前幾天一個高校老師來電話，提到在即將進行的網絡出口改造項目中，不少安全廠商開始引導他關注NGFW。然后老師自己對NGFW發表了一通看法，總結完其實就是一句話：不能做應用識別、線速、引流的防火墻不是好路由器。

大量惡意軟件不能被檢測到

這句話至少說明了兩個問題：第一，老師的需求，就是字面上的意思；第二，用戶有自己的評估方式，任你廠商包裝得如何花團錦簇，用戶只從自身需求的角度看產品。在價格合理的前提下，產品對用戶需求的滿足度越高，用戶的接受程度（至少是興趣）自然也就越高。

請大家一起看看在業務模型的角度，用戶是不是能接受NGFW。

先圈定范圍。Gartner認為NGFW的潛在用戶是Enterprise，本土化的翻譯叫做行業用戶。運營商可以算作一類行業用戶，但中小企業不行，其需求和資金投入決定了NGFW不是它們的菜。

然后來看應用場景。目前NGFW的應用場景主要分兩大類，一類是以南北向流量為主的互聯網出口，另一類是以東西向流量為主的數據中心（特指以虛擬化技術為基礎的大型數據中心）。這基本等同于傳統防火墻的應用場景，所以Gartner一直把NGFW的數據放到EnterpriseFirewall里合并統計。

互聯網出口——運營商、教育和IDC

雖然所有行業用戶都會有自己的互聯網出口，但其需求卻有很大差異。如果是帶有運營性質的網絡，運營者不必對安全負責，所以此類用戶對邊緣網關的需求主要體現在網絡層面。

先看運營商。城域網及以上層面基本沒有安全網關的位置，除非IPv4地址不夠，才會考慮引入安全產品做NAT（4/4、4/6）。這點需求，傻快傻快的傳統防火墻顯然更合適。對二三線運營商和小區寬帶來說，NAT（4/4及審計）、多鏈路負載均衡、流控、基于應用的引流是剛需，NGFW比傳統防火墻有優勢，但對愈發強大的專業流控產品來說可能稍顯劣勢。

再看教育行業。高校網絡中心或市、區級信息中心其實等同于中小運營商，對邊緣網關的剛需自然也大同小異——NAT（4/4、4/6及審計）、多鏈路負載均衡、流控、基于應用的引流。不過他們多少要考慮安全問題，否則出了事頭疼的還是自己，所以對IPS、AV都有比較明顯的需求（不過不是剛需）。此外，教育行業用戶對審計的需求相當強，不少用戶在交流中都提到過關鍵字級別的過濾與審計（剛需）。如果能在合理的價格區間內，在性能滿足需求的前提下提供有效的安全保障，并且有足夠強的審計功能，NGFW會體現出一些優勢。

最后提一下IDC，因為它有運營性質，理論上安全也不是剛需。不過現在IDC運營者必須考慮DDoS攻擊防范，NGFW目前只能做在線式的抗DDoS，無法從根本上解決問題，很難得到用戶信任。至于安全服務化、增值化，國內IDC業者似乎很早以前就開始推，但一直也沒形成氣候。

互聯網出口——其他行業

除了運營商、教育和IDC，其他行業用戶的互聯網出口對安全網關的需求又有所不同，應該說更關注安全。

除了NAT（4/4及審計）、多鏈路負載均衡、流控和基于應用的引流，VPN也成為剛需的一部分。這類用戶對IPS和AV的需求更加旺盛，但仍構不成剛需。此外，雖然一些NGFW產品已經具有一定的上網行為管理和DLP功能，但對于大型行業用戶來說仍不夠專業，因此難以取代單獨功能的設備。

不過，部分用戶在交流中也坦言被NGFW的一些新特性所吸引，產生了摸著石頭過河的意愿。比如健全的用戶身份系統，能讓配置和運維更簡單高效，報表功能更強大全面。再比如最基礎的應用識別功能，有讓管理運維思路走向白名單化的趨勢，如果識別率夠高、誤識別率夠低，無疑能讓網絡運行效率更高，也更安全。

