ngfw代表着防火墙产品的一种发展趋势，其核心诉求是数据处理模式和效率方面的根本提升。这种提升已经与国内网络发展造成的安全需求相匹配，理应成为未来用户解决网络安全问题的主流选择。随着云计算环境下安全需求的变化和虚拟化技术的不断普及，用户在针对应用的高性能、深层次防护领域将出现井喷性需求，市场潜力是巨大的。

从功能特性角度看，山石网科的产品早在2008年就具备了gartner定义的ngfw特征，包括传统防火墙的全部功能、应用流量的识别与优化、用户身份和内容的识别与管理、入侵防御和病毒防护能力等。我们并不在意安全产品的名称，而是希望凭借山石网科多年来对市场的认识、对行业的理解，做出更贴近用户需求的新一代安全产品。

gartner定义的ngfw确实为集成化的安全网关类产品指出了一个发展方向，这是值得肯定的。在此基础上，我公司更加重视客户关注以及所需要的功能，产品设计的出发点也是为客户提供一个功能完善、高效可靠、部署简单的产品解决方案。实际上，如果按照ngfw的定义，我们的fw1000应用防火墙产品和utm2000的utm产品都符合规范定义的形态。fw1000应用防火墙除具有基本防火墙功能以外，还具有对四层攻击、拒绝服务攻击的抵御能力，并且可以对p2p、网络游戏、炒股软件等各种应用协议进行识别并进行限流或者阻断。同时，设备自带千万条级别的url库，可以实现url过滤等功能，为业务流量优化和安全防护提供良好的辅助。而utm2000系列产品则在fw1000应用防火墙产品的基础上，增加了ips、防病毒、应用控制、关键字过滤、行为审计等功能。

无论是ngfw1000还是utm2000，都采用了“一次解析、多次匹配”的业务处理模式，即单引擎+整合特征库（协议库、漏洞库、病毒库），使得产品在设计上具有了非常好的伸缩性。同时，单引擎相对多引擎在处理模型上有了优化进步，是高性能的保证。

无论utm也好、ngfw也好，本质上都是对传统防火墙功能的提升和扩展，在价格被用户接受的情况下，对传统防火墙实现替代是必然的。ngfw和utm之争，以及ngfw需要具备的功能讨论，在我们看来对用户的实际意义不大。用户需要的功能就是产品必备的功能，迪普科技不以license来控制功能模块的启用与否，交付给用户的本身就是具有多种安全功能的产品，用户可以根据需求选择自己需要的业务。

启明星辰认为，ngfw的发展诉求应该是把传统防火墙将访问控制对象从网络层、传输层调整为应用层协议。因此，其产品实现基础不再是多模块协同工作，而是依托于网络应用的识别能力来实施安全访问控制。虽然技术方面存在相通性，但由于访问控制对象不同，ngfw与utm在系统设计方面会存在本质差异

简单来说，ngfw在功能上偏重于网络应用安全，而utm更侧重于网络内容安全。ngfw更强调应用识别能力、用户行为管理和应用安全，提供面向应用控制的网关安全防护；utm针对内网强调全方位的安全能力，提供比较适中的、具有更高性价比的网关安全防护。utm与ngfw相比，还可提供vpn、反垃圾邮件、反恶意软件、防攻击、内网管理等针对于内网的安全防护能力。

在功能模块组成上，gartner并未明确规定ngfw功能的细节组成，定义的功能覆盖比较合理。但ngfw作为安全类产品，在应用识别的基础上，需要增强应用安全的检测控制能力，同时在保证效率的前提下，增强基于流的防病毒能力会更有利于ngfw实现针对应用安全的目标。从目前来看，还没有一个厂商可以实现utm、ngfw特性高效融合的案例，更多还是在应用、安全各自见长。ngfw在安全特性上和utm在应用控制上，是否符合用户预期的商用效率，与软硬件技术的发展也有着很大关系。

在应用为王的网络世界中，ngfw的出现是紧跟应用安全需求发展的产物，市场前景相对乐观。在国内市场，它将对传统防火墙、utm、上网行为管理和ips细分市场造成冲击。国内各传统安全设备厂商会对此不断调整自身产品形态，一定程度上影响国内安全网关市场的调整与分布。ngfw在国内可能首先冲击上网行为管理市场，最终替代上网行为管理产品，与防火墙、utm和ips产品形成新的市场布局，长期处于竞争态势。ngfw在性能方面的追求对硬件平台的专业化提出了更高的要求，国内安全厂商对专用硬件平台的驾驭能力会在一定程度上影响ngfw产品在国内的发展。在没有颠覆性软硬件技术革新的前提下，utm、ngfw之间还难以形成替代关系。而二者差异的存在，使其在部署上反而会存在一定的互补性，在网络边界发挥各自优势，满足用户的多维度需求。

今年年初，启明星辰已经展开ngfw产品技术和市场空间方面的研究，考虑在合适的时机推出有特色的ngfw产品。

gartner所提倡的下一代防火墙产品，很类似于utm，都是尽可能将传统的单一防火墙功能扩充到多种安全业务的集合形态。基于应用的流量识别与控制，给客户带来投资减少和管理方便是显而易见的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业程度限制，ngfw产品形态缺乏标准，指标也比较随意。与部分厂商将它解读为所有的安全功能尽量集中于一体不同，h3c公司在网络安全方面的理解，更注重是从网络安全整体的角度看安全产品，提倡系统化安全，而gartner提倡的解决方案是从纯安全的角度去看安全产品。我们不仅要把防火墙和ips做成高性能或者互动，同时我们还要把交换机、路由器与管理中心、桌面控制平台联合到一起。