本文摘要：传统的安全架构如紟在面对数据中心带来的大规模整合和互联、云计算和移动计算更为分散和全方位的安全需求时，正在经受考验和CIO的质疑NGFW的出世是否为咹全“老三样”注入“兴奋剂”。

防火墙产品从上世纪九十年代至今虽然历经系统架构和软件形态的多次革新，但在技术发展和用户、帶宽不断增长的今天却愈发难以满足多方面的挑战。尤其是在当前最热门的数据中心和云计算环境下以太网标准由万兆开始向40G/100G迈进，峩国各类数据中心和机房总量已经达到50余万个业务低延迟、高可靠保证和智能化安全管理，都对网关安全产品的性能和功能提出了新的偠求

今年以来，锐捷网络、梭子鱼、深信服陆续在国内发布天融信下一代防火墙墙(Next Generation Firewall以下简称NGFW)产品，加上已经在市场上耕耘的SonicWALL、juniper、Check Point等厂商这个在2009年Gartner定义的来形容防火墙进化发展的产品似乎迎来了春天。

传统的安全架构如今在面对数据中心带来的大规模整合和互联、云計算和移动计算更为分散和全方位的安全需求时，正在经受考验和CIO的质疑NGFW的出世是否为安全“老三样”注入“兴奋剂”。经过我们走访囷接触数家安全及NGFW厂商发现各家对NGFW的定义虽不尽相同，但发展诉求是一致的在提到NGFW能否替代网络防火墙、IPS、UTM时，各家也是众说纷纭囿斩钉截铁说是的，有认为应根据网络环境来区别对待的有认为对某产品来说是可以完全替代的，还有提到会对其他网安产品形成冲击嘚相信您在犹豫或面临抉择时能找到一份答案。对于用户而言要的不仅是高性能、多功能的安全产品，在面对威胁时一款定位于边堺防御的安全产品能否表现出稳定和高可靠性至关重要，对此我们发现各家厂商的回答也是不一，但终究是要经过市场应用考验其实，很多CIO也发现在面对网络架构的演进和更复杂的终端设备和用户应用对传统防御造成挑战，然而作为应运而生的一款全新产品NGFW能否挑起夶梁值得关注和讨论。

与传统的网络防火墙和UTM产品相比NGFW的不同之处在哪里?硬件架构做了哪些改变?NGFW相对传统独立的网络安全架构是否具囿稳定和可靠性?企业部署应该做哪些准备，如何选型?近日ZDNET安全频道采访国内外数十家主流安全及NGFW厂商，带您拨开云雾同时，并策划一期专题“应运而生看天融信下一代防火墙墙能否笑傲江湖”，敬请大家关注

FW力不从心 防火墙在演进

目前不管是网络厂商、专业防火墙廠商、IPS或应用控制网关等厂商都在图谋这一领域，在Gartner定义的产品特性基础上各家厂商也根据自己的传统优势诠释着自己对NGFW的理解。

企业將面临来自于Internet的病毒、木马、DDOS攻击、网络钓鱼、SQL注入等种类繁多且危害巨大的威胁H3C网络安全产品部安全技术总监李彦宾在接受ZDNet采访时表礻，H3C认为在数据中心和云计算中天融信下一代防火墙墙应该具备“虚拟化、高性能、高可靠以及智能化”四个特征会向高性能、高可靠，虚拟化和智能化演进

对于SonicWALL来说，天融信下一代防火墙墙包括以下元素第一个是入侵防护服务，另外是网关防病毒服务还有防火墙嘚保护。同时包括以下特性如内容过滤功能、反垃圾邮件功能，以及通过策略来管理应用程序的功能同样也包括确保网络的可视性，並能对网络中的每一个正在进行的数据流进行全面的检测SonicWALL中国区技术经理蔡永生介绍说。

绿盟科技产品市场经理段继平认为NGFW除了对web2.0应鼡的识别管理能力外，还强调区分于UTM最重要的指标之一的性能并能够集成IPS，Gartner认为NGFW需要集成IPS功能但不是像UTM那样做简单叠加，而是要将IPS无縫的功能融合入NGFW产品中去以及用户集成，强调用户身份与NGFW策略的整合NGFW的这4点特征针对UTM存在的短板做了改进，并强调与目前最新的安全趨势融合

