发现用户需求及产品形态变化的并不只gartner一家，国际著名第三方安全产品评测机构nsslabs也在今年正式开始了ngfw产品的公开测试工作。从官方发布的信息来看，该机构基本认同gartner对ngfw的定义，只是在智能化联动方面并未做过多的强制性要求，但突出了对用户/用户组的控制能力。从测试的角度出发，相信nsslabs的工程师对产品配置的复杂度和易用性都有很深刻的了解，他们的观点可以代表许多用户。此外，该机构还认为企业并没有准备在数据中心中用任何方案替代掉独立的ips设备，所以ngfw集成的ips模块应该提供对客户端保护（主要在特征库方面体现）在内的完整方案，并且将针对于此的配置归纳到预定义策略模版中去。

ngfw与utm：竞合或补充 但非竞争

需要注意的是，不同机构对ngfw做出的定义都是最小化的功能集合。站在厂商的角度，势必要根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的ngfw产品在功能上可能存在差异，同时更像一个大而全的集中化解决方案，给用户造成了很混乱的印象。我们在采访中听到用户最多也是最经典的反问就是：ngfw不就是一个加强型的utm么？

实际上，这里提到的ngfw和utm都是对厂商包装后的产品的认知，已经脱离了最原始的定义。市场分析咨询机构idc曾经这样定义utm：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开，但是这些功能必须集成在一个硬件中。idc对utm的定义无疑是非常聪明的，它简单明了，让人易于接受并容易做出判断。“所有功能不一定要打开”这句话，除了说明安全业务要由用户需求决定外，也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化，也确实符合当时的市场需求。有了这样一个宽泛的准入条件，utm的概念一经推出便受到厂商与用户到一致认同，市场份额迅速扩大，成长为目前安全市场上的主流产品。

与idc的宽松态度不同，gartner在其市场分析报告中对utm产品形态则有着更为细致的描述。该机构在调研后认为，除了传统防火墙与ips，utm至少还应该具有vpn、url过滤和内容过滤的能力，并且将网关防病毒的要求扩大至反恶意软件（包括病毒、木马、间谍软件等）范畴。另一方面，gartner对utm的用户群体有着自己的看法，认为该产品主要面对的是中小企业或分支机构（1000人以下，gartner的划分方式）。这类用户通常对性能没有太高要求，看中的是产品的易用性和集成安全业务乃至网络特性（如无线规格、无线管理、广域网加速）的丰富度。实际上，gartner之前一直使用smb多功能防火墙（smb multifunction firewalls，这里的firewall也指宏观意义上的防火墙）来描述这类产品，只是因为utm这个概念被市场普遍接受，才在2010年的分析报告中修改了称谓。该机构认为utm与ngfw集成安全功能的差异主要体现在时延敏感性上——作为边缘网关，ngfw必须满足时延敏感型应用的需求，与之有悖的功能不适合出现在ngfw上。而从gartner针对其他产品市场的分析报告中可以推断，安全web网关（secure web gateway）似乎是该机构认为的ngfw联合部署的理想对象，此外独立的waf、反垃圾邮件产品也应被考虑。

通过上面的分析，我们可以得出明确的结论：至少在gartner看来，utm和ngfw只是针对不同级别用户的需求，对宏观意义上的防火墙的功能进行了更有针对性的归纳总结，是互为补充的关系。无论从产品与技术发展角度还是市场角度看，它们与idc定义的utm一样，都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述，其出发点就是用户需求变化产生的牵引力。对此，fortinet创始人、首席技术长官、工程副总裁谢华在接受我们采访时有着非常精辟的总结：“utm的概念在不断的进化，包含了越来越多的安全功能。但像500强那样的大企业对utm的接纳相对保守，不过他们也开始从独立的安全设备开始转向集成化的道路，其关注重点就是gartner定义的以传统防火墙与ips为基础元素的ngfw——utm进化中的一个细化分支。无论如何，我们将看见安全功能整合的革命将继续进行下去。”fortinet提供的产品技术也已覆盖了网络，内容和应用三个层面，应用识别与控制就是其中的扩展模块之一，ngfw的定义在可扩展化的utm系统中得到充分的体现。

应用识别与控制：全能杀手锏

对于ngfw这种新生的产品形态，市场上也不乏质疑声。在多功能安全网关领域，有xtm做前车之鉴，不少人认为ngfw也将是昙花一现的概念。不过utm概念刚被提出时，市场上也有过类似的质疑声，但用户用实际行动表明了对这种功能丰富、性价比高的产品的认可，其市场份额长期保持乐观增长。idc预计，国内utm市场2011年增长率为38.2%，市场规模将达到1.741亿美金；2010到2015年的复合增长率为33.6%，市场规模在2015年将达到5.353亿美金。为什么utm比xtm成功得多？我们认为关键在于前者在适当的时候集成了用户需求最迫切的功能，后者却试图引导用户，以一些相对小众的特性为卖点。而对于ngfw来说，其最大的亮点在于应用识别与控制功能，这恰恰也是目前用户最迫切需要的功能，有着很大的潜在用户群体。gartner表示，目前只有不到1%的互联网连接采用ngfw来保护。而到2014年年底，这个比例会增加到现有用户总量的35%，并且新购买的防火墙中将有60%是ngfw。该机构还建议，无论用户现在使用的是防火墙、防火墙+ips还是安全服务，都应在下一个更新周期来临时切换到ngfw。

作为ngfw定义中明确要求具备的特性，应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题，同时对业务流量进行优化，受到了所有受访用户的关注。而5家推出ngfw产品的厂商均表示，该功能已经成为各自产品中的标准配置，也就是说，即便用户在购买时不包含其他任何安全功能的使用许可，也会得到一个“应用防火墙”形态的产品，我们认为这也将成为未来ngfw产品商业模式方面的常态。但多数受访厂商也希望用户认识到，ngfw产品只能提供上网行为管理产品和专业流控产品中最基本的一部分功能，且应用场景和功能侧重都有很大差异，并不存在完全的取代关系。流控产品通常会被部署在行业用户或运营商网络的边缘，用于对应用层流量进行合理的整形与优化；上网行为管理产品则基本部署在企业网络中，在阻止网络滥用行为的同时提供更丰富的行为控制与审计能力。二者都是单一功能设备，与强调一体化接入安全的ngfw没有可比较的环境。ngfw的优势在于应用识别/控制与安全业务的无缝衔接，可以完成诸如“允许msn传输文件并对文件进行病毒过滤，但不许使用语音视频聊天”这样的综合访问控制策略。