從2007年Palo Alto Networks發布世界第一款下一代防火墻（NGFW）產品至今已經有五年多的光景，這期間不少國內外的廠商相繼推出了NGFW。例如：深信服、梭子魚（Barracuda Networks）、Check Point、網康、天融信等。在防火墻市場，已經展現出一場群雄爭霸的局面。

NGFW應企業需求而生

隨著互聯網的快速發展，各種應用程序的爆發，企業面臨著常用應用程序中的漏洞帶來的風險。

網絡通信不再像以前一樣僅僅是依賴于存儲和轉發應用程序（例如電子郵件），而且已經擴展到涵蓋實時協作工具、Web2.0應用程序、即時消息（IM）和P2P應用程序、語音IP電話（VoIP）、流媒體和電話會議，這些都帶來潛在的風險。很多企業無法區分網絡中使用的具有合法業務目的應用程序與那些不是關鍵型應用程序（只是消耗帶寬或者帶來危險）。

惡意軟件和網絡攻擊者瞄準了這個場所，讓企業面臨如數據泄露、潛在的滲透等風險。除了帶來安全風險，這些應用程序也消耗帶寬和生產力，并且與關鍵業務型應用程序搶奪網絡帶寬。因此，企業需要工具來保證業務關鍵應用程序的帶寬，并需要應用程序智能和控制來保護入站和出站的流量，同時確保速度和安全性以提供高效的工作環境。

應企業需求，在多種多樣大量的應用程序環境下，僅靠傳統防火墻的功能似乎顯得力不從心，它們的技術實際上已經過時，因為它們無法檢查攻擊者散播的網絡數據包的數據負載。而NGFW可以提供應用智能控制、入侵防御、惡意軟件防護和SSL檢查，還可擴展到支持最高性能網絡。

眾說紛紜NGFW

市場呼喚新的防火墻產品。需要注意的是，機構對下一代防火墻所做出的定義是其最小化的功能集合，而從安全廠商的角度看，則會根據自身技術積累的情況，在產品上集成更多的安全功能。這導致不同廠商的NGFW產品在功能上可能存在差異，它們更像一個大而全的集中化解決方案，讓用戶感到迷惑。而在國內，業內對于Gartner的下一代防火墻定義一直存在爭議，而下一代防火墻在各個安全廠商及不同用戶心目中也還未能形成一個統一的概念。

2009年，Gartner在題為《Defining the Next-Generation Firewall》的報告中對下一代防火墻進行了定義，Gartner認為，NGFW應該是一個線速(wire-speed)網絡安全處理平臺，定位于企業網絡防火墻(Enterprise Network Firewall，Firewall指宏觀意義上的防火墻)市場(這里的企業指的是大型企業)，文章作者Greg Young認為，NGFW要具備的四大基本要素是：集成傳統防火墻、可與之聯動的IPS、應用管控/可視化和智能化聯動。

不過，國內一些安全廠商認為，在云計算、WEB2.0及移動互聯網等一系列新應用技術被廣泛使用的今天，Gartner2009年定義NGFW時的認知已經明顯不足。有國內廠商在此基礎上，又提出了一代防火墻必須具備的六大特質：基于用戶防護、面向應用安全、高效轉發平臺、多層級冗余架構、全方位可視化、安全技術融合。

以國內首個推出下一代防火墻的深信服為例，其下一代防火墻NGAF就有三個最顯著的特點：完整應用層安全防御（包括主流的Web攻擊、漏洞攻擊等各類型的應用層攻擊）；獨特的雙向內容檢測（不僅檢測由外到內流量中是否有攻擊，對服務器、終端外發的流量也會進行深入內容的安全檢測）；智能的安全防御體系（采用了自動建模技術和模塊間聯動技術。）

一些廠商還聲稱，其下一代防火墻產品在把多業務全開之后，性能下降不超過25%，以此與UTM區分開來。另外，這些廠商還要求在下一代防火墻產品中集成網絡設備的特性，使其成為具備交換特性、路由特性的全功能一體機。

令人欣慰的是，一些業內人士已經看到，在國內，需要把下一代防火墻的技術結合中國市場環境更好地得以實施。首先要滿足中國市場上的用戶需求；其次要考慮針對中國市場的政策要求，如，下一代防火墻能夠集成防病毒特性，這些病毒庫就需要用國內廠商的病毒庫；最后，還要考慮到中國用戶的使用水平，簡化部署。

挑燈細看NGFW

與傳統防火墻相比，下一代防火墻性能有了很大的提升，體現了極強的可視性、融合性、智能化。那么，究竟何為NGFW的本質特征？NGFW的必備功能是什么？NGFW與UTM的區別究竟在哪里？

從Gartner定義看，對比傳統防火墻，NGFW有三個顯著的優勢：第一，支持聯動的集成化IPS，支持面向安全漏洞的特征碼和面向威脅的特征碼。第二，應用管控與可視化，能識別應用和在應用層上執行獨立于端口和協議。第三，智能化聯動，防火墻收集外來信息來做出更好的阻止決定或建立優化的阻止規則庫。

NGFW的功能至少應該包括：基于用戶防護：下一代防火墻應具備用戶身份管理系統，實現分級、分組、權限、繼承關系等功能，充分考慮到各種應用環境下不同的用戶需求。面向應用安全：在應用安全方面，下一代防火墻應該包括"智能流檢測"和"虛擬化遠程接入"兩點。安全技術融合：動態云防護和全網威脅聯防是技術融合的典范。下一代防火墻的整套安全防御體系都應該是基于動態云防護設計的。

NGFW與UTM有三大區別：集成化、單引擎；能適應不同規模的企業；性能更有保證，管理更高效。

目前，對于下一代防火墻，仍存在一些明顯的爭論，如：NGFW就是個加強型的UTM；NGFW純粹是廠商概念炒作，沒什么新東西；NGFW其實早就有，只是沒歸納成概念。

實際上，對于用戶企業而言，面對業界紛紛擾擾的概念爭論和林林總總的新產品，根本不必拘泥于尚未統一的概念本身，而應避免對廠商包裝后的概念的膚淺認識，理解NGFW和UTM的本質特性。最重要的是，在此基礎上，根據本企業的特定安全需求，選用最適合的防火墻產品和解決方案。