四年，從聲名鵲起到走向成熟，從高高在上的企業級專屬到日漸形成落戶千萬家之勢，下一代防火墻(NGFW)伴隨著爭議成長，伴隨著低價普及。

四年過去了，下一代防火墻已成大勢，但市場中對其解讀方式卻越來越多，也愈發復雜。隨著時間的流逝，越來越多的廠商舉起了NGFW的大旗，也讓這個市場變得更加混亂。而這些混亂，一方面源自產品質量的參差不齊，另一方面一個重要原因是對于Gartner經典定義的“發揚光大”。對于NGFW中應該包括和不該包括的功能，眾廠商均持有不同意見。

今年又有幾家國內廠商陸續發布了NGFW產品，至此國內網絡安全廠商全面擁抱NGFW。而在之前發布NGFW的廠商，也不斷向其產品中添加新的功能(比如定位僵尸主機或DLP相關)。且不論其是否符合NGFW的發展方向，至少在創新這一點上比拉大旗扯虎皮者強得多。

便宜沒好貨?未必!

下一代防火墻的價格目前還處于居高不下的階段，主要是由于下一代防火墻的研發成本和硬件成本都較高，以某國際知名下一代防火墻提供商的產品為例，使用了Intel、FGPA和ASIC三種不同的硬件芯片來分攤業務處理壓力，同時國內也有幾家知名安全廠商采用了相似的Intel搭配MIPS的混合架構模式來提升NGFW產品的穩定性和處理能力，多芯片分布式處理的情況會在初期對產品價格有明顯的提升。因為各家廠商的銷量還不足以攤平其前期投入成本，因此現階段無法提供親民的價格也屬情理之中。但是也有一些NGFW產品采用了最新的Intel DPDK架構。采用通用處理器的優勢就在于在前期可以有效控制研發成本，從而降低前期產品售價。

誠然，部分下一代防火墻由于硬件成本的問題導致價格虛高，但是也有個別廠商在使用通用芯片架構配以服務模式來提升產品性價比，通過向用戶收取整套服務費用的策略銷售下一代防火墻，而不是將產品的初期高昂成本附加到用戶頭上，打破了傳統“賣盒子”的模式，很大程度上降低了用戶采購成本。

當然，在實際采購過程中，用戶購買時更重要地還是看功能模塊。因此，在NGFW的功能授權方面，雖然NGFW的應用識別是與防火墻深度集成，卻不是所有的NGFW提供商在銷售產品時都能將應用識別的授權向用戶免費開放。因此，如果用戶采購了需要單獨付費的NGFW產品，那么無異于提升了其采購成本。筆者認為，應用感知和控制需要與防火墻固化，不應存在具有應用感知和不具備應用感知兩種交付形態。對于NGFW來說，根本就不應該存在這個問題，但現實還是被廠商搞混淆了。采購時應注意應用感知和控制功能是否需要另付費，或是打包到其他功能模塊中付費，以免產生不必要的投入。

Gartner定義的NGFW部署在對延遲敏感的大型企業網絡環境中，這是區別于用在SMB的UTM的一個因素，但是卻有個別廠商將NGFW產品主要定位于中小企業市場。筆者認為，若是能夠做出性價比很高的產品，對于價格敏感的中小企業也是個福音，還能促使NGFW更加普及，使其成為防火墻的真正替代者，而不只是部分替代。其實不論是大企業還是中小企業，都是在乎TCO的。如果NGFW能夠有效地降低部署成本，同時又可以提升安全性，那么何樂而不為呢?