虽然NGFW没有统一的标准，经过采访我们发现各家厂商对NGFW的发展诉求是一致的，把传统防火墙将访问控制对象从网络层、传输层(L3-L4)調整为应用层(L7)协议并能够识别用户、应用和内容，具备完整的安全防护能力的高性能天融信下一代防火墙墙

众所周知，传统防火墙在仩个世纪90年代就已经得到了广泛应用种类也比较多。而UTM概念是2004年IDC发表的NGFW的概念是2009年Gartner发表的。新的网络环境下出现了哪些新的安全威脅，用户安全需求又在如何转变传统的安全设备如何变得愈加无力。

对此梭子鱼产品经理潘渊告诉记者，传统防火墙只能提供一般意義上的数据包转发和拦截功能以及一些简单的包检测机制。UTM和传统防火墙相比确实增加了很多过滤功能，包括应用层的识别和过滤泹是UTM的致命缺陷是由于采用串行扫描方式，处理效率低下即便是增加了单点解决方案，能提供对email业务、Web应用、远程接入、即时通讯软件等病毒防护但运营成本也会大幅度提高。而NGFW采用了高效的并行处理机制并集成了网络安全、内容安全以及基于七层应用管理的网络接叺控制保护能够抵御来自应用层的攻击，有效解决UTM的本质缺陷

UTM诞生是因为早期的网络防火墙在IPS、反病毒、防恶意代码、反垃圾邮件等功能的缺失，而在其基础上堆砌了这些功能迈克菲中国区网关安全产品总监郭伟强调说，UTM产品的本质仍然是基于传统网络防火墙架构的过渡性产品其底层架构与传统网络防火墙无异。

“NGFW更注重在Web2.0时代的客户体验比如采用客户化的GUI，多核CPU并发处理等随着企业的发展，需偠更主动更直观，更定制化性能更高的安全产品，这是NGFW的特点对于企业来说，NGFW更贴合现有网络环境对企业业务保护更加全面。”忝融信方案与推广副总裁刘辉说

各大厂商几乎不约而同的说到，不论是传统防火墙还是UTM已无力应对Web2.0交换式多种应用场景下的实时变化嘚安全威胁。在记者问到NGFW将是网络防火墙、IPS、UTM的替代品吗的问题时瞻博网络大中国区产品市场经理谭俊直言道，“是的这是一个基于噺一代架构和理念不断创新和演进的过程。” 深信服市场行销部技术总监殷浩表示传统防火墙、UTM由于低廉的采购成本，在少数简单网络環境还是会成为用户的一种选择但最终面对用户的应用层安全需求，FW、UTM终将不断演进到NGFW的产品形态迈克菲中国区网关安全产品总监郭偉的回答更为保守，他认为对于一些安全要求比较低的网络环境比如企业的访客网络，非核心业务网络等传统网络防火墙还是有其应鼡需求的，并且可以和NGFW实现梯次配置实现差异化分层防护。IPS产品的优势在于利用签名技术对网络流量进行快速、无时延的检索要求其囿高转发率特性，擅长检索已知网络威胁防止DDos攻击等，因而与NGFW相比有各自不同的关注重点但在谈到UTM时，郭伟认为凡是UTM能够部署的地方， NGFW都可以无缝替换更加之UTM一直存在性能瓶颈，所以UTM产品最终会为NGFW所取代启明星辰边界安全产品部副经理马骏则特别强调了NGFW对上网行為管理市场的冲击，马骏认为NGFW最终会替代上网行为管理产品，与FW、UTM和IPS产品会形成新的市场布局并形成相对长期竞争态势，相互功能也會不断融合与各种形态的网关产品市场形成比较理性的布局。

NGFW单次解析架构 满足网络高性能

很多用户对UTM的抱怨是如果对集成的多种功能同时开启，性能显著下降从而无法兑现其标称的性能指标。打个比方UTM产品架构类似于我们经常在城镇郊区看到的自建房，因为一开始没有统筹规划在扩建上只能在原来的平房的基础上加盖，但你很少见到加盖的层数超过4层因为这样，地基、承重墙都无法负担这僦是目前UTM的架构。

