定义虽不尽相同，但发展诉求是一致的。在提到NGFW能否替代网络防火墙、IPS、UTM时，各家也是众说纷纭，有斩钉截铁说是的，有认为应根据网络环境来区别对待的，有认为对某产品来说是可以完全替代的，还有提到会对其他网安产品形成冲击的，相信您在犹豫或面临抉择时能找到一份答案。对于用户而言，要的不仅是高性能、多功能的安全产品，在面对威胁时，一款定位于边界防御的安全产品能否表现出稳定和高可靠性至关重要，对此，我们发现各家厂商的回答也是不一，但终究是要经过市场应用考验。其实，很多CIO也发现在面对网络架构的演进和更复杂的终端设备和用户应用，对传统防御造成挑战，然而作为应运而生的一款全新产品NGFW能否挑起大梁，值得关注和讨论。

　　与传统的网络防火墙和UTM产品相比，NGFW的不同之处在哪里?硬件架构做了哪些改变?NGFW相对传统独立的网络安全架构是否具有稳定和可靠性?企业部署应该做哪些准备，如何选型?近日，ZDNET安全频道采访国内外数十家主流安全及NGFW厂商，带您拨开云雾。同时，并策划一期专题“应运而生，看下一代防火墙能否笑傲江湖”，敬请大家关注。

　　FW力不从心 防火墙在演进

　　目前不管是网络厂商、专业防火墙厂商、IPS或应用控制网关等厂商都在图谋这一领域，在Gartner定义的产品特性基础上，各家厂商也根据自己的传统优势诠释着自己对NGFW的理解。

　　企业将面临来自于Internet的病毒、木马、DDOS攻击、网络钓鱼、SQL注入等种类繁多且危害巨大的威胁，H3C网络安全产品部安全技术总监李彦宾在接受ZDNet采访时表示，H3C认为在数据中心和云计算中下一代防火墙应该具备“虚拟化、高性能、高可靠以及智能化”四个特征，会向高性能、高可靠，虚拟化和智能化演进。

　　对于SonicWALL来说，下一代防火墙包括以下元素，第一个是入侵防护服务，另外是网关防病毒服务，还有防火墙的保护。同时包括以下特性，如内容过滤功能、反垃圾邮件功能，以及通过策略来管理应用程序的功能，同样也包括确保网络的可视性，并能对网络中的每一个正在进行的数据流进行全面的检测，SonicWALL中国区技术经理蔡永生介绍说。

　　绿盟科技产品市场经理段继平认为，NGFW除了对web2.0应用的识别管理能力外，还强调区分于UTM最重要的指标之一的性能。并能够集成IPS，Gartner认为NGFW需要集成IPS功能，但不是像UTM那样做简单叠加，而是要将IPS无缝的功能融合入NGFW产品中去。以及用户集成，强调用户身份与NGFW策略的整合。NGFW的这4点特征针对UTM存在的短板做了改进，并强调与目前最新的安全趋势融合。

　　虽然NGFW没有统一的标准，经过采访我们发现，各家厂商对NGFW的发展诉求是一致的，把传统防火墙将访问控制对象从网络层、传输层(L3-L4)调整为应用层(L7)协议，并能够识别用户、应用和内容，具备完整的安全防护能力的高性能下一代防火墙。

　　NGFW能否替代FW、IPS、UTM

　　众所周知，传统防火墙在上个世纪90年代就已经得到了广泛应用，种类也比较多。而UTM概念是2004年IDC发表的，NGFW的概念是2009年Gartner发表的。新的网络环境下，出现了哪些新的安全威胁，用户安全需求又在如何转变，传统的安全设备如何变得愈加无力。

　　对此，梭子鱼产品经理潘渊告诉记者，传统防火墙只能提供一般意义上的数据包转发和拦截功能，以及一些简单的包检测机制。UTM和传统防火墙相比，确实增加了很多过滤功能，包括应用层的识别和过滤。但是UTM的致命缺陷是由于采用串行扫描方式，处理效率低下。即便是增加了单点解决方案，能提供对email业务、Web应用、远程接入、即时通讯软件等病毒防护，但运营成本也会大幅度提高。而NGFW采用了高效的并行处理机制，并集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护能够抵御来自应用层的攻击，有效解决UTM的本质缺陷。

　　UTM诞生是因为早期的网络防火墙在IPS、反病毒、防恶意代码、反垃圾邮件等功能的缺失，而在其基础上堆砌了这些功能，迈克菲中国区网关安全产品总监郭伟强调说，UTM产品的本质仍然是基于传统网络防火墙架构的过渡性产品，其底层架构与传统网络防火墙无异。

　　“NGFW更注重在Web2.0时代的客户体验，比如采用客户化的GUI，多核CPU并发处理等。随着企业的发展，需要更主动，更直观，更定制化，性能更高的安全产品，这是NGFW的特点。对于企业来说，NGFW更贴合现有网络环境，对企业业务保护更加全面。”天融信方案与推广副总裁刘辉说。

　　各大厂商几乎不约而同的说到，不论是传统防火墙还是UTM，已无力应对Web2.0交换式多种应用场景下的实时变化的安全威胁。在记者问到NGFW将是网络防火墙、IPS、UTM的替代品吗的问题时。瞻博网络大中国区产品市场经理谭俊直言道，“是的，这是一个基于新一代架构和理念不断创新和演进的过程。” 深信服市场行销部技术总监殷浩表示，传统防火墙、UTM由于低廉的采购成本，在少数简单网络环境还是会成为用户的一种选择。但最终面对用户的应用层安全需求，FW、UTM终将不断演进到NGFW的产品形态。迈克菲中国区网关安全产品总监郭伟的回答更为保守，他认为，对于一些安全要求比较低的网络环境比如企业的访客网络，非核心业务网络等，传统网络防火墙还是有其应用需求的，并且可以和NGFW实现梯次配置，实现差异化分层防护。IPS产品的优势在于利用签名技术对网络流量进行快速、无时延的检索，要求其有高转发率特性，擅长检索已知网络威胁，防止DDos攻击等，因而与NGFW相比有各自不同的关注重点。但在谈到UTM时，郭伟认为，凡是UTM能够部署的地方， NGFW都可以无缝替换，更加之UTM一直存在性能瓶颈，所以UTM产品最终会为NGFW所取代。启明星辰边界安全产品部副经理马骏则特别强调了NGFW对上网行为管理市场的冲击，马骏认为，NGFW最终会替代上网行为管理产品，与FW、UTM和IPS产品会形成新的市场布局，并形成相对长期竞争态势，相互功能也会不断融合，与各种形态的网关产品市场形成比较理性的布局。