【IT168专稿】根据Gartner的调查数据，目前有超过75%的安全攻击都是针对各类应用的，而不是系统底层和网络。下一代防火墙关注的重点正是应用层的安全，作为紧跟时代潮流的一款安全产品，它在企业的应用现状如何?企业如何选型NGFW?企业对于下一代防火墙更多的期待是什么?为此，我们采访了绿盟科技产品推广经理黄海，由他来和我们分享下一代防火墙相关的话题。

▲绿盟科技产品推广经理黄海

　　下一代防火墙发展趋势及需求

　　目前，国内外的下一代防火墙的发展非常迅速，大部分安全厂商都发布了下一代防火墙产品，甚至包括一些在传统防火墙领域里的绝对领导者都在推下一代防火墙。而作为下一代防火墙的创新者PaloAlto更是快速的在Gartner魔力四象限里成为了企业防火墙市场的领导者。但从国内实际接受程度上看，下一代防火墙想替代传统防火墙还需要进行较多的市场投入。黄海表示，“让客户认识到下一代防火墙是能够给现有的安全管理带来改变是需要时间和金钱的。尤其是，中国市场相对海外可能会更加保守，市场化的完善程度也稍差，这些原因会导致下一代防火墙所蕴含的新理念和新技术在推行方面遇到更多障碍和阻力。”

　　黄海继续谈到，目前，从企业用户的需求来看，不断增长的下一代防火墙需求，反应出的是当前企业用户对高性价比的基础网络安全功能的需求。随着安全技术的进步和黑客文化的流行在不断的演变，十年前说到基础网络安全功能，很多企业客户想到的就是传统防火墙，能够划分安全域，能进行访问控制就行。但是近几年应用、僵尸网络、蠕虫、木马、APT攻击的泛滥都在不断的给很多企业客户敲响警钟，企业必须部署IPS和内容级安全设备来增加整个网络系统的安全防护和管控能力。但专业的IPS设备与传统防火墙设备相比可谓要价不菲，如果真的升级网络安全系统的话，对企业来说，它的资金消耗是非常庞大的。所以这个时候就需要有性价比更为优越的安全设备出现来解决企业客户在资金和安全需求之间的矛盾关系。所以下一代防火墙这个时候出现。

　　一款优秀的下一代防火墙应包括哪些内容?

　　黄海介绍说，首先要有优秀的应用层性能，这是衡量一款下一代防火墙设备好坏的关键;其次要有强大的入侵防护能力，入侵防护功能是是帮助企业客户免于蠕虫、木马等入侵技术的主要手段;再次需要一套能够快速更新的应用及内容识别系统，这是当前帮助企业客户应对应用泛滥和员工上网行为混乱的重要功能。

　　而下一代防火墙给用户带来最大的好处就是高性价比的基础网络安全功能。下一代防火墙在一台设备里面集成了传统防火墙、IPS、应用识别、内容过滤等功能既降低了整体网络安全系统的采购投入，又减去了多台设备接入网络带来的部署成本，还通过应用识别和用户管理等技术降低了管理人员的维护和管理成本。

　　下一代防火墙选型怎样做?

　　黄海谈到，“下一代防火墙选型最主要是要关注应用层性能，因为前面也提到了这是下一代防火墙产品的最大的价值，也决定了产品性价比。”目前，业界主要的应用性能测试主要是realworld流量测试方式，它是通过测试仪来模拟现实网络应用环境的一种测试技术，可以较好的来检验一台设备的应用层性能。

　　其次，要看产品在各个功能上完善程度，这一方面可以通过测试来验证，另一方面，为了避免麻烦可以通过调研厂家在各个功能上的积累来检验。

　　另外需要额外注意的一点是，很多企业客户在采购下一代防火墙的时候很有可能又会落入UTM设备的怪圈，因为安全功能的多少和性能高低之间基本上是一个反比的关系，现在很多功能众多的下一代防火墙实际上很UTM设备之间差异并不明显，真正将性能聚焦到重要的安全功能上才是一台好的下一代防火墙设备。

　　下一代防火墙未来发展趋势

　　从市场方面看，下一代防火墙产品会逐渐的替代传统防火墙，这种趋势一方面是由企业用户的需求所驱动，另外一方面也由厂家的技术发展来驱动。黄海表示，随着下一代防火墙替代传统防火墙的趋势越发明显，很多安全厂家都会主动将传统防火墙设备转型为下一代防火墙，这样传统防火墙会逐渐退出市场，可以使得下一代防火墙可以进入很多没有明确下一代防火墙需求的场景，比如内网隔离，这也就加速了整个行业趋势的发展。

　　从技术方面看，云是一种安全设备的普遍发展趋势，下一代防火墙也会逐渐的与云技术进行结合，比如基于云的检测技术，基于云平台的管理和维护，基于云和大数据的整网分析报告等等一系列技术都将是未来的行业发展方向。

　　另外一种技术趋势就是如何和NGIPS等全新下一代安全体系进行结合，这里会有多种技术发展方向，比如协同管理、威胁识别、下一代入侵分析等。