安氏领信认为，gartner的ngfw定义中对威胁的关注点是由外向内（或称之为攻击），对内部的数据安全考虑较少。面对日益严重的数据泄漏问题，有必要在网络边界处增加对内部“数据安全”的解决方案。此外，以“用户”为访问控制元素的策略上，需要考虑终端与边界防护的立体解决方案，在终端的接入上进行必要的控制。

我公司预计会在下半年推出ngfw产品，我们会在utm技术积累的基础上，以一种全新的视角进行重构，重点在企业应用层协议控制、网络攻击防护的功能点上进行挖掘。尽管目前ngfw在市场上的整体占有率不足1%，但我公司对其未来的发展充满信心，尤其是在中小型企业。很多人都会拿utm来与ngfw进行比较，权且不论国际市场如何，就国内来看utm大而全、性能低下、没有整体防御逻辑的诟病较难被国内用户接受，ngfw的全新的产品理念在迎合企业管理需求上能很好弥补utm的不足，市场前景值得看好。

gertner对ngfw的定义是很周全并值得认可的，应用识别是防火墙未来发展的重要技术方向，基于应用的攻击的不断变化也要求防御技术必须有所提升。对于这样的变化，传统防火墙只能望而兴叹，因为它在应用层的检测能力几乎为零，无法起到良好的防御效果；而ips仅关注应用层检测，防火墙功能极弱甚至没有，这也是有些用户把ips当做ids使用的一个原因；utm则是一个集大成的产品，能够很好的融合各种安全技术，但一个缺乏统一指挥、统一资源调配的庞大团队，其效率低下是无法避免的。ngfw的使命，就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃，满足用户新的防御和管理需求。

ngfw集成了多种安全业务特性，在功能上很强大。但是网关类产品在网络中布署时，会面临各种兼容性方面的问题，所以良好的兼容性、可扩展性是这类产品的必备特性。在开发ngfw产品的时候，这些方面必须优先考虑，不能因为功能的扩展影响了系统整体的运行效率。

技术是没有国界的，ngfw在国外发展得很好，相信在国内也会有光明的市场前景。从目前情况看，未来两年将是ngfw产品高速发展的一段时间，相信它会成为是防火墙、ips的阶段性终结者。

对于新技术和新的产品形态，我公司历来都非常关注。但产品化进程要看市场的成熟度，产品上市太早的话，销量受影响，资金压力会很大；而上市时间太晚，又会失去很多市场机会。如何拿捏好产品研发和推广的时机，需要进行周密的考虑。

防火墙的核心目的是根据准确的判定条件来提供周密的访问控制策略，而根据gartner的定义，ngfw并不是utm和现有防火墙的简单升级，它提供了更全面的应用、用户识别机制，更灵活的控制机制，以及更全面的安全防御。

汉柏科技认为ngfw主要在以下几方面进行了大的改进：

从内部实现机制上来说，ngfw应当是以高性能为前提的。而复杂的识别技术（状态检测、深度报文判别、模式识别、行为分析等）替代了传统的基于端口检测的方法，需要更多的开销。要在高性能的前提下提供更全面的功能，对各种实现机制，如应用协议库的组织、多条流关联识别、检测和分析引擎的一致性乃至同系统底层和硬件平台的配合设计上，都提出了全新的考验。从用户角度来说，ngfw更多体现的是从实际使用者（比如人力资源）角度的设计，而不再用实际使用者完全看不懂的术语（例如“五元组”）去设定相关的安全策略。同时，功能将更多地基于一体化引擎，而不再简单堆砌，使用起来更流畅、易用。

汉柏科技已经在对ngfw进行缜密的产品规划，预计会在明年上半年推出poweraegis系列ngfw产品。

随着业务、应用、需求的不断变化，防火墙的定义和功能也在一直在演进之中。但无论是功能从单一到复杂，还是访问控制的粒度从粗到细，其总体趋势仍然是追求更加丰富的功能和更高的性能。从idc定义utm，到gartner定义ngfw，都在一定程度上反映了产业发展的状况。但我们也应看出定义存在的一些不足，导致业界各厂商有各自不同的理解。这些定义还没有上升到权威机构（如ieee或itu等组织）主导的层面，也就天生缺乏广泛性和权威性。由于对当前防火墙发展存在片面理解，gartner定义的ngfw比较适合企业用户实现对应用的控制，而不适合大型idc、数据中心进行部署。

天融信防火墙的许多设计方向都与ngfw不谋而合。由于传统防火墙基于五元组的访问控制机制无法应对各种复杂的网络应用，天融信很早就将入侵防御等5大类型的防御机制加入到防火墙产品中。经过几年的磨合，这些防御机制已经实现单一引擎处理和联动，例如入侵防御功能侦测到的威胁可以自动加载到防火墙规则内，在网络层就能提前阻断。它们之间已经不仅仅再是互动关系，而是一个整体。