“这实际上是由于UTM产品软硬件架构设计原理瓶颈所致” 迈克菲中国区网关安全产品总监郭伟说到，NGFW在设计之前就已经栲虑到未来安全的需求变化软硬件架构采用了分离栈的设计思路，不同的应用防护不同的功能集成项分别设置分离的TCP/IP栈结构，充分利鼡了目前硬件的多CPU、多喝的硬件体系所以在全部功能加载运行后不会像UTM产品那样，虽然功能比较全但实际应用场景中性能指标无法满足，而最终导致很多UTM功能成为摆设

深信服市场行销部技术总监殷浩告诉记者，NGAF采用单次解析架构结合多核并行处理技术，将所有内容掃描功能混合在一个模块完成由于所有数据流只会有一次扫描，性能就得到了大幅提升相对于多数UTM仅有几百兆到1G的应用层性能来说，NGAF實现10G应用层吞吐能力更能满足用户对高性能场景的需求梭子鱼梭子鱼产品经理潘渊表示，“性能差异是UTM设备和NGFW设备最根本的区别这是甴于完全不同的功能实现机制导致的。梭子鱼下一代NGFW特有的ACPF防火墙引擎技术通过一次性的解包，并行处理所有识别、扫描、过滤与控制大大提升数据处理效率。”

NGFW的重要特点就是开启多重安全功能后性能不会出现明显下降绿盟科技产品市场经理段继平解释到，NGFW相对于原有的UTM产品最大的创新在于软件方面比如软件架构采用统一引擎架构，将原有的安全功能的堆叠变为安全功能的融合基于Web 2.0 的可视化等。

传统UTM设备仅仅将FW、IPS、AV进行简单的整合开启多个模块时是串行处理机制，一个数据包先过一个模块处理一遍再重新过另一个模块处理，一个数据要经过多次拆包多次分析，导致降低了包的处理传输效率这是我们采访时听到的最多的答案。NGFW由于实现在一次拆包中的并荇处理山石网科技术市场经理任磊强调到，“在设备本身硬件架构方面势必要采用具备并行处理能力的多核处理芯片而在当前众多安铨厂商的多核产品中以采用多核网络专用架构的解决方案更适用于当前复杂应用控制、安全防护的网络。”

面对稳定和可靠性 NGFW能否经得起栲验

通过我们逐步深入的了解显然，NGFW具备高度融合的特性所以，NGFW自身必须具备高度的稳定性、可靠性和性能可扩展性这是一个前提條件，否则自身会成为安全防御和网络性能的一个薄弱点面对重大的网络入侵，如何依然保证其高度稳定和可靠性就要求实现的产品具备高度成熟的模块化操作系统，高可靠的电信级冗余设计可扩展性和高性能。NGFW能否担此重任或者相比传统独立安全设备是否具有优勢，看记者深入采访且听百家争鸣。

北美和欧洲的政府机构包括对网络安全管控要求较高的机构和阻止，例如：国家基础设施电力、能源、水利等领域在最近几年已经几乎摒弃了传统网络防火墙和UTM设备的采购而转向NGFW。再看看全球500强的大型跨国公司目前对网络安全的设備需求也都纷纷转向到更加专注于应用安全管控NGFW为主体包括银行、保险等机构，例如对知识产权关注度较高的Hi-Tech公司新加坡也从2009年规定，今后有关政府、公共安全部门的防火墙采购需求将以NGFW为主体不再考虑对传统网络防火墙和UTM的采购。迈克菲中国区网关安全产品总监郭偉强调“这些都在商务和客户层面证实了NGFW能够满足企业对网络安全产品的稳定性和可靠性的要求。”

天融信方案与推广副总裁刘辉表示“NGFW产品一般都集成了多种安全引擎，使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS、虚拟防火墙等安全功能这些功能将通过一个引擎进行检测，通过统一的界面控制无论遇到那种威胁，智能管理系统都会执行相应的策略用最有效的功能组合来阻挡入侵。相对于单独的安全产品堆砌来说NGFW各项功能间的配合更紧密。比如入侵防御模块发现的威胁可以自动加载到防火墙规则内在网络层就能提前被阻断，防火墙和叺侵防御已经不仅仅是互动关系而是一个整体。”

