不論產品如何變化，市場的發展總是由用戶需求所驅使。因此下一代防火墻（NGFW）從某種角度上講也是順勢而生的。然而，如何在進行采購之時擁有一雙“火眼金睛”來看透廠商“忽悠”的伎倆，用戶又該如何根據自身的需求選擇合適的產品呢?

半年前，在《解惑下一代防火墻》這篇文章中，筆者向讀者展示了參與橫向評測的四款產品測試報告，并為大家深刻解讀了如何在充滿亂象的NGFW市場中理性看待該產品。如今在這半年中，下一代防火墻市場趨于穩定，大家各自發展，悉心耕耘。但是貌似平靜的市場中，業界對于NGFW和UTM仍然紛爭不斷。不論兩種產品使用的技術孰優孰劣，最終的目的還是要交付給用戶使用。因此產品的設計宗旨還是要以滿足用戶需求為前提。

也就是說，對于網關安全產品，要能夠給企業提供可以靈活部署不同安全需求的解決方案，提供多種安全功能的靈活組合，使產品能夠滿足企業不同發展時期的不同安全需求。目前看來，市場上絕大多數UTM的產品性能其實隨著硬件的發展在進行自然的提升，而眾多UTM廠商都推出了自己的NGFW產品。再加上原本專注于應用層控制，諸如上網行為管理等產品的廠商也投身到下一代防火墻市場中成為新興力量。

撲朔迷離的市場環境

不論產品如何變化，市場的發展總是由用戶需求所驅使的。下一代防火墻的產生從某種角度上講也是順勢而生的。互聯網的快速發展，使得UTM產品逐漸成為企業網建設時平衡安全與性能之間的阻礙。目前以太網已經大踏步邁進40G時代，盡管對于企業網出口來說，帶寬可能還是只有千兆級別，但相對于幾年前的帶寬已經翻了一番。因此，市場需要一種新的產品能夠適應當前的互聯網環境，不論是帶寬還是各種各樣的應用。盡管UTM隨著硬件的發展而性能得到了很好的提升，但是仍然難以阻止NGFW這股浪潮的力量，畢竟UTM和防火墻這兩個名詞已經占據市場太久了，這從各種不同廠商趨之若鶩的態度也可以看出來。

賽道安全論壇創辦人隨之 觀察認為， Gartner為Palo Alto度身打造的下一代防火墻(NGFW)這一名詞隨其上市風光之后一石激起千層浪，無論是之前做防火墻的，還是做防病毒的、IPS的，郵件過濾的，P2P流控的，甚至做上網行為管理的，都齊齊高舉專屬自己的下一代防火墻招牌，以市場說了算的大無畏豪邁精神紛紛發力。一時間下一代防火墻無所不能的高、大、全形象在紛爭中站了起來。IDC當年著力渲染以網關防病毒獨領UTM市場的翹楚Fortinet寡不敵眾，也發出了UTM就是功能更全、性能更佳的下一代防火墻的和諧聲。媒體紛紛發文對比NGFW與UTM，末了多少會偏心一下新鮮出爐的下一代防火墻。

從隨之發表的評論不難看出，目前下一代防火墻廠商基因各不相同，而且市場剛剛起步，并未經受過傳統防火墻市場的長期洗禮。各家廠商從各自產品特點出發，在IPS，用戶應用內容可視控制基礎上，添補滿足中國用戶本地特色需求的功能，蓋上下一代防火墻的新紅印掛帆出航 。為了關聯當前云計算的熱點，虛擬化隔離、BYOD控制、云策略更新、高性能架構的點綴說法也隨之而來。

然而，面對琳瑯滿目、紛繁復雜的下一代防火墻市場，用戶又該如何根據自身的需求選擇合適的產品呢?據筆者了解，目前用戶并不關心他們采購的產品是UTM還是下一代防火墻，用戶方面真正需要的只是能夠滿足自身眾多安全需求的安全網關產品。因此，面對如此情況，筆者認為下一代防火墻與UTM之爭其實可以暫且擱置了。

在拋去了產品名字的爭議之后，一個很現實的問題擺在了我們的面前，那就是產品采購的問題。Gartner在其2012年企業防火墻市場魔力象限報告中表示，有一些廠商過度使用術語及充滿迷惑性的營銷手段，往往令我們對應用程序控制、WAF (Web應用防火墻) ，以及ADC(應用交付控制器) 防火墻三個概念混淆不清。

