在实验室级别的测试方面，目前业界对出现在市场上不久的ngfw产品还没有一个公认的测试标准，甚至独立的测试报告都寥寥无几。nsslabs曾经在几个月前发布了针对check point power-1 11065的单品测试报告，这也是该机构第一次发布ngfw类别的测试报告。我们从中可以看出，针对ngfw产品的测试方法可以理解为在传统防火墙和ips测试的基础上，补充了针对用户/应用的识别与控制能力的测试。据check point中国区技术经理刘刚介绍，该产品在测试中有着非常优秀的性能表现，在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率，成为业界首个获得nsslabs ngfw“推荐”级别的厂商。但用户也应认识到，实验室环境中的测试结果代表了一种特殊的应用场景，在选型时还应结合自身业务需求寻找更多的评估依据。例如未来如果打算启用dlp功能，就一定要关注重组大小、解码种类等方面的限制，最好能创造环境去测试设备在此条件下的最差性能。此外，我们注意到nsslabs在应用识别与控制测试中使用的多为欧美地区流行的应用样本，国内用户应当重点考察ngfw产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。

　　链接一

　　防火墙技术发展简介

　　从技术发展角度看，到目前为止，防火墙大致经历了4代变革。

　　首先出现在市场上的是包过滤防火墙，这类产品可以根据ip数据包的五元组（源地址、目的地址、源端口、目的端口、协议类型）做访问控制，代表性的产品是具备acl能力的路由器。因为处理逻辑比较简单，包过滤防火墙可以做到相对较高的性能。

　　包过滤防火墙的缺点是处理不够智能，不能很好地适应网络应用发展的需要，所以逐步被使用状态检测技术（stateful packet inspextion,spi）的防火墙所取代。状态检测机制在基于五元组执行包过滤的基础上引入了会话的概念，维护一个全局的连接状态表，使访问控制功能更加完善、易用。即便在今天，它仍然是绝大多数防火墙或utm产品中最基础的处理模块，其地位不可动摇。

　　应用代理防火墙则采用了与状态检测完全不同的处理机制，改由透明代理中断连接、重组数据。虽然这种技术可以做到非常细粒度的访问控制，但仅支持有限的应用协议，只适用于非常特殊的应用场景。并且该机制注定了相对较低的执行效率，不易于性能的提升（用过isa的朋友可以仔细体会）。也许是时间比较久远，我们并不记得曾经测试过这类硬件产品，只是在一些使用状态检测机制的防火墙上看到它以功能模块的形式出现。如果您在正在使用的防火墙上看到了针对http、ftp、smtp等常见协议的指令级或字符串级的过滤功能，不妨尝试开启一下，看看是不是会对性能造成很大影响。截至目前为止，可能只有国标中所定义的安全审计产品仍然在使用应用代理机制。

　　而深度包检测技术（deep packet inspection，dpi）则可以看做是性能与功能平衡的产物，它在状态检测技术的基础上，尝试对数据流中更多的内容进行检测，以在资源消耗较少的情况下提供部分应用代理级别的安全性。正如名称中强调的那样，大部分采用深度包检测的设备依然不会去做太多的重组工作，仅依靠特征比对的方式执行更复杂的访问控制策略。ids与ips就是使用这种技术的标志性产品，它们表现出来的性能虽然比起使用状态检测机制的传统防火墙还有一定的差距，却远高于使用应用代理机制的产品。近年来，dpi在不断改进中又衍生出深度流检测技术（deep flow inspection，dfi），以更好地实现各类安全特性。

　　链接二

　　ngfw产品选购指南

　　用户在选购ngfw产品时肯定会感到更多的困惑。一方面，utm和ngfw短期内不存在取代关系，经过包装推广的产品在形态上会越来越相似。另一方面，ngfw必然还会加入更多的安全特性，从著名信息安全培训机构sans的专家结合现有产品和用户需求给出的未来ngfw产品将需集成的功能列表来看，目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼，用户（尤其是中小企业用户）难免会像几年前刚接触utm那样，产生一种不理智的选购心态。

　　所以，用户在选型前必须先明确自己的需求是什么，再利用ngfw体系结构上的集成化优势对未来部署做出合理性的规划，否则必将带来过犹不及的负面效果。途牛旅游网的资深网络工程师吴康就谈到这样的体会：该公司在明确自身安全需求后，选择了ngfw产品取代utm搭配上网行为管理的方案，保护包括订单系统在内的在线oa平台。经过长达半年的细致测试，途牛旅游网的it团队在用户身份关联的基础上逐步实现了策略的统一配置，成功地在满足需求的同时大幅提升了管理效率。

　　由此可见，充分的测试也是必不可少的环节，鉴于大部分用户都会同时启用ngfw产品提供的多种功能，我们建议无论是否进行实验室级别的测试，都要做至少3个月以上的、结合自身业务需求的上线测试，尽可能地与原有信息系统磨合，排除潜在隐患。

　　[page]

　　百舸争流ngfw

　　业界对下一代防火墙（ngfw）的产品形态和市场前景都趋于认同。面对越来越多的选择，用户对ngfw产品应理智地分析自身的安全需求，更多地结合测试评估工作进行选型。

　　■ 本报记者 韩勖 李智鹏

作为一类新的产品形态，下一代防火墙（以下简称ngfw）在市场上已然形成潮流。在被用户充分接受之前，这个产品市场能否顺利发展，很大程度上取决于业内的态度。所以，除了5家已经正式发售ngfw产品的厂商，本次我们还对另外14家信息安全厂商提出了采访邀请，希望了解整个行业对这一新产品形态的看法——这些厂商全部都有防火墙或/及utm产品在市场上销售，并且长期活跃于国内信息安全市场。经过长时间的沟通，我们最终收到了13份正式答复。业界巨擘思科成为惟一没有接受采访的厂商，让人深感遗憾。

　　此次采访围绕着ngfw的产品形态和市场前景两大主题进行。从13份答复中可以看出，绝大多数厂商都对gartner所定义的ngfw产品形态表示充分认同，虽然也有厂商表示个别细节值得商榷，但终归没有明确的反对意见出现。可以认为，gartner所定义的ngfw标准是对用户需求的高度抽象，是防火墙发展到一个历史阶段的自然产物。除了定义中明确要求必须具有的基础特性，各厂商基本是从自身所擅长的技术领域，以及目标客户需求的视角，来定义ngfw应具有的其他功能。例如：有独立组网能力的h3c与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗ddos等特性，而传统意义上的信息安全厂商则更关注网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。