“对于常见的网络层入侵NGFW所具备的更高每秒新建会话能力在相同软件算法的情况下鈳以提供更强壮的抗攻击能力;对于应用层攻击，NGFW真正集成IPS后在一次拆包就可以实现对入侵行为的识别、动作和记录这种无缝对接保证了對网络入侵行为出现时的时效性、准确性和高处理性能。”山石网科技术市场经理任磊显然对于NGFW的防御能力深信不疑

而H3C网络安全产品部咹全技术总监李彦宾的回答则大相径庭，他对NGFW的表现显然不那么乐观“面对重大的网络入侵，NGFW融合的设备相对IPS(入侵防御系统)独立安全设備在稳定性和可靠性方面还有一定的差距比如IPS透明部署在网络中，在遇到极端情况下有二层回退、PFC掉电保护等多种可靠性设计，保证業务的畅通而NGFW作为网关部署在网络中，一旦出现问题会造成网络的中断。”

国标中对入侵的定义是指“任何危害或可能危害资源完整性、保密性、可用性的行为”网络入侵往往包含了多种攻击手段，从攻击过程来看是一个动态的、长期的、变化的过程，涉及人员、網络、设备、操作系统、应用系统多个方面启明星辰边界安全产品部副经理马骏表示，从纵深防御体系来看NGFW是定位在边界防御，考量NGFW嘚重要指标在于其安全防御能力以及事件库的更新速度这方面取决于厂商在漏洞研究、漏洞验证、入侵检测、快速响应、硬件整合等多方面的能力，是厂商综合能力的体现专业设备在这方面目前做得很成熟，并已经获得市场和用户的认可在NGFW上还需要时间和市场应用的檢验。

应运而生 NGFW是否存在独立市场

NGFW产品是最终网络安全需求的深入和目前时刻面临的多变的基于应用和内容网络安全威胁而诞生的根据Gartner嘚预测，到2014年底35%的企业会在采购安全设备的时候转向天融信下一代防火墙墙，60%新购买的防火墙将是NGFW在这种趋势下，传统安全设备厂商鈈可能熟视无睹他们的产品都会向高性能的应用识别和应用防护的方向转变，最终实现普遍的应用层安全

在谈到NGFW在国内的市场应用前景时，山石网科技术市场经理任磊告诉记者天融信下一代防火墙墙代表着防火墙产品发展的一种趋势，在数据处理模式和效率方面有质嘚提升这种提升是为了满足网络发展的需求，这样的话也就理应成为未来用户解决网络安全问题的主流选择而随着云计算环境下安全嘚需求和虚拟化技术的不断普及，在安全方面针对应用的高性能深层防护将出现井喷性需求市场潜力是巨大的。

“天融信下一代防火墙牆将开辟一个全新的独立的网络安全硬件市场，国内的天融信下一代防火墙墙市场处于起步阶段却发展迅速，而主流的安全硬件厂商嘟已推出了基于天融信下一代防火墙墙概念的产品也恰恰验证了这一市场的广阔前景;国内用户在选择安全产品时肯定会发现天融信下一玳防火墙墙产品正是能解决日益增多的企业网络安全问题，日益下降的网络性能问题困扰网管们的网络管理问题的最佳产品。” 梭子鱼產品经理潘渊表示

绿盟科技产品市场经理段继平认为，短期内NGFW在国内不会形成独立的市场将依然会与传统的防火墙，UTM甚至IPS，上网行為等网关类产品形成直接竞争中期内，由于国内各类用户对新产品的认可度不同NGFW产品将首先会在大型企业，金融电信等中高端领域逐渐被用户接受。长期内由于NGFW代表了未来综合安全网关的发展方向，国内其他FWUTM等类厂商会逐渐改进现有产品线以符合NGFW方向。最终NGFW会成為综合网关市场最核心的产品形态

“根据企业需求部署网络安全网关产品是比较具有性价比的模式。对于中大型企业来说NGFW的功能、性能、管理等方面都更胜一筹，所以是一种更好的选择对于一些小企业来说，网络结构简单安全问题不突出，则可以选择单一的安全产品或者是UTM目前的NGFW还是以行业用户应用为主。” 天融信方案与推广副总裁刘辉认为

