下一代防火墙角力演武堂

不论产品如何变化，市场的发展总是由用户需求所驱使。因此下一代防火墙（NGFW）从某种角度上讲也是顺势而生的。然而，如何在进行采购之时拥有一双“火眼金睛”来看透厂商“忽悠”的伎俩，用户又该如何根据自身的需求选择合适的产品呢?

半年前，在《解惑下一代防火墙》这篇文章中，笔者向读者展示了参与横向评测的四款产品测试报告，并为大家深刻解读了如何在充满乱象的NGFW市场中理性看待该产品。如今在这半年中，下一代防火墙市场趋于稳定，大家各自发展，悉心耕耘。但是貌似平静的市场中，业界对于NGFW和UTM仍然纷争不断。不论两种产品使用的技术孰优孰劣，最终的目的还是要交付给用户使用。因此产品的设计宗旨还是要以满足用户需求为前提。

也就是说，对于网关安全产品，要能够给企业提供可以灵活部署不同安全需求的解决方案，提供多种安全功能的灵活组合，使产品能够满足企业不同发展时期的不同安全需求。目前看来，市场上绝大多数UTM的产品性能其实随着硬件的发展在进行自然的提升，而众多UTM厂商都推出了自己的NGFW产品。再加上原本专注于应用层控制，诸如上网行为管理等产品的厂商也投身到下一代防火墙市场中成为新兴力量。

扑朔迷离的市场环境

不论产品如何变化，市场的发展总是由用户需求所驱使的。下一代防火墙的产生从某种角度上讲也是顺势而生的。互联网的快速发展，使得UTM产品逐渐成为企业网建设时平衡安全与性能之间的阻碍。目前以太网已经大踏步迈进40G时代，尽管对于企业网出口来说，带宽可能还是只有千兆级别，但相对于几年前的带宽已经翻了一番。因此，市场需要一种新的产品能够适应当前的互联网环境，不论是带宽还是各种各样的应用。尽管UTM随着硬件的发展而性能得到了很好的提升，但是仍然难以阻止NGFW这股浪潮的力量，毕竟UTM和防火墙这两个名词已经占据市场太久了，这从各种不同厂商趋之若鹜的态度也可以看出来。

赛道安全论坛创办人随之 观察认为， Gartner为Palo Alto度身打造的下一代防火墙(NGFW)这一名词随其上市风光之后一石激起千层浪，无论是之前做防火墙的，还是做防病毒的、IPS的，邮件过滤的，P2P流控的，甚至做上网行为管理的，都齐齐高举专属自己的下一代防火墙招牌，以市场说了算的大无畏豪迈精神纷纷发力。一时间下一代防火墙无所不能的高、大、全形象在纷争中站了起来。IDC当年着力渲染以网关防病毒独领UTM市场的翘楚Fortinet寡不敌众，也发出了UTM就是功能更全、性能更佳的下一代防火墙的和谐声。媒体纷纷发文对比NGFW与UTM，末了多少会偏心一下新鲜出炉的下一代防火墙。

从随之发表的评论不难看出，目前下一代防火墙厂商基因各不相同，而且市场刚刚起步，并未经受过传统防火墙市场的长期洗礼。各家厂商从各自产品特点出发，在IPS，用户应用内容可视控制基础上，添补满足中国用户本地特色需求的功能，盖上下一代防火墙的新红印挂帆出航 。为了关联当前云计算的热点，虚拟化隔离、BYOD控制、云策略更新、高性能架构的点缀说法也随之而来。

然而，面对琳琅满目、纷繁复杂的下一代防火墙市场，用户又该如何根据自身的需求选择合适的产品呢?据笔者了解，目前用户并不关心他们采购的产品是UTM还是下一代防火墙，用户方面真正需要的只是能够满足自身众多安全需求的安全网关产品。因此，面对如此情况，笔者认为下一代防火墙与UTM之争其实可以暂且搁置了。

在抛去了产品名字的争议之后，一个很现实的问题摆在了我们的面前，那就是产品采购的问题。Gartner在其2012年企业防火墙市场魔力象限报告中表示，有一些厂商过度使用术语及充满迷惑性的营销手段，往往令我们对应用程序控制、WAF (Web应用防火墙) ，以及ADC(应用交付控制器) 防火墙三个概念混淆不清。

