竞速下一代防火墙(6)_港湾网络科技 - HAR.BING - 创新前沿信息安全产品技术与服务供应商

对于我们问到的“之前没有防火墙/utm产品，在状态检测技术和入侵防御技术方面是否有足够积累”的问题，深信服科技市场行销部技术总监殷浩也没有回避。据介绍，该公司在保持应用与内容安全领域技术领先的同时，也一直都在跟踪其他各类安全技术的发展。例如成为微软mapp计划合作伙伴，可以第一时间获得漏洞资料，提高ips的防护效果和响应速度。ngfw产品的应用威胁防护功能将反恶意软件、漏洞利用、web入侵等威胁视为一个整体进行统一防护，正是技术积累的一次集中体现。

产品规格方面，深信服科技的ngfw产品线中包含了多达11款产品，覆盖了几乎所有用户群体。其最低端af-1100系列产品标称提供200mbps的防火墙处理能力（按照深信服对产品的定义，应用识别与控制功能都默认开启。后同。），最高端的af-8000系列则将该指标推向10gbps。由于深信服科技ngaf系列产品刚推出不久，我们还未能拿到更多的性能参数。但从厂商测试中得到的最新数据来看，其中端af-1700系列产品的防火墙吞吐量达到600mbps；在此基础上开启ips和waf功能，依然可以达到520mbps的处理能力。

百舸争流ngfw

gartner研究副总裁greg young在接受我们采访时提到，ngfw对于国内活跃的网络安全市场上的诸多厂商来说，都是一个未来的机遇。而这类产品能否顺利发展，很大程度上也取决于来自行业内的态度。所以除了之前提到的5个已经正式发售ngfw产品的厂商，我们还对另外14个厂商提出采访邀请，希望了解大家对这个新产品形态的看法。他们都有防火墙或/及utm产品进行销售，并长期在国内安全市场有着活跃表现。经过长时间的沟通，我们最终收到了13份正式答复。业界巨擘思科成为唯一没有接受采访的厂商，我们对此深表遗憾。

我们对每个厂商的采访都围绕着ngfw的产品形态和市场前景两大主题来进行。从13份答卷中可以看出，绝大多数厂商都对gartner所定义的ngfw产品形态表示充分认同，虽然也有厂商表示个别细节值得商榷，但终归没有明确的反对意见出现。可以认为，gartner所定义的ngfw标准是对用户需求的高度抽象，是防火墙发展到一个历史阶段的自然产物。除了定义中明确所必须具有的基础特性，各厂商基本是根据自身所擅长的技术领域，以及目标客户需求的视角来定义ngfw应具有的其他功能。例如有独立组网能力的h3c与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗ddos等特性，而传统意义上的安全厂商则更关注的网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。

对于ngfw产品在国内的市场前景，受访厂商也普遍表示看好。虽然不少厂商认为ngfw与utm现阶段存在竞争，但必将逐渐替代防火墙、ips、utm，成为阶段性的终结者。启明星辰还提到了上网行为管理产品，认为ngfw的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加细致，该公司认为ngfw短期内不会有独立市场，中期来看将从行业用户处开始普及，最终会成为综合网关市场的核心产品。而来自华为赛门铁克的观点则与之前我们的分析不谋而合，认为有中国特色的ngfw必将成为市场的宠儿。

可以看出，业界对ngfw的产品形态和市场前景都趋于认同。也正基于此，13个受访厂商中的5家已明确表示有ngfw产品研发计划，今明两年内我们很可能将看到至少4款来自不同厂商的产品出现在市场上。迪普科技、山石网科则表示现有产品已符合ngfw标准规范，只是未进行过有针对性的包装推广。瞻博网络则声称2008年发布的srx系列防火墙是ngfw的代表作，但我们在该公司官方网站及互联网上暂时没有找到相关信息。

绿盟科技产品管理中心总监王伟

绿盟科技认为gartner定义的ngfw标准主要强调以下4点：

性能：gartner把性能作为ngfw区分于utm最重要的指标之一；

集成ips：gartner认为ngfw需要集成ips功能，但不是像utm那样做简单叠加，而是要将ips的功能实现无缝融合入ngfw产品中去；

应用可视：主要强调ngfw对web 2.0应用的识别和管理能力；

用户集成：强调用户身份与ngfw策略的一体化整合。

以上4点是针对utm存在的短板进行的改进，应该是未来ngfw产品功能的最小集合。随着ngfw产品及市场的不断成熟及用户认可度的增强，ngfw产品还将融合更多、更丰富的功能（如虚拟化、web信誉等）。另外为了应对云计算这个大的技术趋势，ngfw在产品硬件形态上将变得更加弹性以及多样化。无论如何，结合目前最新的安全发展趋势来看，gartner对ngfw的定义代表了综合安全网关产品未来的发展方向。

短期内，ngfw在国内不会形成独立的市场，将依然会与传统的防火墙、utm、ips、上网行为管理等产品形成直接竞争。中期内，由于国内各类用户对新产品的认可度不同，ngfw产品将首先会在大型企业、金融、电信等中高端领域逐渐被用户接受。长期来看，由于ngfw代表了未来综合安全网关的发展方向，国内厂商应当会逐渐改进现有产品线，以符合ngfw的发展方向。最终，ngfw会成为综合安全网关市场最核心的产品形态。

山石网科技术市场经理任磊

从字面上看，ngfw不像“入侵防御系统”、“上网行为管理”那样直观表现产品形态，转而突出传统防火墙基础之上的概念升级。在山石网科看来，ngfw代表着用户对防火墙产品提出的更高要求，他们期待防火墙能够脱胎换骨，满足当前和未来存在的安全需求。同样是防火墙概念升级的utm也曾是一个时代的宠儿，但当用户发现其仅是单纯的安全功能叠加，且在多功能开启后性能会急剧下降的时候，此类产品就逐渐归入了中小企业解决方案的范畴。而实际上，无论是utm还是ngfw，都应该是通用环境下的产品，而不受行业或网络规模的限制。

ngfw产品应打破传统的单一功能叠加模式，实现基于应用的综合控制，其中单引擎与并行处理是关键。在应用识别的基础上，ngfw应能够对协议中的行为做深层次的可视、管理和安全控制。此外，在网络技术快速发展的今天，应用的变化不仅使得数据流量增加，更高的并发连接和更多的会话处理也对设备造成了很大的压力，用户需要改变传统思想中仅靠吞吐量去衡量产品的思路。当多种安全业务集中在一台设备上的时候，软硬件的高可靠性就变得至关重要。软件方面，aa、集群等特性可以实现多台设备之间的互备；硬件方面，多控制器、多处理模块、多电源等模块间的冗余设计也是提高设备稳定性的必要方法。

(责任编辑：admin)