漢王科技是NGFW的用戶之一，對于漢王科技這樣的上市企業，并且是創造高智力附加值產品的企業來說，保障信息系統安全是信息部門日常工作的第一要務。在信息安全治理方面，既要滿足監管單位的合規性要求，又要充分識別、抵御威脅，降低信息資產暴漏的風險。因此他們對于網絡的整體安全性要求是很嚴格的。漢王科技股份有限公司信息技術部IT運維負責人李錦毅講道：“對于核心服務器區的安全防護，要求安全設備必須在保證高性能的前提下提供網絡攻擊防護、入侵防御、病毒防護、URL過濾等一體化的安全防御解決方案。而在互聯網邊界處，除了要求提供全面的安全防御以外，還要對辦公網用戶的外發信息做到精細、嚴格的控制，僅允許用戶向互聯網上的可信目標發送文件，嚴防敏感數據泄漏”。

漢王科技股份有限公司信息技術部IT運維負責人李錦毅

李錦毅補充道：“在實際測試過程中，給我們留下深刻印象的是網康NGFW在開啟入侵防御、病毒防護、URL過濾、數據防泄漏等安全功能后，同樣還能保證很高的數據轉發性能，這與我們先前曾使用過的UTM產品有著天壤之別”。

“看得見”才能更安全

“你不能保護你所不知道的”是安全圈的一句名言。但遺憾的是，雖然防火墻的功能越來越強大，但是仍然會產生越來越多的“不為人知”的信息。網康科技市場部產品市場經理熊瑛談道：“在安全建設過程中，管理比技術上的控制更加重要，但是管理需要有技術手段提供強有力的支撐。幾乎所有的技術人員在面對由傳統安全設備輸出的單調、重復、難懂的日志和報表時，都在為如何將它們與安全風險聯系在一起而面露難色。”

網康科技市場部產品市場經理熊瑛

NGFW完全基于應用層構建安全，可幫助網絡管理者深入地看到數據傳輸中人、應用和內容的情況。此外，在對大量行為信息收集的基礎之上，可在同一頁面通過一系列的單次點擊就可以完成數據的挖掘和鉆取，并且提供了基線對比的方式，能夠以時間、流量、威脅為維度，對比出當前與同一歷史時間段的差異，幫助管理者了解網絡的變化趨勢，分析可疑行為。這無疑可以幫助管理員“看得更透”。

北京藍星環境工程有限公司是中國藍星(集團)總公司在北京唯一一家子公司，2005年開始大規模建設信息系統，到目前70%~80%的無形資產均以數據的形式保存在應用服務器上。該公司CIO胡振環講道：“我們也曾使用過一些安全設備，不過坦率地講，傳統的設備所呈現出的各種日志總是很難讀懂，尤其是我們并不能很好地把網絡語言翻譯為業務語言，將某一個攻擊事件與業務風險相掛鉤。即便有時設備報出發現了網絡攻擊行為，我們還是很難了解到攻擊事件發生的整個過程。幾個月前我們上線了一款NGFW設備，第一感覺是這款防火墻提供了非常豐富的可視化界面，有各種形式的監控和報表直觀地呈現給用戶。登錄設備管理界面，我們就可以輕松地看到網絡中的流量構成。印象比較深刻的是還可以看到IP地址所屬的國家或地區。這些在先前我們所使用的設備中是看不到的。”胡振環還強調說：“下一代防火墻強大的可視化功能，讓我們通過直觀的查看和簡單的點擊，就能及時發現隱蔽性很強的攻擊，實現了更加主動的防御，我想這也體現了下一代防火墻帶給我們的變革。”

北京藍星環境工程有限公司CIO胡振環

中國自動化集團有限公司網絡信息化主管儲可與筆者分享了他在運維中使用NGFW的經驗。他說：“在我們的日常辦公中，使用QQ進行溝通是非常普遍的，但根據公司的信息安全策略，使用QQ及其他即時通信軟件進行文件傳輸的行為是不被允許的，而網康NGFW對QQ子功能的支持多達9種。有了如此深入的識別能力，我們就可以通過設置訪問控制策略，靈活地實現對QQ及其他即時通信軟件文件傳輸行為的禁止，而僅開放這些軟件文本聊天的功能。”

