下一代防火墙国内首先冲击上网行为管理市场

　　ZDNET至顶网安全频道 9月1日 专访：(启明星辰边界安全产品部副经理马骏)下一代防火墙的定义目标比较明确，针对应用安全。在功能模块组成上，Gartner并未明确规定功能细节组成，定义的功能覆盖比较合理。我们认为NGFW的发展诉求应该是，把传统防火墙将访问控制对象从网络层、传输层(L3~L4)调整为应用层(L7)协议。因此，对于NGFW的主要基础不再是各个模块协同工作，而是依托于网络应用的识别能力来实施安全访问控制措施。从这一点上，虽然技术和知识上存在相通性，但由于访问控制对象的不同，使NGFW与UTM在系统设计方面会存在本质差异。NGFW定义更强调应用识别能力、用户行为管理和应用安全，提供面向应用控制的网关安全防护，但UTM针对整个内网强调全方位的安全能力，提供比较适中的，具有更高性价比的网关安全防护。UTM与NGFW相比，还可提供VPN、SSL、反垃圾邮件、防病毒、防攻击、内网管理等针对于内网的安全防护能力。从目前来看，还没有一个厂商可以实现UTM、NGFW特性高效融合的案例，更多还是在应用、安全分别各自见长。

　　NGFW与FW、UTM最大的不同在于，NGFW更多的考虑了用户在上网行为管理方面的诉求，加强了应用识别、细粒度控制和展示，适合于关注上网行为管理的用户群。就目前了解到的市场情况而言，NGFW在其他功能方面和性能方面并未有足够多的差异化优势，表现出来的情况就是，NGFW集成的功能越来越多，已经完全超过了Gartner的定义，与UTM也越来越像(尽管前面提到“NGFW与UTM在系统设计方面会存在本质差异”，但二者在功能方面却越来越类似)，对最终用户而言，选择一款适合自己业务需求的产品才是硬道理。

　　NGFW从功能上满足了用户多个层次的安全需求(如FW、IPS及应用访问控制)，可以简化企业边界安全部署。从架构上来说，NGFW仍属于边界安全产品，对于传统安全架构影响不大。对于新建网络来说，部署NGFW比较简单;但是在网络改造过程中的替代部署，则需要企业与厂商仔细评估NGFW对原设备功能的替代度。这里举一个例子，原有FW系统支持VPN，这就需要评价NGFW的VPN协议的支持、隧道数的支持、用户数的支持、算法的支持、认证模式等多项指标。企业在向NGFW迁移时，首先要考虑自身的边界安全需求，包括性能及功能两个方面，现有的NGFW是否能够替代原有多个安全设备，能否满足新的安全需求?如果不能完全替换，则需考虑跟NGFW如何配合使用，以及在配合使用下的综合运营成本，不能简单考虑只是设备的替换。

　　NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求，国内安全厂商对专用硬件平台的驾驭能力会一定程度影响NGFW产品在国内市场化的发展。不论是UTM还是NGFW，其硬件平台的选择大致雷同，比如多核、X86、ASIC等承载平台。在没有颠覆性软硬件技术革新网关商用模式的前提下，UTM、NGFW之间还难以形成替代关系，只是会出现用户更迫切解决什么问题。而二者差异的存在，使其在部署上反而会存在一定的互补性，在网络边界形成安全网关网发挥各自优势，满足用户的多维度需求。

　　回到下一代防火墙的核心功能，面对网络入侵的表现。启明星辰边界安全产品部副经理马骏告诉记者，网络入侵往往包含了多种攻击手段，从攻击过程来看，是一个动态的、长期的、变化的过程，涉及人员、网络、设备、操作系统、应用系统多个方面。从纵深防御体系来看，NGFW是定位在边界防御，考量NGFW的重要指标在于其全面防御能力以及事件库的更新速度，这方面取决于厂商在漏洞研究、漏洞验证、入侵检测、快速响应、硬件整合等多方面的能力，是厂商综合能力的体现。专业设备在这方面目前做得很成熟，并已经获得市场和用户的认可。在NGFW上还需要时间和市场应用的检验。

　　在问到NGFW在国内市场的应用前景时，马骏表示，NGFW将对传统FW市场、UTM市场、上网行为管理市场和IPS市场产生冲击，国内各传统安全设备厂商会根据NGFW的冲击不断调整自身产品形态，将一定程度影响到国内网关市场的调整与分布。NGFW的出现是紧跟应用安全需求下的产物，NGFW的应用层访问控制跟上网行为管理没有本质区别，在国内最可能首先冲击上网行为管理市场，最终替代上网行为管理产品，与FW、UTM和IPS产品形成新的市场布局。