因此，用户该如何选择产品，一款拥有哪些功能的下一代防火墙产品是适合于用户自身需求的，如何在进行采购之时拥有一双“火眼金睛”来看透厂商“忽悠”的伎俩等等，这不仅是用户需要考虑的，也是媒体需要认真思考的问题。#p#

群雄逐鹿下一代防火墙

在用户进行采购之前，必须对于自身的网络环境，以及业务需求有足够的了解。另外，产品供应商的情况也是需要考虑的问题。

全球范围内市场份额领先的安全硬件设备提供商，诸如思科、Check Point、Juniper、Fortinet，还有UTM的老牌劲旅Dell SonicWALL、Barracuda Networks，都在下一代防火墙这股浪激中相继推出了自己的NGFW系列产品。国内方面，东软、锐捷、深信服、天融信、网康、网神等厂商也根据自身的优势和特点，推出了更具中国特色的下一代防火墙产品。

国际厂商对于下一代防火墙的宣传普遍比较低调，思科就是其中之一。思科于2011年发布下一代防火墙，算是比较早的一批了。思科高级安全顾问徐洪涛表示，目前下一代防火墙市场有传统的防火墙提供商，也有直接跨入下一代防火墙的新一代厂商，大家对下一代防火墙的定义也有所差别。思科采用的方式是在传统成熟的防火墙平台上增加新的下一代防火墙功能。因此思科利用已有的渠道和大量的客户群，做到一个平滑地向下一代防火墙切换，最优化用户的体验。此处也不难看出，拥有强大渠道和稳定客户群的市场领导者，其传播方式更偏向于通过自有方式来向客户进行下一代防火墙的渗透，因此在市场上的声音不多。

Check Point作为传统的安全厂商也是IPS的缔造者，长期以来思路清晰，坚持走软件刀片的路线，并且已经取得相当的成功。在企业级防火墙市场(Gartner认为这部分市场很可能成为NGFW市场)中，Check Point产品的部署量相当高，其全球范围的出货量稳居第二名。另外，在Gartner的调查中，Check Point是被用户选择最多的下一代防火墙品牌之一。而用户选择的原因不仅仅因为品牌和历史，更多的是因为不可取代的功能其强大的售后服务体系。

Fortinet作为UTM的缔造者，其产品的高性能和高稳定性是Fortinet走到今天的根本。随着时间的推进，Fortinet将FIPS(美国联邦信息处理标准)、NSS Labs、ICSA Labs的“印花”都集齐了。最近两年，Fortinet同NSS Labs合作紧密，积极配合下一代防火墙产品的测试，并且表现出众，屡次获得“推荐”级别。然而，Gartner却一直对Fortinet有一些自己的“意见”。在UTM 的魔力象限中，Gartner长期以来虽然一直认为Fortinet是绝对的领导者，但是仍然很难在其企业级防火墙魔力象限中给出Fortinet很好的评估。在Forti OS 5推出之后，Fortinet也应声宣布自己的NGFW产品。对于此种情况，有人认为是倒戈，而笔者认为“妥协“更贴切。

Barracuda Networks(梭子鱼)在2004年就已正式进入中国市场发展，对于中国本土特点有深刻理解。由于长期的国内发展，梭子鱼在国内不仅拥有成熟的售后支持和应急响应团队，并且还拥有大量的研发资源。对于产品线的补齐，梭子鱼也是不断通过收购达成，比如WAF厂商Netcontinuum和奥地利防火墙厂商Phion AG。而在收购了Phion AG之后一年，梭子鱼就推出了其NG firewall产品。

在国内方面，深信服是国内首家推出下一代防火墙产品的厂商，2011年9月至今，深信服的下一代防火墙产品线已经日趋成熟，并且行业覆盖范围也较广。深信服市场行销部技术总监殷浩向记者表示，深信服下一代防火墙在中国部署情况很好，产品推向市场到现在已有1年多时间，累计销售额超过1个亿，2012年更比2011年翻了4番。客户认可度高，市场反馈良好，目前已经覆盖到了政府、金融、运营商、企业和教育等行业。

