第三方独立测试、分析、咨询机构格物资讯的创始人韩勖(网络ID：学生小韩)：“面对错综复杂的互联网应用发展趋势，NGFW必须更智能、更精准，才能让用户更省心、更安全。”

▲第三方独立测试、分析、咨询机构格物资讯的创始人韩勖

　　我坦白现在已经看不懂NGFW了，并且最近一直为此感到困惑。正好有机会向PaloAlto Networks的毛总请教了两个问题：1、在产品层面UTM和NGFW到底有啥不同？2、贵司如何用简单易懂的方式告诉用户NGFW的作用？

　　毛总是这样回答的：

　　NGFW和UTM所面对的问题是一样的，但体系结构使它们在有效性、可用性和可管理性上的表现大不一样。UTM要赶上，必须做很大改进来满足Gartner对NGFW的要求。NGFW在功能细粒度和深度上的要求是明显高于UTM产品的。举个例子，用户使用Google Service，入口是Gmail，那UTM通常只识别成WebMail-Gmail，后续的安全防护手段也随之确定。但在实际应用中，同一个连接承载的业务是不唯一的，也许Gmail转变成Gtalk，然后又变成共享应用，需要对应到不同的安全防护手段。所以现实要求应用识别不能基于一个点，必须时时刻刻都在进行，否则会在管理和安全防护方面留下漏洞。而这，只有NGFW才能做到。

　　我个人比较认同这个解读。面对错综复杂的互联网应用发展趋势，NGFW必须更智能、更精准，才能让用户更省心、更安全。不过显然不是所有号称NGFW的产品都能做到这一点，有的甚至没有满足最基本的定义，让用户对NGFW印象不佳。毛总提到的这个应用场景很经典，也许用户在评估NGFW的时候可以借鉴。

　　PaloAlto Networks对用户的宣导方式很简单，就是从业务而非产品本身入手。举个例子，现在邮件安全的解决方案比较成熟，可以基于信誉，可以基于算法判别，也可以做病毒扫描等等，是多层立体的安全防护体系。PaloAlto Networks的NGFW产品做了拓展，能为用户提供全业务的立体防护，可以让用户在Web浏览、即时通信、文件传输等主流应用中享受到与邮件一样的全面安全防护。因为涉及到的业务场景多种多样，不同的NGFW产品在细节上会体现出差异。

　　这个角度很有新意，从业务入手可以让用户少关注技术实现，多关注实用效果，把选型从攀比规格的怪圈中解放出来。以前总觉得NGFW比UTM多了应用识别和控制，对应到产品形态上就是加入应用防火墙或流控功能，却没想到DPI对安全业务的整体支撑。

　　本页内容引用自：http://www.gawainresearch.com/blog/293.html