因此，用戶該如何選擇產品，一款擁有哪些功能的下一代防火墻產品是適合于用戶自身需求的，如何在進行采購之時擁有一雙“火眼金睛”來看透廠商“忽悠”的伎倆等等，這不僅是用戶需要考慮的，也是媒體需要認真思考的問題。#p#

群雄逐鹿下一代防火墻

在用戶進行采購之前，必須對于自身的網絡環境，以及業務需求有足夠的了解。另外，產品供應商的情況也是需要考慮的問題。

全球范圍內市場份額領先的安全硬件設備提供商，諸如思科、Check Point、Juniper、Fortinet，還有UTM的老牌勁旅Dell SonicWALL、Barracuda Networks，都在下一代防火墻這股浪激中相繼推出了自己的NGFW系列產品。國內方面，東軟、銳捷、深信服、天融信、網康、網神等廠商也根據自身的優勢和特點，推出了更具中國特色的下一代防火墻產品。

國際廠商對于下一代防火墻的宣傳普遍比較低調，思科就是其中之一。思科于2011年發布下一代防火墻，算是比較早的一批了。思科高級安全顧問徐洪濤表示，目前下一代防火墻市場有傳統的防火墻提供商，也有直接跨入下一代防火墻的新一代廠商，大家對下一代防火墻的定義也有所差別。思科采用的方式是在傳統成熟的防火墻平臺上增加新的下一代防火墻功能。因此思科利用已有的渠道和大量的客戶群，做到一個平滑地向下一代防火墻切換，最優化用戶的體驗。此處也不難看出，擁有強大渠道和穩定客戶群的市場領導者，其傳播方式更偏向于通過自有方式來向客戶進行下一代防火墻的滲透，因此在市場上的聲音不多。

Check Point作為傳統的安全廠商也是IPS的締造者，長期以來思路清晰，堅持走軟件刀片的路線，并且已經取得相當的成功。在企業級防火墻市場(Gartner認為這部分市場很可能成為NGFW市場)中，Check Point產品的部署量相當高，其全球范圍的出貨量穩居第二名。另外，在Gartner的調查中，Check Point是被用戶選擇最多的下一代防火墻品牌之一。而用戶選擇的原因不僅僅因為品牌和歷史，更多的是因為不可取代的功能其強大的售后服務體系。

Fortinet作為UTM的締造者，其產品的高性能和高穩定性是Fortinet走到今天的根本。隨著時間的推進，Fortinet將FIPS(美國聯邦信息處理標準)、NSS Labs、ICSA Labs的“印花”都集齊了。最近兩年，Fortinet同NSS Labs合作緊密，積極配合下一代防火墻產品的測試，并且表現出眾，屢次獲得“推薦”級別。然而，Gartner卻一直對Fortinet有一些自己的“意見”。在UTM 的魔力象限中，Gartner長期以來雖然一直認為Fortinet是絕對的領導者，但是仍然很難在其企業級防火墻魔力象限中給出Fortinet很好的評估。在Forti OS 5推出之后，Fortinet也應聲宣布自己的NGFW產品。對于此種情況，有人認為是倒戈，而筆者認為“妥協“更貼切。

Barracuda Networks(梭子魚)在2004年就已正式進入中國市場發展，對于中國本土特點有深刻理解。由于長期的國內發展，梭子魚在國內不僅擁有成熟的售后支持和應急響應團隊，并且還擁有大量的研發資源。對于產品線的補齊，梭子魚也是不斷通過收購達成，比如WAF廠商Netcontinuum和奧地利防火墻廠商Phion AG。而在收購了Phion AG之后一年，梭子魚就推出了其NG firewall產品。

在國內方面，深信服是國內首家推出下一代防火墻產品的廠商，2011年9月至今，深信服的下一代防火墻產品線已經日趨成熟，并且行業覆蓋范圍也較廣。深信服市場行銷部技術總監殷浩向記者表示，深信服下一代防火墻在中國部署情況很好，產品推向市場到現在已有1年多時間，累計銷售額超過1個億，2012年更比2011年翻了4番。客戶認可度高，市場反饋良好，目前已經覆蓋到了政府、金融、運營商、企業和教育等行業。

