Gartner正式提出下一代防火墻（NGFW）概念已有4年。在這4年間，無論是IT應用環境、用戶需求，還是安全廠商戰略，都發生著巨大的改變。下一代防火墻的發展，正是在各種力量的綜合作用下，在爭議中前行。而廠商們對下一代防火墻這塊領地的爭奪，也從最初的搶速度逐步進入拼實力的新時代。未來，誰將執NGFW之牛耳？恐怕終究還是要拿實力來說話。

NGFW仍挑戰重重

自Gartner提出下一代防火墻概念以來，國內外各大安全廠商都從不同角度進入了這一領域。但IT產業的巨大變革及隨之而來的用戶需求變化，讓NGFW面臨著新的巨大挑戰。目前，市面上已有的NGFW產品良莠不齊，有的甚至被業界認為算不上嚴格意義上的NGFW產品，而一些能稱之為NGFW的產品離用戶的實際需求也還有一定差距。

從Gartner的定義看，下一代防火墻產品有四個必備功能屬性：傳統防火墻所有功能（如基于連接狀態的訪問控制、NAT、VPN等）；支持與防火墻自動聯動的集成化IPS（而非簡單的功能疊加）；應用識別、控制與可視化；智能化聯動。NGFW概念已經過4年的市場洗禮，目前，業界對這一產品形態達成了基本的共識：與之前的高端防火墻、UTM不同，下一代防火墻應該是對傳統防火墻的全面替代，它是基于新威脅、新應用環境、新應用習慣和新安全模式的全新安全產品，其管理邏輯和理念都有所改變，而非只是在傳統防火墻增加部分新功能。與此同時，它還需要通過硬件和軟件的設計來提高自身性能，使之與越來越高的業務需求相匹配，在威脅防御能力全部開啟后，性能不出現大幅下滑，以確保可用性。基于此，市場上一些以NGFW冠名的產品被認為算不上真正的NGFW，它們有的只是在傳統防火墻的基礎上加了些簡單的應用識別功能，有的NGFW產品應用識別和管控能力較強，但在安全方面的積累不足，特別是開啟威脅防護后的性能顯著下降，變得基本不可用。

下一代防火墻概念提出已經有4年，這4年中，IT環境發生了巨大的變革：社交化、移動化、虛擬化、云化，讓移動和web應用成為安全的主戰場；黑客攻擊產業化使得攻擊活動更密集，威脅環境更加險惡；APT讓發現威脅所需的時間變得更長，惡意行為難以發現。4年間，用戶需求也發生了改變，他們對NGFW的訴求普遍集中在以下問題：希望NGFW產品集中較多功能；希望能簡化NGFW的策略配置；希望NGFW產品有較強的應用識別能力（本土化、細粒度）。NGFW由此面臨著新的挑戰：管控需要足夠精準，并識別移動互聯、云計算等帶來的新應用風險，解決新IT環境下邊界失效問題；管理需要足夠簡單，因為NGFW增加了很多管控維度，管理配置的復雜度成倍提升；新威脅持續增長，未知攻擊越來越多，面對組織化甚至國家化的黑客，防火墻需要做好網絡出口的“把門人”；NGFW在運用新管控手段后，性能需要保持在一定水平，而不是開啟強制性防護后性能仍然像傳統UTM一樣下降很多，安全功能不能淪為擺設。

重新定義NGFW

面對日益險惡的威脅環境及其對防火墻產品帶來的新挑戰，一些安全產品供應商開始對下一代安全進行了重新思考。

在企業級業務領域聚焦于ICT管道戰略的華為，安全業務也緊緊圍繞ICT管道來開展，其安全解決方案覆蓋了云數據中心安全、局域網和廣域網安全、移動辦公安全等各個層面，在安全產品設計和規劃中已將各種應用場景考慮在內。而針對現有NGFW產品在管控精度、自動化、威脅感知、防護性能各方面均存在不足的現狀，華為提出了全新的NGFW理念。