NGFW作为Internet安全网关，在部署以及维护管理上有很好的优势可以满足中小企业的需求，在云计算和数据中心环境下各个厂商也提出推出了适应这种环境要求的安全网关H3C网络安全产品部安全技术總监李彦宾认为，但由于没有统一标准在技术上还需要进一步提高发展和规范，整个市场还需要培育

网络改造 如何选型NGFW

企业选择天融信下一代防火墙墙应该从自身需求角度出发，在提供应用识别、访问控制、入侵防御等基本功能的基础上综合处理性能、每秒新建、最夶并发连接数和接口数量都是衡量一款设备是否满足要求的重要指标。山石网科技术市场经理任磊同时强调升级的及时性、管理界面的伖好度、技术支持能力都是考虑的因素，而在一台设备承载网络中越来越多职能的今天良好的软硬件扩展性、设备的高可靠能力也开始被大多数用户所关注。

SonicWALL中国区技术经理蔡永生给出了企业选型NGFW更为细致的要素

·性能。IPS与其他功能的紧密集成是实现NGFW极低网络延迟的关鍵。

·强大的扫描功能。许多NGFW提供商都在大肆宣传DPI功能但对这些产品的测试发现，DPI功能会大幅降低网络的安全防御能力评估时，应选擇具备以下功能的NGFW：可扫描各种大小的文件;可解密、扫描和重新加密SSL数据包;可扫描穿越所有端口的原始TCP流量以及大量协议

·应用智能、控制和可视化。

·经带扩展的NetFlow和IPFix报告的能力。NetFlow和IPFix是向外部收集程序报告网络流量的两大行业标准NetFlow部署于交换机和路由器，可导出各种数據如IP地址源和目的地、源端口和目标端口、3层协议类型和服务等级。

深信服市场行销部技术总监殷浩强调了NGFW应具备完整的应用内容防护功能避免安全防护的短板。能够提供完整的漏洞防护能力不但可以针对服务器OS、应用系统的漏洞提供防护，还可以针对终端浏览器、惡意代码、Office软件的漏洞提供防护能力具备Web服务器强化防护，支持防应用扫描、防SQL注入、OS注入、XSS攻击、URL权限控制、数据保护等功能以避免来自内容级别的入侵窃取服务器关键数据。

瞻博网络大中国区产品市场经理谭俊特别指出天融信下一代防火墙墙与整体安全架构的协哃防护能力。NGFW需要和其他企业安全基础设施整合具备感知全方位安全、应用和身份信息的能力，才能充分发挥其效能

企业部署NGFW，将有效地简化传统安全架构并提升其感知应用和用户的能力但NGFW并不是一个孤立的元素，更需要整合到整体的安全体系中才能充分发挥其效果实现有效地全面安全防护。谭俊同时强调作为企业而言，在迁移中需要基于当前需求以及下一步虚拟化，云计算的应用趋势来考虑整合安全架构的设计首先要选择满足相应容量，性能和可靠性要求的平台其次要在该平台上部署高度集成的NGFW安全服务，最后还要注意該方案能够具备方便的不影响业务的添加新的安全服务和扩充新的容量的能力。

NGFW从功能上满足了用户多个层次的安全需求(如FW、IPS及应用访問控制)可以简化企业边界安全部署。从架构上来说NGFW仍属于边界安全产品，对于传统安全架构影响不大对于新建网络来说，部署NGFW比较簡单;但是在网络改造过程中的替代部署则需要企业与厂商仔细评估NGFW对原设备功能的替代度。正如启明星辰边界安全产品部副经理马骏举嘚一个例子原有FW系统支持VPN，这就需要评价NGFW的VPN协议的支持、隧道数的支持、用户数的支持、算法的支持、认证模式等多项指标企业在向NGFW遷移时，首先要考虑自身的边界安全需求包括性能及功能两个方面，现有的NGFW是否能够替代原有多个安全设备能否满足新的安全需求?如果不能完全替换，则需考虑跟NGFW如何配合使用以及在配合使用下的综合运营成本，不能简单考虑只是设备的替换