國內市場中有一家最近頻繁在下一代防火墻市場中有所動作的公司，那就是網康科技。網康的下一代防火墻于去年10月份推出，而且在今年4月份推出了NGFW 2.0版本，涉及了很多重大的更新。網康科技CEO 袁沈鋼也不久前與《網絡世界》總編輯高輝進行的高端訪談中也談到，通過網康過去8年在應用層的積累，推出下一代防火墻是自然而然的事情。另外，網康用其“買服務送設備“的銷售模式快速拓展市場、積累客戶，并且收效頗豐。

前面說過，國際廠商對于下一代防火墻的宣傳普遍比較低調，但是有一家廠商是絕對例外的，那就是下一代防火墻的締造者Palo Alto公司。從Palo Alto推出下一代防火墻至今，該公司一直持續地以各種形式在媒體和市場中發出聲音，長期處于比較高調的態勢。Palo Alto 2005年于美國成立，4年后攜手Gartner向世界推出下一代防火墻的概念并迅速崛起，更在去年年底成功上市。

Palo Alto的成功，源于其產品將防火墻和IPS完美的整合，并將應用控制功能提升到了從未有過的高度，而其成功的背后不僅站著一群業界精英，還站著許多市場營銷好手。Palo Alto是Gartner調查中被提及最多的下一代防火墻替換者。而Palo Alto更是最近幾年對防火墻市場最大的貢獻者。雖然也有人認為是破壞者，但是其創新的下一代防火墻的定義，以及單通道并行檢測引擎已經迫使眾多防火墻、UTM、NGFW廠商以此標準來進行產品改良，甚至重新設計。#p#

下一代防火墻產品大盤點

如上所述，目前下一代防火墻廠商各自的背景不盡相同，因此各自的產品定位和特點也存在一定的差異性。在了解了國內外下一代防火墻的幾家代表廠商各自特點之后，對于各家產品的特點也是需要了解的。為此，筆者對于各家產品進行了探索。

在此要感謝各家廠商的積極配合，讓筆者能夠深入了解各家NGFW產品的特性、部署環境，以及相應的技術特點等等。

梭子魚的F800下一代防火墻產品除了具有常規功能外，該產品還突出了智能點對點流量管理功能，大大優化了廣域網的性能和功能。信息管理人員可以輕松管理應用層路徑，根據多鏈路、多通道和不同的流量情況安排鏈路的優先順序。雖然梭子魚的產品在國內覆蓋零售、企業、物流、政府、運營商等領域，但是其大部分的客戶還是在分支機構和中型企業。

Check Point產品的應用范圍廣，不得不說是得益于其靈活且多元的軟件刀片。通過不同的軟件刀片組合，讓采購的企業和組織能夠將其產品應用于各種復雜或簡單的環境。Check Point 12200可被用于大型網絡環境，以及業務關鍵內部網段邊界安全保護。該設備通過熱插拔冗余電源/磁盤驅動器、遠程管理卡，以及諸如Check Point ClusterXL和負載分配等高可用性特點，保證高業務連續性和適用性。12000系列更是多次在NSS Labs獲得“推薦“級別的產品。Check Point雖然一直出貨量很高，但是其產品價格昂貴也是不爭的事實，尤其是其多達十余種軟件刀片，確實使得組合可以更靈活，但另一方面也增加了客戶的采購成本。

而思科的ASA5500系列下一代防火墻提供全球安全威脅實時視圖和電子郵件的“信用報告”服務，還能敏感監控僵尸網絡的動態，所更新的信息即時同步。企業可以根據特定需求定購不同版本，做到逐步購買、按需部署，靈活方便地實現安全功能的擴展。而且從思科PIX防火墻遷移至思科下一代防火墻的過程簡單易行。思科安全產品的高出貨量源自其總體產品的高出貨量，長期以來思科專注于網絡設備的研發，但在安全產品創新上還需多做一些努力。