向復雜說再見

“由于價格和管理復雜度的問題，目前很多中小企業都處于裸奔狀態，或是只把下一代防火墻當做流控或傳統防火墻使用。雖然很多產品銷售出去了，但是卻并沒有發揮出應有的作用，這不是一件安全業界值得慶幸的事情。也就是說，目前下一代防火墻的產品和技術并沒有真正地為廣大需要它的客戶去服務，這是我們需要努力改進的一個方向。” 網康科技高級市場經理嚴雷如是說。

網康科技高級市場經理 嚴雷

傳統安全設備的組合，比如防火墻、IPS、AV等設備的日志信息只將其羅列出來，對于普通IT運維人員想要分析清楚，從中得到有價值的信息可謂比登天還難。傳統的報表型日志閱讀難度高，分析起來更加無從入手。這樣的情況下，對于多數人來說，安全還算是什么呢?

從傳統安全角度講，每一個設備從自己的角度出發，產生日志報表，可是不同設備、不同安全引擎之間并沒有聯動起來，使彼此對安全情況的認知不能交流，這就使得我們無法了解整個網絡安全的全貌。

NGFW改善了以往獨立IPS產品對于事件記錄挖掘不深，無法提供給安全運維人員友好的報表顯示等頑疾而受到了眾多IT人員的歡迎。在NGFW中，對于安全事件的深度挖掘是相當重要的?；诖罅咳罩居涗浀年P聯分析來給運維人員提出安全性建議，無疑會加快安全問題的定位和解決的速度，某種程度上還能防患于未然。

胡振環通過一個親身經歷的攻擊事件向筆者講述了NGFW可視化體驗。他說：“NGFW設備上線后，我們通過可視化界面中的色塊顯示，發現網絡中的高風險流量占比很大，引起了我們的懷疑，通過鼠標的一系列點擊，發現內網的一臺數據庫服務器被境外IP頻繁訪問，我們隨即調整了安全策略，切斷了所有異常連接。所有的操作都通過簡單的點擊完成，十分方便。”

可視化技術的初衷是為了提供直觀、簡單的信息，為管理策略的調整提供技術支撐。傳統網絡安全設備輸出的日志、報表，多以IP、連接、帶寬為維度，縱使統計全面，數據充分，但仍然很難幫助網絡管理者了解網絡的變化趨勢，只是能被少數既精通技術又了解業務的專家所讀懂。

NGFW的發展與異化

下一代防火墻把檢測的高度提升到應用層，按照目前互聯網發展情況看，應用層上不論攻擊還是防護，可做的事情都太多了。因此下一代防火墻給了廠商更多的機會和主動權，大家可以在下一代防火墻的經典定義之上做更多的事情，尤其是在各自擅長的領域中能有突破性創新。

雖然NGFW做得越來越像UTM，但也只是貌似而已，我們仍然可以在不同廠家的NGFW產品中看到他們本來的面貌。像網康這樣生于應用層的新興NGFW廠商，主打功能自然聚焦在應用層。例如能夠基于用戶的應用控制和資源分配等等。NGFW 其實并不神秘也不復雜，只是將防火墻原本的訪問控制提升到應用層面，同時固化了應用識別特性，所以才不叫下一代UTM 。

網康科技CEO袁沈鋼

對于產品的發展走向，網康科技CEO袁沈鋼表示：“下一代防火墻最大的特點是以人容易理解的方式展現出整體網絡活動，也就使人具有了洞察力。NGFW在很大程度上發揮了人的判斷力、理解力和知識等各方面的能力來做更多、更準確的判斷。如果是傳統防火墻和UTM，會把這些信息割裂，產生大量的碎片化信息，讓人很難理解。而NGFW則是向人來展現各種相關聯的信息。NGFW會展現風險程度，以及產生風險的原因，從而幫助人進行快速判斷，使人具有洞察力。因此，NGFW的發展方向將是持續地對于新生安全威脅、防護方法等知識的積累。在這個基礎之上，加入更多的數據分析和挖掘，使之變得更智能，最終使人具有更強的洞察力和識別能力。這也是網康下一步需要更加發力的方向。