【IT168 评论】下一代防火墙已经推出了一段时间，目前，企业用户目前对于NGFW的需求大多是因为传统安全设备无法满足他们对安全产品的要求产生的。深信服安全产品部王帆表示，我们经常听到用户在使用安全产品时的有很多的抱怨，我们可以根据用户对传统产品的不满来分析企业用户对下一代的安全产品到底有什么期待。

　　第一：“防火墙、IPS等策略太复杂，真的很难看懂!”

　　这个问题事实上是因为，FW、IPS的策略基于IP和端口，均是基于产品技术。而用户的思路是有什么流量、有什么应用、谁可以访问，具备可视性的产品才可以提升用户体验。所以看得懂、管得住是企业用户对NG的期待。

　　第二：“没太多的实际价值，真发生攻击很难防得住”

　　事实上没有绝对的安全，安全产品只能提升安全级别，提供完整的安全防护，消除短板来提高安全水准。但传统安全产品仅检测外部攻击，这是不够的。换个角度，用户更关注产生的后果，检测服务器、终端外发流量是否合规可以提升安全的等级。所以，不仅要提供L2-7层完整的防护，还需要从业务的合规性去判断威胁所在。

　　第三：“IPS、Waf这些产品没有厂商支持，我们也很难用好”

　　这个问题其实也比较好解释，大部分的安全问题都来自于安全策略部署不当产生的，但安全策略部署的针对性一直是困扰国内用户的问题，针对性的部署策略提升策略有效性通常得到厂商支持，并且理解用户的业务才能管理好。所以NGFW应该是更智能、用户更容易使用的安全产品，智能管理可以帮助用户减少对产品的运维管理，解决一部分这类问题。

　　第四：“应用安全是很重要，但数据中心核心业务不敢用，性能达不到要求”

　　这个问题也是在企业规模比较大的用户处经常听到的，应用层的安全设备包括UTM等产品，在应用层重复拆包可能会导致性能下降，在数据中心以及核心业务很多用户并不敢部署。通过软硬件构架提升应用层性能，才可以将应用安全产品部署在最核心的数据中心。NGFW要部署进用户业务的核心区域，应用层性能必不可少。

　　王帆表示，“一款优秀的NGFW至少应该包括可视(由技术上实现流量可视、L2-L7风险可视，最终实现安全管理的可视化)、融合(融合是现在安全产品发展的一个必然趋势)、双向、(可以检测进出NGFW的流量中包含的威胁)智能(模块间的联动，风险评估与策略联动，自动建模、也包括APT的关联分析)。”

　　下一代防火墙给企业带来的核心价值主要由其两个重要的特点带来，王帆介绍到，首先从防护的角度：能够提供完整的应用层安全防护，消除安全威胁的短板;即使被攻击了，也能从攻击产生后果的角度，检测内到外的流量，防止信息泄露等;二是从用户的角度：能够尽可能的降低用户在安全建设的投入、管理以及运维成本。

　　王帆谈到，目前下一代防火墙市场并没有完全规范，会出现一些鱼龙混杂的现象。企业用户在选择下一代防火墙时，一定要注意评估下一代防火墙功能是否符合自身需求，区分下一代防火墙，每个功能模块是否专业，是否具备权威机构的认证，厂商是否具备持续投入、持续更新的能力。可以通过实际测试，和对厂商的更多的了解进行权衡。

　　谈及下一代防火墙未来发展趋势，王帆表示，“经过两年多的发展，我们实实在在的看到大家逐步在认可这个品类，越来越多的用户逐步从不了解、不敢用的观望态度到逐步转变到应用并广泛应用下一代防火墙。此外，下一代防火墙也获得更多的权威机构、媒体的认可。越来越多的厂商也逐步由质疑、观望到发布自己的下一代防火墙产品。并通过实际使用，下一代防火墙会让越来越多的用户感受到这款产品给企业带来的价值。”