Fortinet公司的安身立命之根本在于其產品極高的穩定性和轉發速度。NSS Labs測試的FortiGate 3600C達到了60Gbps防火墻吞吐和14Gbps應用層及IPS吞吐的超高效率，獲得了NSS Labs的“推薦”級別。更高端的FortiGate-3950B以一臺3U高度標準機架式設備、最大不到500W的功耗，實現了120Gbps的小包吞吐量，以及2000萬并發會話能力。然而，如Gartner的報告中所說，Fortinet產品的第三方生態系統構建還須時日。另外，雖然Forti OS 5已經發布，但是并未被大規模使用。而該系統較大的更新正是針對NGFW功能的。

Dell SonicWALL擁有專利的RFDPI (免重組深度數據包檢測) 技術。RFDPI引擎掃描通過每一個端口的網絡流量的每一個數據包的每一個字節，提供全面的內容檢測以消除威脅，并且全面檢測SSL加密的流量，以及非代理的應用程序。由于SonicWALL是UTM起家，所以其大部分客戶還是集中在小企業和零售市場，而且被戴爾收購的時日尚短，因此企業級市場還需進一步開拓。

Palo Alto的NGFW產品從PA-200到PA-5060，開啟應用識別的防火墻性能從100Mbps覆蓋到20Gbps，滿足分支結構到數據中心的防火墻性能需求。作為該公司最為暢銷的產品，PA-3000系列非常適合于大型互聯網網關位置部署，以確保網絡安全和預防網絡威脅。雖然是下一代防火墻的締造者，Palo Alto也有自己的缺點，該公司還未支持大型機架設備，因此在較為高端的數據中心環境可能會受到性能限制。其次，Palo Alto的下一代防火墻產品所集中的安全功能并不像其他家廠商那樣多，對于安全功能有大量需求的客戶，可能會在采購中有些遲疑。還有一點，那就是Palo Alto在中國的市場規模極其有限。

深信服NGAF在下一代防火墻市場中占得先機，已經扎根。當深信服NGAF設備的IPS或WAF防護策略匹配到遠端黑客的攻擊行為之后，可以智能地與防火墻策略聯動，生成臨時防護策略，限時封鎖遠端的源IP對業務的訪問。防止黑客進行持續性的攻擊嘗試，最終繞過安全設備防護的風險。NGAF更是將Web安全防護作為主打特色之一，并且獲得了OWASP四星的成績，證明了其在應用層領域的專注和專業。然而，這也是一把雙刃劍，深信服NGAF是否會被人誤認為NG-WAF還未可知。

天融信是國內老牌的防火墻廠商，長期穩居國內防火墻市場占有率第一位。其產品主打高性能，產品吞吐量動輒數十Gb，其擎天系列下一代防火墻更是高達百Gb吞吐。NGFW4000系列也是國內率先支持防病毒和SSL VPN功能的防火墻產品。

網康科技近日最新發布了NGFW 2.0版本，首次將“云查殺”技術引入到了產品，而且還專門針對“僵尸網絡”做了開發，數據防泄漏方面更是根據文檔特征而非后綴名判斷。網康NGFW 2.0向我們全面展示了應當如何去應對下一代的網絡威脅所帶來的安全防護問題，并為下一代防火墻應該提供何種安全防護功能提供了非常形象的解釋。在市場方面，網康也亟待快速拓展，將其NGFW產品上升成為公司的支柱產品，雖然起步較晚，但是好在賣服務的模式正在幫助其快速擴張市場。

網神在去年受邀參加了《網絡世界》下一代防火墻的橫向評測并提供NSG 3600產品進行測試。結果顯示，在即便是開啟防火墻功能模塊+APP+IPS等情況下，其新建連接的應用處理能力可以穩定地保持在4000新建連接/秒左右。而且即使在開啟AV功能后出現性能下降，成功連接響應過低的情況也依然忠實地沒有漏過每一個包的防病毒檢查。

WatchGuard的下一代防火墻多達十幾個型號，充分覆蓋各種使用環境。優勢是性價比高，適合對價格敏感的中小企業、零售商、分支機構的網絡安全部署。另外，Gartner認為，該公司對于下一代防火墻在企業中適用的功能范圍認識很清楚，目標也正確，但是其在大型企業中的部署較少，主要還是集中在中小企業。#p#

