对于ngfw产品在国内的市场前景，受访厂商也普遍表示看好。虽然不少厂商认为ngfw与utm现阶段存在竞争，但必将逐渐替代防火墙、ips、utm，成为阶段性的终结者。启明星辰还提到了上网行为管理产品，认为ngfw的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加明确，认为ngfw短期内不会有独立市场，中期来看将从行业用户处开始普及，最终会成为综合网关市场的核心产品。而华为赛门铁克则认为，有中国特色的ngfw必将成为市场的宠儿。

　　可以看出，业界对ngfw的产品形态和市场前景都趋于认同。也正基于此，13个受访厂商中的5家已明确表示有ngfw产品研发计划，今明两年内我们很可能看到至少4款来自不同厂商的ngfw产品出现在市场上。迪普科技、山石网科则表示现有产品已符合ngfw标准规范，只是未进行过有针对性的包装推广。瞻博网络声称，其2008年发布的srx系列防火墙是ngfw的代表作，但在该公司官方网站及互联网上我们暂时没有找到相关信息。

　　如何看待gartner定义的ngfw标准？

　　ngfw标准是对用户需求的高度抽象，是防火墙发展到一个历史阶段的自然产物。在我们的采访中，绝大多数厂商都对gartner定义的ngfw产品形态表示充分认同，也有一些厂商认为个别细节值得商榷。

　　h3c安全产品部部长马前祖称，gartner提倡的下一代防火墙产品很类似于utm，都是尽可能将传统的单一防火墙功能扩充到安全中。“与部分厂商解读的‘ngfw就是将所有的安全功能尽量集中于一体’不同，h3c更注重从网络安全整体的角度看安全产品。gartner提倡的解决方案是从纯安全的角度去看安全的产品，而h3c更提倡系统化安全。”据介绍，h3c不仅要把防火墙和ips做成高性能或者互动，同时还要把交换机、路由器与管理中心、桌面控制平台联合到一起，这样可以从各个层面来完善整网的安全解决方案。

“基于应用的流量识别与控制，给客户带来投资减少和管理方便是显而易见的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业程度限制，因此产品形态缺乏标准，指标随意。”马前祖说。

　　传统防火墙厂商天融信对ngfw的概念有所保留。“随着业务、应用、需求的变化，防火墙的定义和功能也一直在变化，总体趋势是做一个功能更加丰富、性能更高的网关或防火墙。gartner定义的ngfw标准在一定程度上反映了产业发展的状况，但还存在一些不足。首先精确性有待探讨，实际上，业界各个厂家也有各自的理解，定义还缺乏广泛性和权威性。”北京天融信公司总工程师吴亚飚表示。

　　吴亚飚认为，gartner的定义对当前防火墙发展的理解存在片面性，比较适合企业级客户对应用的控制，并不适合大型idc数据中心的业务。

　　“根据gartner的定义，ngfw不是utm和现有防火墙的简单升级，而是提供了更全面的应用、用户识别机制，更灵活的控制机制，以及更全面的安全防御。ngfw主要对以下方面进行了大的改进：what, ngfw采用基于dpi/dfi技术的检测，能够深入到应用层报文，通过签名、行为特征识别技术，将应用或威胁进一步区分出来，便于制定不同的控制策略；who，ngfw改变了传统防火墙/utm依赖于物理设备地址(mac/ip)和用户身份对应的机制，结合身份认证机制和深度挖掘，更主动和更精准地关联用户的实际身份；where，在一些应用场合，特别是远程应用，ngfw可以准确判定用户的位置；how，灵活的控制策略和丰富的可视化内容。” 汉柏科技战略产品中心总经理时培昕认为。

　　ngfw应具备哪些其他功能？

　　除了gartner定义的ngfw标准中明确要求必须具有的基础特性之外，各厂商还根据自身擅长的技术领域，以及目标客户的需求，定义了ngfw应具有的其他功能。

　　“具备多种安全防护功能是下一代防火墙需具备的特点之一，但与此同时，我们注意到目前it界两大发展趋势：一是带宽越来越宽，以太网标准开始由万兆向40g、100g迈进；二是云计算风生水起，已成为众多企业cio的关注焦点。ngfw要跻身这个市场，在具有融合的安全防护功能同时，还必须满足以下两个基本要求：高吞吐和高并发的性能弹性匹配，云计算环境中虚拟化技术带来的安全虚拟化需求。”h3c安全产品部部长马前祖认为。

　　“gartner定义的ngfw标准主要强调了在应用层抗攻击的重要性，从技术层面上看，我公司认为ngfw需要在应用层实现丰富的审查与控制功能，例如实现应用层的流量分析与过滤、应用层qos，以及对应用层ddos攻击的防护，都是下一代防火墙的重要特征。在产品层面，下一代防火墙需要在高可扩展性方面做出更多革新，通过在软件和硬件层面的模块化设计，实现功能、接口数量、处理能力的即插即用式可全面升级，才能够使下一代防火墙具有更长的生命周期。因此，具有长远的技术前瞻性，架构设计优秀的产品才能够作为下一代防火墙的代表。”瞻博网络系统工程师侯志昂表示。

　　侯志昂认为，ngfw应该实现控制、转发、抗攻击三方面的硬件模块化分离设计。由于下一代防火墙需要在高性能网络中承担应用层审查和攻击抵御的责任，其转发平面势必面临比传统防火墙更为繁重的压力。把控制层面独立出来，在高速安全处理的同时保证管理层面的畅通无阻是提升防火墙的稳定性和可靠性的保障。下一代防火墙中，在高端产品线引入交换矩阵是非常重要的理念，只有通过交换矩阵的方式才能突破跨板卡流量性能的瓶颈，真正实现无阻塞转发。下一代防火墙需要能够实现性能、接口的零配置平滑升级，而决不能是简单的多台独立防火墙堆砌式升级。另外，高可管理性也是下一代防火墙实现的目标。

　　与具有独立组网能力的h3c和瞻博网络相比，传统意义上的安全厂商则更关注防数据泄露、立体防护、终端接入控制等功能的集成实现。