经历了实验室环境中的考验，用户也不应忽视产品在实际环境中的测试工作。比起utm，功能更加丰富的ngfw产品需要更长的测试周期以证明设备的稳定性和在用户业务、管理方面的兼容性。同样要长期验证的还有身份（id）的同步和策略执行的效果，安全部门在这一环节也许需要行政部门的配合（gartner和nsslabs都曾或多或少地提到过这个环节存在的难度，或者说是“管理矛盾”）。途牛旅游网的资深网络工程师吴康在采访中就谈到这样的体会：该公司在明确自身安全需求后，选择了ngfw产品取代utm搭配上网行为管理的方案保护包括订单系统在内的在线oa平台。经过长达半年的上线测试，途牛旅游网的it团队才以用户身份关联为基础逐步实现了策略的统一配置，验证了产品性能与稳定性，在满足需求的同时大幅提升了管理效率。由此可见，充分的测试是ngfw产品部署前必不可少的环节，鉴于大部分用户都会同时启用ngfw多种安全功能，我们建议无论是否进行实验室测试，都要在实际环境中进行至少3个月以上的、结合自身业务需求的测试，尽可能地与原有信息系统磨合，排除潜在隐患。

ngfw产品现状

目前可以确定共有5个厂商在国内正式发售了ngfw产品，其中4个国外厂商均在gartner最新一期的《企业网络防火墙魔力象限报告》（magic quadrant for enterprise network firewalls，2010）中占有一席之地；深信服科技是唯一发布了ngfw产品的本土厂商，我们相信会有越来越多的本土厂商杀入这一领域。

在资料收集的过程中，我们还发现了一个很有意思的现象：之前无utm产品的厂商为我们提供的文档中，都统一使用了ngfw的概念与宣传口径，且官方网站上的资料也是如此；而之前有utm产品的厂商虽然宣称拥有ngfw产品线，却暂时没能提供与之相关的资料，在产品归属的态度上显得十分模糊。我们感觉前者的意图很明显，就是要避开竞争激烈的防火墙/utm市场，抢占新的蓝海；后者大多拥有一定的资本和技术积累，为稳固市场地位需要拉动产业升级，却担心在市场上面临“自己打自己”的窘境。无论如何，随着ngfw概念逐步被用户理解、接受，目前市场上的混乱局面必将变得明朗，其市场前景值得看好。

palo alto将用户识别、应用识别和内容识别并列为产品的3大核心功能，使用户权限和策略设定变得像自然语言般简单易懂，同时让报表的可读性更强。内容识别基于防火墙、ips、反恶意软件、url过滤乃至dlp等多种安全功能，可以为用户提供全面的安全保障。在业务处理方面，其产品采用了单数据流并行处理体系结构，保证了高性能、低延迟。有业内人士认为，palo alto产品中关于一体化的处理引擎和一体化的策略框架是最关键的设计理念，在保证了高性能的同时提高了易用性。

产品规格方面，palo alto面向不同规模用户推出了从最低端的pa-500到最高端的pa-5060在内的多款产品。其最低端产品pa-500拥有250mbps的防火墙处理能力、100mbps的攻击防护能力和50mbps的ipsec vpn性能，最高端的pa-5060则将这3个指标推向20gbps/10gbps/4gbps。palo alto公司创始人、首席架构师毛宇明在接受我们采访时特别指出，该公司在官方网站公布了所有产品的性能指标，其中攻击防护能力一项均为开启应用识别及所有安全模块后的数据。并且即便用户没有选购任何安全功能的许可，也可以使用不受任何限制的应用识别与控制功能。

palo alto在gartner最新一期的《企业网络防火墙魔力象限报告》中处于“有远见者”（visionaries）象限，并且在前瞻性（completeness of vision）坐标中处于最领先的位置。就目前的情况看，我们认为该公司在未来报告中的排名会继续进步。