廣闊的部署環境

從多家廠商走訪的結果來看，幾乎所有廠商都認為下一代防火墻的主流級別是千兆和萬兆。天融信網關產品線產品總監寇增杰表示，下一代防火墻關注應用層檢測與防護，而完善的應用層防護解決方案往往需要高性能的支撐。隨著硬件本身性能上的不斷提升，以及系統層面的不斷優化，百兆與千兆中低端早已不是衡量下一代防火墻在性能方面的標準，應該是在千兆高端與萬兆的性能級別。

WatchGuard市場部總監萬熠認為，下一代防火墻的主流基本上還是在1Gb-15Gb的級別。這個級別的用戶群比較大，而且需求比較明確，他們需要對網絡內的流量做可視化管理，做帶寬管理和流量整形。同時對設備性能穩定、實際使用功能這些都有很明確的要求。百兆NGFW市場空間也不小，但其用戶群的主要使用目的并不那么明確，更多是為了通過簡單的方案解決網絡基本攻擊，和應用控制，提高辦公效率。

對于下一代防火墻可被部署的環境，以及可能產生的限制這個問題，深信服市場行銷部技術總監殷浩表示，目前在應用場景上沒有限制，用戶可以根據部署場景的需求選擇下一代防火墻對應的功能。就深信服一年多的銷售經驗來看，深信服下一代防火墻在各個場景部署上均有較為明顯的優勢。

梭子魚技術總監賈玉斌也認為，NGFW在應用場景上其實沒有太多的限制，根據NGFW定義的特性而言，其更適合應用在對于安全檢測與防護級別更高的地方，以及為其滿足集中管理與網絡整合管理應用的需求。

萬熠則認為，NGFW主要適應在對應用功能高度集中的中小型企業，對流量就網絡內數據可視化要求較高的大中型企業數據中心和園區網，以及一些中型ISP。當然運營商和金融行業也在逐漸考慮是否選用NGFW產品解決方案。NGFW適用于當前網絡應用環境下的絕大部分客戶需求，但是對于超高流量的網絡場景，NGFW過于細粒度的檢測方式，可能會對此種應用場景有限制。例如城域網骨干出口等。

思科高級安全顧問徐洪濤也認為，思科下一代防火墻主要的應對場景包括互聯網出口、BYOD接入的安全網關，包括數據中心的應用控制等等。但是目前下一代防火墻還未在核心的骨干網絡中得到大量的應用，主要還是應用在互聯網出口的百兆和千兆環境。思科也推出了萬兆的下一代防火墻產品，也在高端數據中心和運營商當中做出了嘗試。

對于部署環境的問題，格物資訊創始人韓勖表示，每個行業的需求都有各自的特點，可以分為四大部分來看，即運營商、教育、IDC和其他行業。運營商方面，城域網及以上層面基本沒有安全網關的位置，而對于二三線運營商和小區寬帶來說，NAT及審計、多鏈路負載均衡、流控、基于應用的引流是剛需。NGFW比傳統防火墻有優勢，但對愈發強大的專業流控產品來說可能稍顯劣勢。

教育行業方面，高校網絡中心或市、區級信息中心其實等同于中小運營商，對邊緣網關的剛需自然也大同小異。不過他們對IPS、AV有比較明顯的需求，但不是剛需。此外，教育行業用戶對審計的需求相當強，幾乎屬于剛需。如果能在合理的價格區間內，在性能滿足需求的前提下提供有效的安全保障，并且有足夠強的審計功能，NGFW會體現出一些優勢。

因為互聯網數據中心(IDC)有運營性質，理論上安全也不是剛需，但現在IDC運營者必須考慮DDoS攻擊防范，這恰恰是NGFW軟肋。至于安全服務化、增值化，國內IDC業者似乎很早以前就開始力推，但一直沒有形成氣候。

而其他一些行業用戶對于安全的需求就比較高了，因此VPN也成為剛需的一部分。這類用戶對IPS和AV的需求更加旺盛，但卻構不成剛需。此外，雖然一些NGFW產品已經具有一定的上網行為管理和DLP功能，但對于大型行業用戶來說仍不夠專業，因此難以取代單獨功能的設備。此外，NGFW健全的用戶身份系統，能讓配置和運維更簡單、高效，報表功能更強大、全面。再比如最基礎的應用識別功能，有讓管理運維思路走向白名單化的趨勢。如果識別率夠高，誤識別率夠低，無疑能讓網絡運行效率更高，也更安全。如果對動態路由的支持更加完善，則相比于防火墻和路由器來說更具競爭力。#p#