国内市场中有一家最近频繁在下一代防火墙市场中有所动作的公司，那就是网康科技。网康的下一代防火墙于去年10月份推出，而且在今年4月份推出了NGFW 2.0版本，涉及了很多重大的更新。网康科技CEO 袁沈钢也不久前与《网络世界》总编辑高辉进行的高端访谈中也谈到，通过网康过去8年在应用层的积累，推出下一代防火墙是自然而然的事情。另外，网康用其“买服务送设备“的销售模式快速拓展市场、积累客户，并且收效颇丰。

前面说过，国际厂商对于下一代防火墙的宣传普遍比较低调，但是有一家厂商是绝对例外的，那就是下一代防火墙的缔造者Palo Alto公司。从Palo Alto推出下一代防火墙至今，该公司一直持续地以各种形式在媒体和市场中发出声音，长期处于比较高调的态势。Palo Alto 2005年于美国成立，4年后携手Gartner向世界推出下一代防火墙的概念并迅速崛起，更在去年年底成功上市。

Palo Alto的成功，源于其产品将防火墙和IPS完美的整合，并将应用控制功能提升到了从未有过的高度，而其成功的背后不仅站着一群业界精英，还站着许多市场营销好手。Palo Alto是Gartner调查中被提及最多的下一代防火墙替换者。而Palo Alto更是最近几年对防火墙市场最大的贡献者。虽然也有人认为是破坏者，但是其创新的下一代防火墙的定义，以及单通道并行检测引擎已经迫使众多防火墙、UTM、NGFW厂商以此标准来进行产品改良，甚至重新设计。#p#

下一代防火墙产品大盘点

如上所述，目前下一代防火墙厂商各自的背景不尽相同，因此各自的产品定位和特点也存在一定的差异性。在了解了国内外下一代防火墙的几家代表厂商各自特点之后，对于各家产品的特点也是需要了解的。为此，笔者对于各家产品进行了探索。

在此要感谢各家厂商的积极配合，让笔者能够深入了解各家NGFW产品的特性、部署环境，以及相应的技术特点等等。

梭子鱼的F800下一代防火墙产品除了具有常规功能外，该产品还突出了智能点对点流量管理功能，大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径，根据多链路、多通道和不同的流量情况安排链路的优先顺序。虽然梭子鱼的产品在国内覆盖零售、企业、物流、政府、运营商等领域，但是其大部分的客户还是在分支机构和中型企业。

Check Point产品的应用范围广，不得不说是得益于其灵活且多元的软件刀片。通过不同的软件刀片组合，让采购的企业和组织能够将其产品应用于各种复杂或简单的环境。Check Point 12200可被用于大型网络环境，以及业务关键内部网段边界安全保护。该设备通过热插拔冗余电源/磁盘驱动器、远程管理卡，以及诸如Check Point ClusterXL和负载分配等高可用性特点，保证高业务连续性和适用性。12000系列更是多次在NSS Labs获得“推荐“级别的产品。Check Point虽然一直出货量很高，但是其产品价格昂贵也是不争的事实，尤其是其多达十余种软件刀片，确实使得组合可以更灵活，但另一方面也增加了客户的采购成本。

而思科的ASA5500系列下一代防火墙提供全球安全威胁实时视图和电子邮件的“信用报告”服务，还能敏感监控僵尸网络的动态，所更新的信息即时同步。企业可以根据特定需求定购不同版本，做到逐步购买、按需部署，灵活方便地实现安全功能的扩展。而且从思科PIX防火墙迁移至思科下一代防火墙的过程简单易行。思科安全产品的高出货量源自其总体产品的高出货量，长期以来思科专注于网络设备的研发，但在安全产品创新上还需多做一些努力。

