现在的更是未来的——NGFW为应用而生

　　ZDNET至顶网安全频道 8月31日 专访：(天融信方案与推广副总裁刘辉)传统防火墙在上个世纪90年代就已经得到了广泛应用，种类比较多。而UTM概念是2004年IDC发表的，NGFW概念是2009年Gartner发表的。首先，这两个概念提出的时代不同，所定义的范畴也就有很大的不同。2009年的网络环境更加复杂，带宽、数据量都对网关安全产品提出了新的需求。所以，NGFW是满足现有需求的一种新的技术标准。但是，无论是UTM还是NGFW，首要条件都是要具备传统防火墙的功能，在此基础上再去集成一些应用。其中UTM主要包含防病毒、传统防火墙和IDS/IPS等功能;而NGFW是一个线速(wire-speed)网络安全处理平台，定位于企业网络防火墙(Enterprise Network Firewall，Firewall指宏观意义上的防火墙，这里的企业指的是大型企业，国内对应的大都归为行业用户范畴)市场。NGFW在功能上至少应当具备传统防火墙、支持与防火墙自动联动的集成化IPS、应用识别、控制与可视化、智能化联动这几个主要功能。NGFW更注重在Web2.0时代的客户体验，比如采用客户化的GUI，多核CPU并发处理等。随着企业的发展，需要更主动，更直观，更定制化，性能更高的安全产品，这是NGFW的特点。对于企业来说，NGFW更贴合现有网络环境，对企业业务保护更加全面，已经逐渐得到了大型企业的认同。

　　NGFW VS FW、IPS、UTM

　　随着业务、应用、需求的变化，防火墙的定义和功能也一直在变化，总体趋势是做一个功能更加丰富、性能更高的网关或防火墙。Gartner定义的NGFW标准在一定程度上反映了产业发展的状况以及用户需求的状况，但还存在一些不足。所以我们看到现在已经推出的不同品牌的NGFW产品存在着一些差异化。因为各个厂家对NGFW都有各自的理解，所以NGFW的定义还缺乏广泛性和权威性。在NGFW刚提出来时，比较适合企业级客户对应用的控制，不太适合大型IDC数据中心高性能的业务，所以对多环境支持不是很理想。在天融信看来，NGFW防火墙不仅仅要强调应用意识，还需要丰富的应用支撑功能，如SSL业务的支持，业务通道的流量优化等。所以天融信在开发NGFW防火墙时，加入了更丰富的应用保障功能，让防火墙更加智能，除了当“保安”，还能当“保姆”。

　　对于一款产品来说，都是针对“需求”而存在的，只要有市场需求，产品就会有生存的空间。NGFW满足了一部分行业用户的需求，拥有了广泛的市场空间，对于这些用户来说，可能就会取代之前的网络防火墙、IPS、UTM等产品，毕竟部署NGFW可以得到更好的应用效果。但是对于一些需求没有达到NGFW这个层面的用户来说，可能依然还会选择传统防火墙、IPS、UTM。举个例子，我们在生活中会去逛市场，有单独卖鞋子的商店，也有单独卖眼睛的商店，有面向中低端的综合超市，还有定位高端的百货商店。这些形态各异的商店都在满足着用户不同的消费需求。用户选择什么，也是根据自身需求和投入来确定的。无论UTM还是NGFW可能在未来一段时间内会并存下去。

　　下一代防火墙优势

　　NGFW产品一般都集成了多种安全引擎，使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS、虚拟防火墙等安全功能。这些功能将通过一个引擎进行检测，通过统一的界面控制，无论遇到那种威胁，智能管理系统都会执行相应的策略，用最有效的功能组合来阻挡入侵。相对于单独的安全产品堆砌来说，NGFW各项功能间的配合更紧密。比如入侵防御模块发现的威胁可以自动加载到防火墙规则内，在网络层就能提前被阻断，防火墙和入侵防御已经不仅仅是互动关系，而是一个整体。

　　根据企业需求部署网络安全网关产品是比较具有性价比的模式。对于中大型企业来说，NGFW的功能、性能、管理等方面都更胜一筹，所以是一种更好的选择。对于一些小企业来说，网络结构简单，安全问题不突出，则可以选择单一的安全产品或者是UTM。目前的NGFW还是以行业用户应用为主。

　　在网络安全产品是否融合的趋势时，天融信方案与推广副总裁刘辉表示，目前市场的总体趋势是集成。用户需要简单易用、节省空间的产品，这都是集成性产品的优势。单独的安全产品在部署和管理方面都比较麻烦，出现问题还不便于解决，在企业级市场慢慢会被淘汰，而在大型IDC数据中心，更加专项的产品仍将有市场。

　　天融信NGFW

　　天融信的NGFW产品集成了防火墙、VPN、带宽管理、防病毒、内容过滤等功能的，具有高性能、高可靠性、高安全性的特点，适用于金融、电信、教育等网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。由于采用了天融信自主知识产权的安全操作系统TOS (Topsec Operating System)，并采用模块化结构设计，既提高了产品性能，又提高了产品的灵活性、高效性和安全性。

　　天融信NGFW还提供了强大的网络应用控制功能，用户可以轻松的针对一些典型网络应用，如MSN、QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用，以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。

　　定制功能也是NGFW的一大特色，可以对用户所关心的网络应用进行全面控制。由于天融信NGFW同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。

　　天融信NGFW能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构，自身能够实现A/A部署和状态同步，能够实现动态的链路切换，同时提供了电源冗余功能，最大限度地满足了网络的健壮性及稳定性，保证了整个网络的不间断工作。