在許多行業專網中，安全網關本身就已經有取代路由器的趨勢。如果NGFW在動態路由方面支持比較完善，那么對于傳統防火墻和路由器來說更具競爭力。這個市場很大，有待國內安全廠商充分挖掘。

最后，NGFW對于此類用戶還有一個比較現實的問題，就是管理權的歸屬。這個問題處理不好，恐怕會對NGFW的普及造成負面影響。剛剛又有用戶和筆者討論過這個問題，他們集團之前采購了上網行為管理設備做流控和審計，但安全運維部門和網絡運維部門在設備的管理權上產生糾紛，最后只用它來做審計，同時又采購了一臺流控設備交給網絡運維部門使用，完全就是重復浪費。安全功能的集成化是大勢，用戶的IT組織架構必須適應這種融合的趨勢，進行適當的調整。

數據中心

說完行業，再來看數據中心。對于以東西向流量為主的大型數據中心而言，安全防護的重點在內部。出口也不是不重要，但最多當做一個獨立的安全域去看待就夠了。其對安全網關的剛需比起互聯網出口有了不小的變化，主要包括2-4層訪問控制、服務器負載均衡、IPS和WAF/防篡改。

寫到這里不由感嘆，深圳某公司的眼光真毒，其類NGFW產品應該也是國內銷售額最高的，應該給產品規劃人員加薪。

NGFW的一個切入點在于應用識別和基于應用的白名單控制，這雖然還不算剛需，但可以給數據中心的安全保障提供額外的技術手段。海外已經有了比較成熟的部署模型，甚至進入到行業規范；國內也有行業用戶開始嘗試，思路在之前大連電子政務外網的案例中有過詳細闡述。

不過，對于NGFW在數據中心內部的應用，目前運營者還不是很看好。其實，大部分運營者對數據中心內部安全防護尚無清晰的解決思路，流量到底是牽出來給一個高大強的設備處理，還是通過VM版本的安全設備處理，還沒有個主流意見。但流量不管是遷出還是在內部消化，現有NGFW產品都面臨性能和成本方面的瓶頸。像BTAS麾下的商業數據中心，內部流量動輒百G起步，NGFW的部署成本太高，方案也太復雜。

數據中心出口面臨的另一個嚴重的安全威脅是DDoS，剛才分析IDC的時候已經說了，目前的NGFW產品很難贏得用戶信任。

對于VM形式交付的NGFW方案，未來倒是值得謹慎看好。大型行業用戶如果將業務從本地向云端（尤其是公有云）遷移，多樣化的安全需求只能靠自己解決。在這方面，行業巨擘已經給出了非常全面的方案。

總結：高舉低打才能成就NGFW

基本上把行業用戶的主要需求總結了一遍，NGFW能否被用戶接受，人人心里都應該有數了。

可以看到，未來NGFW的主戰場還是以南北向流量為主的互聯網出口，用戶長期以來的剛性需求其實就是高性能NAT，這也是大部分場景中傳統防火墻能取代路由器的主要原因。今天，殘酷的現實令應用識別、流控和基于應用的引流成為新的剛需，善于此道的NGFW也就有了足夠的群眾基礎，甚至讓業界產生了“下一代的精髓就是流控”的判斷。

這絕對是中國特色。海外用戶普遍認為IPS及智能聯動才是NGFW的精髓，國內用戶卻把優先級排到應用識別、流控和基于應用的引流后面。想在國內市場有所斬獲的NGFW廠商，除了必須充分認識到這一點、在功能上有所側重外，行銷上還要高舉低打，直擊用戶痛點。不過，縱觀目前市售NGFW產品，能做到這一步的還不多。在專業流控產品和單一功能安全產品的夾擊下，NGFW的普及之路仍然漫長。