Fortinet公司的安身立命之根本在于其产品极高的稳定性和转发速度。NSS Labs测试的FortiGate 3600C达到了60Gbps防火墙吞吐和14Gbps应用层及IPS吞吐的超高效率，获得了NSS Labs的“推荐”级别。更高端的FortiGate-3950B以一台3U高度标准机架式设备、最大不到500W的功耗，实现了120Gbps的小包吞吐量，以及2000万并发会话能力。然而，如Gartner的报告中所说，Fortinet产品的第三方生态系统构建还须时日。另外，虽然Forti OS 5已经发布，但是并未被大规模使用。而该系统较大的更新正是针对NGFW功能的。

Dell SonicWALL拥有专利的RFDPI (免重组深度数据包检测) 技术。RFDPI引擎扫描通过每一个端口的网络流量的每一个数据包的每一个字节，提供全面的内容检测以消除威胁，并且全面检测SSL加密的流量，以及非代理的应用程序。由于SonicWALL是UTM起家，所以其大部分客户还是集中在小企业和零售市场，而且被戴尔收购的时日尚短，因此企业级市场还需进一步开拓。

Palo Alto的NGFW产品从PA-200到PA-5060，开启应用识别的防火墙性能从100Mbps覆盖到20Gbps，满足分支结构到数据中心的防火墙性能需求。作为该公司最为畅销的产品，PA-3000系列非常适合于大型互联网网关位置部署，以确保网络安全和预防网络威胁。虽然是下一代防火墙的缔造者，Palo Alto也有自己的缺点，该公司还未支持大型机架设备，因此在较为高端的数据中心环境可能会受到性能限制。其次，Palo Alto的下一代防火墙产品所集中的安全功能并不像其他家厂商那样多，对于安全功能有大量需求的客户，可能会在采购中有些迟疑。还有一点，那就是Palo Alto在中国的市场规模极其有限。

深信服NGAF在下一代防火墙市场中占得先机，已经扎根。当深信服NGAF设备的IPS或WAF防护策略匹配到远端黑客的攻击行为之后，可以智能地与防火墙策略联动，生成临时防护策略，限时封锁远端的源IP对业务的访问。防止黑客进行持续性的攻击尝试，最终绕过安全设备防护的风险。NGAF更是将Web安全防护作为主打特色之一，并且获得了OWASP四星的成绩，证明了其在应用层领域的专注和专业。然而，这也是一把双刃剑，深信服NGAF是否会被人误认为NG-WAF还未可知。

天融信是国内老牌的防火墙厂商，长期稳居国内防火墙市场占有率第一位。其产品主打高性能，产品吞吐量动辄数十Gb，其擎天系列下一代防火墙更是高达百Gb吞吐。NGFW4000系列也是国内率先支持防病毒和SSL VPN功能的防火墙产品。

网康科技近日最新发布了NGFW 2.0版本，首次将“云查杀”技术引入到了产品，而且还专门针对“僵尸网络”做了开发，数据防泄漏方面更是根据文档特征而非后缀名判断。网康NGFW 2.0向我们全面展示了应当如何去应对下一代的网络威胁所带来的安全防护问题，并为下一代防火墙应该提供何种安全防护功能提供了非常形象的解释。在市场方面，网康也亟待快速拓展，将其NGFW产品上升成为公司的支柱产品，虽然起步较晚，但是好在卖服务的模式正在帮助其快速扩张市场。

网神在去年受邀参加了《网络世界》下一代防火墙的横向评测并提供NSG 3600产品进行测试。结果显示，在即便是开启防火墙功能模块+APP+IPS等情况下，其新建连接的应用处理能力可以稳定地保持在4000新建连接/秒左右。而且即使在开启AV功能后出现性能下降，成功连接响应过低的情况也依然忠实地没有漏过每一个包的防病毒检查。

WatchGuard的下一代防火墙多达十几个型号，充分覆盖各种使用环境。优势是性价比高，适合对价格敏感的中小企业、零售商、分支机构的网络安全部署。另外，Gartner认为，该公司对于下一代防火墙在企业中适用的功能范围认识很清楚，目标也正确，但是其在大型企业中的部署较少，主要还是集中在中小企业。#p#