本土化應用更新快速

對于下一代防火墻來說，應用識別和控制是看家本領。然而，對于國內有很多的本土化應用，雖然各個企業也在不斷地開發自己的應用來方便員工開展工作，但是應用識別功能的本土化和應用庫的更新，以及響應未知應用的時間也應該成為中國用戶在采購時需要考慮的另一大問題。

網神產品運營總監陳超說道：“無論針對本土還是國外的應用控制，作為安全廠商都要投入大量的人力和物力去研發，因為每天都在誕生新的應用，同時老的應用為了適應網絡發展不斷衍生和更新，應用的更新沒有固定時間限制，一旦互聯網有新的應用和更新產生，我們在一二天內就必須有應對。因此，至少平均每2天都有更新升級包。”

殷浩向筆者解釋道，NGFW中必備的應用識別功能需要廠商專門投入一個團隊持續更新并維護應用識別的特征庫，這需要一段時間的積累和后續長期的投入。這點并不容易做到。而對于本土化應用做好識別也有兩個層面的工作，首先廠商應該在應用識別這個領域有一定積累，有足夠的市場經驗幫助廠商判斷哪些應用是用戶常用的，哪些是需要持續更新的;其次，很多用戶會有在非互聯網，比如業務網和內網的應用訪問控制需求，這需要廠商快速響應用戶的需求反饋，并準確識別這些應用的特征。一般情況而言，應用至少每周都應該批量更新，以保持實時性。

萬熠表示，由于每個國家或地區的網絡技術發展都有地區化的差異，并且中國作為全球IT行業的主要組成部分，中國的網絡及應用的本土化特點較其他地區更為明顯。對國際化廠商來說，地區本土化的應用控制是必須面對的問題。WatchGuard在我國北京和成都兩個城市有兩個研發中心，會針對中國的特點做本土化需求開發。通常來說，APP更新會在較短時間內進行。

網康科技執行副總裁左英男說：“要做好本土的APP，需要多年的積累能夠針對本土的應用做到準確識別。比如迅雷和P2P視頻等。我們更新APP的頻率大約在一周增加8-11個應用。”

從上述廠商代表的表述中不難看出，大家對于應用控制都相當看重。對于國內廠商來說，由于是土生土長，不論是應用庫方面還是技術方面，對于本地的應用積累都處于較高水平。而國際廠商為了更適應中國發展，已經基本上都在中國設置了一到兩個，甚至更多的研發中心來支持本土化應用的更新和應急響應。

理性看待產品 避免選擇誤區

雖然在過去兩年中，下一代防火墻以無可阻擋之勢席卷市場，擺出一付拯救天下的姿態，但是冷靜過后不難發現，下一代防火墻還是有自己的問題存在。沒有一個完美的產品，因為產品也都是在不斷進化和發展的。這也是為什么NSS Labs在2013年最新報告中把2007年Gartner給出的NGFW定義稱為第一代NGFW的原因。而事實上市場并沒有十分認可這個定義。

隨著越來越多的廠商進入下一代防火墻市場，會讓這個市場變得愈發混亂。而混亂的原因正是大家在不斷地爭議什么樣的功能應該被包含在NGFW中，而什么樣的功能應該被排除在外等問題。

然而，這些問題都是業界考慮的問題，從指導用戶進行產品采購方面來說，筆者更關心的還是目前下一代防火墻還能有哪些提升。只有知道了一款產品未來的發展方向，才能夠幫助自己確定是否適合將其擺在自家網絡出口兩三年的時間。

陳超向筆者表示，下一代防火墻在用戶體驗與交互還需進行提升，產品要能使用戶快速入手，并且從威脅發現到如何處理能讓用戶快速理解和反應，而不是讓用戶去考慮如何處理，甚至無從下手。其次，NGFW集成了更多的應用層安全防護，如果廠商不踏踏實實地做好安全威脅防護，一旦用戶信賴了產品，反而威脅會很容易進入到用戶的網絡環境，那么后果和損失將不可估量。因此NGFW產品很大程度上要求安全廠商對技術不僅要踏踏實實做事，同時要追求精益求精。

