【IT168 评论】约5年前，一种叫做“下一代防火墙”(NGFW)的边界安全设备由权威机构定义而生;3年前，国外多家安全厂商开始发布类似的产品，同年，本土厂商也开始在国内试水NGFW;2年前，研制出业界第一台真正意义NGFW的Palo Alto Networks公司成功登陆纳斯达克，为防火墙产品的升级注入了一针强心剂;1年多前起，NGFW已在安全界正式引爆，不但成为当年所有业界盛会的焦点话题，同时也被所有安全厂商认可和热捧;2014年，产品革新的风潮逐渐回归理性，概念与本质的纷争也渐趋平静，我们开始重新思考，用户该如何在概念满天飞的年代，正确的选择一款NGFW呢?

　　一年一度的消费者权益保护日之际，笔者结合多年防火墙产品研究经验，从几方面为大家梳理专家眼中的各类”假”NGFW。

　　叫“NG“就一定是“下一代”吗?

　　安全至始至终是人类社会最关注的话题，2010年伊朗遭遇的“震网“病毒事件，使”新兴威胁“一词首次走入人们视线，随着近年来一系列网络攻击、信息泄密事件的曝光，网络安全从大众陌生的领域、到人们茶余饭后的谈资、再到今天被国家纳入了顶层设计范畴。

　　2013年，以棱镜门为代表的一系列信息安全事件，使不少本土安全厂商敏锐的捕捉到了网络安全空前的受重视程度，以及业界权威对于传统安全防护技术的广泛诟病，在这样的大形势下纷纷争相推出了所谓的更新换代产品，一时间“NGFW”、“NGUTM”、“NGIPS”等名词充斥着市场和广大媒体。

　　NGFW有其特有的概念和技术内涵，然而据专业人士爆料，国内目前宣称推出NGFW的厂商中，不乏“巧借名目”和“抢占高地”者。

　　不少厂商为了迅速抢占新的市场机会，并未将功夫下在产品的技术革新上，而是硬生生的将几年前推出的产品冠以“NG”开头的名称。研究这些产品的资料不难看出，事实上此类产品与传统安全设备相比只是换汤不换药，在其技术特性中根本读不到任何NGFW的基因。

　　更有甚者，一些厂商为给自己的产品带上“NG”的光环，不惜与广大用户做起了文字游戏，例如将“Net Guard”简写为“NG”，而并不是每一位用户都清楚，此“NG”非彼“NG”也。

　　功能多就是NGFW吗?

　　单从功能角度看，传统防火墙无法控制应用、不能拦截应用层威胁等问题，曾让不少人认为NGFW其实是一款集成了更多功能的防火墙，从NGFW的定义看，具备多种安全功能的确是其一个重要的价值取向。

　　不过，作为边界安全设备，NGFW与传统防火墙一样，往往部署于各安全域的边界处，最常见的应用场景莫过于内网和外网之间的边界。对于网络边界的安全而言，主要手段是对进出流量进行访问控制和安全检查。当然，随着应用的发展和威胁形式的演进，NGFW的访问控制已经提升至应用层，并且安全检查更多面向病毒、木马等应用层威胁。

　　这样的技术特点使得NGFW在功能上与先前业已存在的多种安全设备产生了一些共同点，例如上网行为管理同样可以进行应用控制、WAF(Web应用防火墙)同样可以防御特定类型的应用层威胁等。为此，NGFW的定义者Gartner曾不止一次的澄清，NGFW是一款融合(而非简单叠加)多种安全功能的边界安全设备，并明确指出NGFW不是UTM、WAF、网页过滤、上网行为管理等产品。

　　然而，个别厂商仍在借此误区进行着“偷换概念”的游戏，例如，有些厂商在防火墙的基础上重点加入了Web攻击防护功能，并同样冠以NGFW的名称。为了屏蔽市场竞争，在营销宣传时大肆鼓吹这种“非主流”的防火墙功能是下一代安全的必备要素，在市场上造成了极大的误导。而这种信息带来的负面影响还不仅仅体现在对用户产品选型时的误导，更严重的是令不少用户在进行安全建设时对技术架构的理解产生了较大的偏差，据了解，连不少开展信息安全建设较早的大型行业用户都片面的认为，“功能较多”的NGFW可以也应该解决从网络、到应用、再到数据的所有安全问题。

　　在笔者看来，为NGFW加入更多的技术防御手段，帮助用户建立更加完整的安全防线，这本是无可厚非的事情，但创新需有明确的方向，应充分考虑其技术合理性和实际使用价值，否则所谓的“卖点”其实只是用来蒙蔽用户的噱头。正如给微波炉加入电烤箱的功能对于用于而言是有益的，但给微波炉加入洗衣机的功能其实只是自欺欺人。

　　参数高就是NGFW吗?