广阔的部署环境

从多家厂商走访的结果来看，几乎所有厂商都认为下一代防火墙的主流级别是千兆和万兆。天融信网关产品线产品总监寇增杰表示，下一代防火墙关注应用层检测与防护，而完善的应用层防护解决方案往往需要高性能的支撑。随着硬件本身性能上的不断提升，以及系统层面的不断优化，百兆与千兆中低端早已不是衡量下一代防火墙在性能方面的标准，应该是在千兆高端与万兆的性能级别。

WatchGuard市场部总监万熠认为，下一代防火墙的主流基本上还是在1Gb-15Gb的级别。这个级别的用户群比较大，而且需求比较明确，他们需要对网络内的流量做可视化管理，做带宽管理和流量整形。同时对设备性能稳定、实际使用功能这些都有很明确的要求。百兆NGFW市场空间也不小，但其用户群的主要使用目的并不那么明确，更多是为了通过简单的方案解决网络基本攻击，和应用控制，提高办公效率。

对于下一代防火墙可被部署的环境，以及可能产生的限制这个问题，深信服市场行销部技术总监殷浩表示，目前在应用场景上没有限制，用户可以根据部署场景的需求选择下一代防火墙对应的功能。就深信服一年多的销售经验来看，深信服下一代防火墙在各个场景部署上均有较为明显的优势。

梭子鱼技术总监贾玉斌也认为，NGFW在应用场景上其实没有太多的限制，根据NGFW定义的特性而言，其更适合应用在对于安全检测与防护级别更高的地方，以及为其满足集中管理与网络整合管理应用的需求。

万熠则认为，NGFW主要适应在对应用功能高度集中的中小型企业，对流量就网络内数据可视化要求较高的大中型企业数据中心和园区网，以及一些中型ISP。当然运营商和金融行业也在逐渐考虑是否选用NGFW产品解决方案。NGFW适用于当前网络应用环境下的绝大部分客户需求，但是对于超高流量的网络场景，NGFW过于细粒度的检测方式，可能会对此种应用场景有限制。例如城域网骨干出口等。

思科高级安全顾问徐洪涛也认为，思科下一代防火墙主要的应对场景包括互联网出口、BYOD接入的安全网关，包括数据中心的应用控制等等。但是目前下一代防火墙还未在核心的骨干网络中得到大量的应用，主要还是应用在互联网出口的百兆和千兆环境。思科也推出了万兆的下一代防火墙产品，也在高端数据中心和运营商当中做出了尝试。

对于部署环境的问题，格物资讯创始人韩勖表示，每个行业的需求都有各自的特点，可以分为四大部分来看，即运营商、教育、IDC和其他行业。运营商方面，城域网及以上层面基本没有安全网关的位置，而对于二三线运营商和小区宽带来说，NAT及审计、多链路负载均衡、流控、基于应用的引流是刚需。NGFW比传统防火墙有优势，但对愈发强大的专业流控产品来说可能稍显劣势。

教育行业方面，高校网络中心或市、区级信息中心其实等同于中小运营商，对边缘网关的刚需自然也大同小异。不过他们对IPS、AV有比较明显的需求，但不是刚需。此外，教育行业用户对审计的需求相当强，几乎属于刚需。如果能在合理的价格区间内，在性能满足需求的前提下提供有效的安全保障，并且有足够强的审计功能，NGFW会体现出一些优势。

因为互联网数据中心(IDC)有运营性质，理论上安全也不是刚需，但现在IDC运营者必须考虑DDoS攻击防范，这恰恰是NGFW软肋。至于安全服务化、增值化，国内IDC业者似乎很早以前就开始力推，但一直没有形成气候。

而其他一些行业用户对于安全的需求就比较高了，因此VPN也成为刚需的一部分。这类用户对IPS和AV的需求更加旺盛，但却构不成刚需。此外，虽然一些NGFW产品已经具有一定的上网行为管理和DLP功能，但对于大型行业用户来说仍不够专业，因此难以取代单独功能的设备。此外，NGFW健全的用户身份系统，能让配置和运维更简单、高效，报表功能更强大、全面。再比如最基础的应用识别功能，有让管理运维思路走向白名单化的趋势。如果识别率够高，误识别率够低，无疑能让网络运行效率更高，也更安全。如果对动态路由的支持更加完善，则相比于防火墙和路由器来说更具竞争力。#p#