在華為看來，今天，NGFW需要細粒度管控，以適應IT移動化、虛擬化、社交化趨勢，除了感知應用、用戶和內容外，還需要感知位置、風險和設備；NGFW需要實現智能管理，提供新管控方式下的策略建議，以及安全風險的智能分析和處理建議；NGFW需要實現全面防護，不僅識別應用還能識別應用威脅，并具備未知威脅和APT的防御機制；NGFW還需要具備高性能，不僅有“防火墻+應用識別”的基礎性能，而且在全威脅防護開啟時，性能下降不小于50%。

在細粒度管控方面，華為NGFW產品以"ACTUAL（App，Cantent，Time，User，Attack，Location）"全局環境感知為核心，將網絡環境轉換為具體的"應用+內容+時間+用戶+威脅+位置"的應用層信息，可實現對移動辦公、云計算等新環境下網絡邊界的感知，提供基于應用層的精確訪問控制和動態威脅防御。華為NGFW能識別6000種應用，并可識別應用中的威脅。在智能管理配置方面，華為NGFW產品能實現多維、多級配置，將6000多種應用分為5大類、33個子類，并基于應用子類快速部署；可實現策略主動優化，通過流量分析生成調優建議，通過應用風險分析生成防護動作建議；還可實現策略冗余分析，進行策略命中率統計。威脅防護方面，華為NGFW基于云實現了對未知威脅的防御，通過沙箱模擬運行系統，生成云端特征庫和云端信譽庫，在此基礎上快速發現未知威脅。高性能方面，華為通過重新設計NGFW硬件和軟件引擎，IPS性能和全威脅防御性能均達到業界頂尖水平。

華為：不容小覷的NGFW新主角

9月初，華為將在首屆企業網絡大會（HENC）上正式推出全系列NGFW產品，包括10余款設備，能覆蓋1G-40G應用層性能，20G全威脅防護性能。

從時間點看，華為正式推出NGFW產品相對其他國內外安全廠商而言并不算早。但實際上，從防火墻的發展歷史看，華為一直是引領產業發展方向的角色。早在2008年，以華為為首的一些公司，通過自身硬件積累，采用專門的多核芯片，并采用分布式架構將防火墻的性能大幅度提升，率先推出高端防火墻產品。當時，離下一代防火墻概念的提出還有1年時間。

今年2月,Gartner發布2013年“企業防火墻魔術象限”,華為成為首位且唯一進入該象限的中國廠商;今年7月,Gartner發布2013年“UTM魔術象限”，華為再次成為首位且唯一進入該象限的中國廠商。這標志著華為已經成為全球防火墻&UTM市場的主流廠商。

那么，為何在NGFW概念出現4年后才正式推出NGFW？華為有自己的考慮。華為企業網絡產品線防火墻及應用網關領域營銷經理朱峰告訴記者，如果按照Gartner對NGFW的定義，華為在2011年就已經擁有符合該定義的下一代防火墻產品，但華為認為當時該產品在客戶體驗方面沒有達到目標，還不足以從根本上解決用戶面臨的新問題。華為希望在NGFW產品中真正注入自己的實力后再正式發布，而不是為了迎合市場宣傳而倉促推出。因此，華為對NGFW產品重新設計了硬件，改寫了軟件，并站在新的角度設計用戶體驗。

在企業領域，要做就要做最好，做不到最好就不做。這在華為NGFW領域也同樣得到體現。作為一家以技術性為主導的公司，華為每年有10%的收入用于研發。這種與生俱來的技術創新基因也成為華為對NGFW底氣十足的有力支撐。華為企業網絡產品線安全產品總經理左文樹表示，為了讓NGFW產品在開啟威脅防御能力后不出現性能的大幅下滑，華為早在2009年就在全球范圍內招募了頂級專家，專門研究并解決威脅防御全部開啟后的防火墻性能問題，在本質上實現了關鍵的突破，為今后贏得市場奠定了堅實的基礎。

看來，在今后的下一代防火墻競爭中，光有速度還不夠，只有真正的實力派才能最終贏得用戶。