殷浩也認為，目前市場上通用的NGFW確實已經解決了目前主流的安全威脅問題，但這還是遠遠不夠的，安全一定不是百分百的。NGFW應該具備雙向檢測的能力，從攻擊結果的角度出發，檢測服務器外發的流量是否符合業務的合規性。另外，在產品的使用體驗方面應用有更多智能的手段，讓管理員能夠更直觀、更簡單地發現業務風險，并對風險進行有效處理。

徐洪濤則認為，NGFW或者說下一代的安全平臺，必然需要隨著下一代網絡和下一代應用的發展做出改變，而下一代網絡發展的趨勢是終端的移動化、服務的云化、威脅的零日化。目前來看一般廠商的下一代防火墻主要是在用戶的身份控制和應用的控制上做了相應的增強，而對真正的威脅控制，以及云架構的安全防護上并沒有一個跨越性的改變。因此，下一代防火墻應該更多地在零日威脅防御BYOD終端接入，以及云數據中心的防護上再下些功夫。

不久前，筆者有幸獨家專訪了Palo Alto 公司產品市場總監Chris King，在訪談中也問及了他認為下一代防火墻會有怎樣的發展。Chris表示，NGFW的未來是將NGFW 使用到更多的地方。防火墻一開始部署在互聯網網關，然后一步步擴展到 分支機構和數據中心等地方，Palo Alto的發展也是遵循這個路線。現在其設備已經部署在了數據中心和分支機構，并且還在大型企業中用來保護員工移動設備的安全。因此NGFW的發展方向將是在各個節點上取代傳統防火墻。

而Palo Alto公司大中華區技術經理Jones Leung則向筆者表示，越來越多的廠商開始向客戶提供下一代防火墻解決方案，但是許多產品還是需要進一步提升才行。首先，應用感知應當作為基本元素被集成到解決方案當中。很多供應商都在努力利用附加方式將其添加到現有方案當中，而這將導致用戶無法將應用程序作為安全策略的一環加以利用，最終危害應用的安全運行。此外，這種做法還使應用程序無法作為如IPS及反惡意軟件掃描等安全功能的觸發變量。不過很多供應商仍然在利用四層式信息作為安全策略。其次，由于采用附加式方案，大多數供應商只能以較差的性能表現提供一部分NGFW相關功能，很多供應商甚至拒絕公布附加應用控制功能啟用后的性能參數。最后，許多供應商只把注意力放在向現有方案添加應用控制功能上，而忽視了應對新安全威脅的創新型措施。一套NGFW解決方案應當始終擁有立即應對新挑戰、新威脅的能力。

然而在另一方面，用戶也需要保持理性，不能盲目認為下一代防火墻就各方面均優于傳統防火墻。賽道安全論壇創辦人隨之感言，在賽道安全論壇排位首頁的老牌防火墻廠商如思科、Check Point、Juniper、Fortinet、WatchGuard、Dell Sonicwall，沒有哪個會說自己是上一代防火墻，他們各自基于深厚的傳統與時俱進，某種程度上功能和性能均高于下一代防火墻。Palo Alto的創新在于融合深度包檢測技術，提升防火墻實現從IP到ID的可視化控制，以及可預期的性能，而不是聯動、云策略、虛擬化的花頭。

誠然，性能降低令人煩惱，防護不佳又讓人不安，是用性能換安全還是同步提升是一個永遠的問題。

在選擇下一代防火墻產品的時候須要注意以下三點：

1. 防火墻部署位置，服務器側選云火墻防攻擊要性能為上，企業出口選防火墻留心界面的可視操控感受;

2. 防火墻廠商的原始技術積累。其主要賣點是否與自己實際需求匹配，軟硬資源有限，有這個功能不等于這個功能性能可用;

3. 產品服務提供商是否有專業性。是在大談硬件架構、政策法規還是針對安全威脅設計具體策略，讓硬盒子真正實現廠家在銷售時曾經許諾的價值，還是要看專業經驗與應用能力。

下一代防火墻如同下一代互聯網一樣，是現在進行時，是一個不斷推進的過程。“產品趨向完美，服務無法拒絕;技術穩步提升，設計妙不可言”。這是做產品的愿景。常言道：選擇有風險，用戶須謹慎。祝各位好運。