本土化应用更新快速

对于下一代防火墙来说，应用识别和控制是看家本领。然而，对于国内有很多的本土化应用，虽然各个企业也在不断地开发自己的应用来方便员工开展工作，但是应用识别功能的本土化和应用库的更新，以及响应未知应用的时间也应该成为中国用户在采购时需要考虑的另一大问题。

网神产品运营总监陈超说道：“无论针对本土还是国外的应用控制，作为安全厂商都要投入大量的人力和物力去研发，因为每天都在诞生新的应用，同时老的应用为了适应网络发展不断衍生和更新，应用的更新没有固定时间限制，一旦互联网有新的应用和更新产生，我们在一二天内就必须有应对。因此，至少平均每2天都有更新升级包。”

殷浩向笔者解释道，NGFW中必备的应用识别功能需要厂商专门投入一个团队持续更新并维护应用识别的特征库，这需要一段时间的积累和后续长期的投入。这点并不容易做到。而对于本土化应用做好识别也有两个层面的工作，首先厂商应该在应用识别这个领域有一定积累，有足够的市场经验帮助厂商判断哪些应用是用户常用的，哪些是需要持续更新的;其次，很多用户会有在非互联网，比如业务网和内网的应用访问控制需求，这需要厂商快速响应用户的需求反馈，并准确识别这些应用的特征。一般情况而言，应用至少每周都应该批量更新，以保持实时性。

万熠表示，由于每个国家或地区的网络技术发展都有地区化的差异，并且中国作为全球IT行业的主要组成部分，中国的网络及应用的本土化特点较其他地区更为明显。对国际化厂商来说，地区本土化的应用控制是必须面对的问题。WatchGuard在我国北京和成都两个城市有两个研发中心，会针对中国的特点做本土化需求开发。通常来说，APP更新会在较短时间内进行。

网康科技执行副总裁左英男说：“要做好本土的APP，需要多年的积累能够针对本土的应用做到准确识别。比如迅雷和P2P视频等。我们更新APP的频率大约在一周增加8-11个应用。”

从上述厂商代表的表述中不难看出，大家对于应用控制都相当看重。对于国内厂商来说，由于是土生土长，不论是应用库方面还是技术方面，对于本地的应用积累都处于较高水平。而国际厂商为了更适应中国发展，已经基本上都在中国设置了一到两个，甚至更多的研发中心来支持本土化应用的更新和应急响应。

理性看待产品 避免选择误区

虽然在过去两年中，下一代防火墙以无可阻挡之势席卷市场，摆出一付拯救天下的姿态，但是冷静过后不难发现，下一代防火墙还是有自己的问题存在。没有一个完美的产品，因为产品也都是在不断进化和发展的。这也是为什么NSS Labs在2013年最新报告中把2007年Gartner给出的NGFW定义称为第一代NGFW的原因。而事实上市场并没有十分认可这个定义。

随着越来越多的厂商进入下一代防火墙市场，会让这个市场变得愈发混乱。而混乱的原因正是大家在不断地争议什么样的功能应该被包含在NGFW中，而什么样的功能应该被排除在外等问题。

然而，这些问题都是业界考虑的问题，从指导用户进行产品采购方面来说，笔者更关心的还是目前下一代防火墙还能有哪些提升。只有知道了一款产品未来的发展方向，才能够帮助自己确定是否适合将其摆在自家网络出口两三年的时间。

陈超向笔者表示，下一代防火墙在用户体验与交互还需进行提升，产品要能使用户快速入手，并且从威胁发现到如何处理能让用户快速理解和反应，而不是让用户去考虑如何处理，甚至无从下手。其次，NGFW集成了更多的应用层安全防护，如果厂商不踏踏实实地做好安全威胁防护，一旦用户信赖了产品，反而威胁会很容易进入到用户的网络环境，那么后果和损失将不可估量。因此NGFW产品很大程度上要求安全厂商对技术不仅要踏踏实实做事，同时要追求精益求精。