　　性能差是传统安全设备的另一通病，在UTM盛行的时期，人们发现，纵使产品概念再好、功能再全，一旦设备上线后就会遇到实际的问题，例如安全功能不能同时开启，否则严重的性能衰减将直接导致设备不可用。

　　NGFW在定义时就明确指出，其不应再像UTM那样仅适用于小型网络环境，但是不是产品标称的参数越高就是真正的NGFW呢?笔者建议用户在考量一款NGFW性能时应更加理性的看待参数。

　　首先，网络威胁形式已经发生了显著变化，DDoS攻击盛行的时期防火墙需要有很强的抗攻击性能，主要是因为要应对高频度、大流量的攻击。而今后更流行的渗透型威胁，也许一个钓鱼链接、一个几百K的恶意软件就能够实现一次攻击。从某种角度讲，今后在选型防火墙产品时，性能保持适用原则即可，反倒是应更加关注其安全防御能力。

　　第二，NGFW的运作机理与传统防火墙相比已经发生了本质性的变化，应用层与网络层检测的性能开销不可同日而语，对于一款真正的NGFW而言，能够考量其性能高低的参数，应当是应用层的吞吐量、应用层协议的每秒新建连接数等。而目前大部分安全厂商的产品仍然仅使用UDP吞吐量、TCP每秒新建连接数等作为其性能考量标准，很大程度上是为了掩盖真实的应用层性能和严重的衰减趋势，这些并无太多参考价值的参数对于用户而言同样会成为选型当中的误导因素。

　　第三，NGFW并非像UTM那样在定义时就指出“用户可根据需要选择性的开启安全功能”，要实现更加全面的安全防护，则要求安全功能全开启，因此功能全开启后仍能保持较高的性能才是最具价值的。业界公认，一款真正的NGFW应使用一体化的安全引擎，开启个别功能和开启全部功能时的性能差别不应过大，并且在功能全开启后，性能衰减幅度应控制在50%左右。前面所描述的不少由UTM“过度”至NGFW的产品，由于先天性的架构问题，在实测环境中每开启一个安全功能，性能会衰减一大截，全部开启后性能只剩余原先的10%左右，这是此类“假”NGFW的又一个显著特征。

　　让安全消费更有“尊严”

　　传统安全防护技术“让坏人进不来”的理念已不再适用，从Gartner的定义来看，真正的NGFW应具备基于应用层、主动防御以及一体化融合三大技术基因，而支撑这些技术特点的，恰恰是一套强调更加主动、充分协作、技术支撑管理的全新安全理念。基于应用层能做到更加精细的访问控制，并对网络流量中的用户、类型甚至内容等属性实现全面的可视化，在此基础上辨别流量行为的异常，进而实现对未知威胁的主动防御，当然，NGFW不再是将各个功能串联起来各自为战的安全体系，一体化的融合有助于各功能的协同工作，从而提升安全检测效率。

　　综合以上，简单叠加多种功能、或一味强调设备的高性能，均不是NGFW的价值体现，真正的NGFW是一款基于应用层重构安全防线，并彻底颠覆传统安全理念及用户使用习惯的新一代边界安全设备。NGFW的创新有助于改善传统安全设备在应对新兴威胁时的乏力表现，但必须强调，产品名称其实只是个代号， NGFW代表了当今边界安全防护最新的理念和技术，但同样不能带来绝对意义上的安全，也不可能是防火墙产品的终极形态。

　　专家呼吁，安全厂商在推广“下一代”产品时，应多几分务实的技术创新，少一些混淆视听、甚至不负责任的营销宣传，切实把提升用户的安全水平放在首位，让用户的安全消费更有“尊严”!