殷浩也认为，目前市场上通用的NGFW确实已经解决了目前主流的安全威胁问题，但这还是远远不够的，安全一定不是百分百的。NGFW应该具备双向检测的能力，从攻击结果的角度出发，检测服务器外发的流量是否符合业务的合规性。另外，在产品的使用体验方面应用有更多智能的手段，让管理员能够更直观、更简单地发现业务风险，并对风险进行有效处理。

徐洪涛则认为，NGFW或者说下一代的安全平台，必然需要随着下一代网络和下一代应用的发展做出改变，而下一代网络发展的趋势是终端的移动化、服务的云化、威胁的零日化。目前来看一般厂商的下一代防火墙主要是在用户的身份控制和应用的控制上做了相应的增强，而对真正的威胁控制，以及云架构的安全防护上并没有一个跨越性的改变。因此，下一代防火墙应该更多地在零日威胁防御BYOD终端接入，以及云数据中心的防护上再下些功夫。

不久前，笔者有幸独家专访了Palo Alto 公司产品市场总监Chris King，在访谈中也问及了他认为下一代防火墙会有怎样的发展。Chris表示，NGFW的未来是将NGFW 使用到更多的地方。防火墙一开始部署在互联网网关，然后一步步扩展到 分支机构和数据中心等地方，Palo Alto的发展也是遵循这个路线。现在其设备已经部署在了数据中心和分支机构，并且还在大型企业中用来保护员工移动设备的安全。因此NGFW的发展方向将是在各个节点上取代传统防火墙。

而Palo Alto公司大中华区技术经理Jones Leung则向笔者表示，越来越多的厂商开始向客户提供下一代防火墙解决方案，但是许多产品还是需要进一步提升才行。首先，应用感知应当作为基本元素被集成到解决方案当中。很多供应商都在努力利用附加方式将其添加到现有方案当中，而这将导致用户无法将应用程序作为安全策略的一环加以利用，最终危害应用的安全运行。此外，这种做法还使应用程序无法作为如IPS及反恶意软件扫描等安全功能的触发变量。不过很多供应商仍然在利用四层式信息作为安全策略。其次，由于采用附加式方案，大多数供应商只能以较差的性能表现提供一部分NGFW相关功能，很多供应商甚至拒绝公布附加应用控制功能启用后的性能参数。最后，许多供应商只把注意力放在向现有方案添加应用控制功能上，而忽视了应对新安全威胁的创新型措施。一套NGFW解决方案应当始终拥有立即应对新挑战、新威胁的能力。

然而在另一方面，用户也需要保持理性，不能盲目认为下一代防火墙就各方面均优于传统防火墙。赛道安全论坛创办人随之感言，在赛道安全论坛排位首页的老牌防火墙厂商如思科、Check Point、Juniper、Fortinet、WatchGuard、Dell Sonicwall，没有哪个会说自己是上一代防火墙，他们各自基于深厚的传统与时俱进，某种程度上功能和性能均高于下一代防火墙。Palo Alto的创新在于融合深度包检测技术，提升防火墙实现从IP到ID的可视化控制，以及可预期的性能，而不是联动、云策略、虚拟化的花头。

诚然，性能降低令人烦恼，防护不佳又让人不安，是用性能换安全还是同步提升是一个永远的问题。

在选择下一代防火墙产品的时候须要注意以下三点：

1. 防火墙部署位置，服务器侧选云火墙防攻击要性能为上，企业出口选防火墙留心界面的可视操控感受;

2. 防火墙厂商的原始技术积累。其主要卖点是否与自己实际需求匹配，软硬资源有限，有这个功能不等于这个功能性能可用;

3. 产品服务提供商是否有专业性。是在大谈硬件架构、政策法规还是针对安全威胁设计具体策略，让硬盒子真正实现厂家在销售时曾经许诺的价值，还是要看专业经验与应用能力。

下一代防火墙如同下一代互联网一样，是现在进行时，是一个不断推进的过程。“产品趋向完美，服务无法拒绝;技术稳步提升，设计妙不可言”。这是做产品的愿景。常言道：选择有风险，用户须谨慎。祝各位好运。