前些日子，跟一(one)個(indivual)客戶彙報安全方案。會議快結束時(hour)候，随口問了(Got it)一(one)句：您爲(for)什麽要(want)選擇購買下一(one)代防火牆？在(exist)提這(this)個(indivual)問題時(hour)候，我(I)設想了(Got it)幾種客戶可能會給的(of)答案，類似性價比高，安全性高，性能強……但是(yes)客戶最終的(of)回答卻出(out)乎我(I)意料：既然要(want)買防火牆，爲(for)什麽不(No)選擇“下一(one)代”防火牆呢？客戶這(this)個(indivual)反問式的(of)回答出(out)乎我(I)意料，做一(one)個(indivual)簡單類比就是(yes)如果你現在(exist)選擇夠買蘋果手機，新版iPhone 7來(Come)了(Got it)，你還會去選擇買一(one)個(indivual)6S嗎？這(this)個(indivual)邏輯看似簡簡單明了(Got it)，但問題是(yes)如何購買一(one)款真正下一(one)代防火牆？

       尤其是(yes)這(this)幾年，國(country)内很多廠商紛紛推出(out)了(Got it)自己的(of)下一(one)代防火牆，其中不(No)乏“巧借名目”和(and)“搶占高地(land)”者。研究這(this)些産品資料也不(No)難看出(out)，此類産品與傳統防火牆相比隻是(yes)換湯不(No)換藥，在(exist)其技術特性中根本讀不(No)到(arrive)任何NGFW的(of)基因，隻是(yes)将幾年前推出(out)的(of)傳統防火牆冠以(by)“NG”開頭的(of)名稱而已。這(this)個(indivual)時(hour)候就需要(want)我(I)們(them)客戶有一(one)雙慧眼，能夠識别出(out)真正的(of)下一(one)代防火牆，能夠認清傳統防火牆，UTM，下一(one)代防火牆之間差别。

       下一(one)代防火牆 ≠ （傳統防火牆+ 應用(use)可視）

       “下一(one)代”這(this)似乎是(yes)個(indivual)飽含炒作(do)意味的(of)詞彙，但是(yes)它代表了(Got it)多功能、高性能，也是(yes)對于(At)傳統設備軟件和(and)硬件技術的(of)革新。顧名思義有“下一(one)代”必然有上(superior)一(one)代，也就是(yes)傳統防火牆。

       根據Gartner的(of)定義，最初下一(one)代防火牆隻是(yes)強調應用(use)識别、深度集成IPS等基礎能力，而之後一(one)段時(hour)期則開始關注管理分析能力、性能、抗攻擊逃逸能力的(of)提升，最近及未來(Come)一(one)段時(hour)間内，随着以(by)威脅情報、大(big)數據等爲(for)代表的(of)前沿安全技術的(of)成熟，則開始強調與這(this)些外部智能系統、其他(he)安全産品的(of)聯動協同。因此，相較于(At)傳統防火牆，NGFW會以(by)全局視角解決用(use)戶網絡面臨的(of)實際問題，不(No)是(yes)簡單的(of)功能堆砌和(and)性能疊加，而是(yes)真正的(of)集成，貼切網絡環境與用(use)戶需求。

       從Gartner對NGFW定義這(this)張圖看，“下一(one)代防火牆”安全能力内涵和(and)外延，早已遠遠超過二十多年前定義“防火牆”品類時(hour)所界定的(of)範疇，下一(one)代防火牆應該是(yes)邊界防禦領域一(one)個(indivual)新的(of)産品品類，隻是(yes)截至目前，尚未想到(arrive)更好的(of)概念名詞去描述它。因此下一(one)代防火牆絕對不(No)是(yes)某些廠商宣傳一(one)樣，約等于(At)傳統防火牆加上(superior)應用(use)可視化這(this)麽簡單。

       更何況，近年來(Come)一(one)些廠商将越來(Come)越炫酷的(of)UI界面或各類TOP 10排名灌之以(by)深度可視化的(of)名頭，這(this)是(yes)典型的(of)将visualization理解成了(Got it)visibility。可視化不(No)是(yes)簡單的(of)将數據圖形化呈現，不(No)是(yes)日志信息的(of)簡單分類和(and)歸集，而是(yes)深度挖掘這(this)些原始數據素材之後的(of)内在(exist)關聯，以(by)全局視角幫助網絡管理者看清各種威脅，看清攻擊事件的(of)全貌，幫助了(Got it)解攻擊者的(of)真正意圖和(and)目标。

       下一(one)代防火牆 ≠UTM

       另外，說到(arrive)下一(one)代防火牆和(and)UTM的(of)差别，必須要(want)澄清一(one)個(indivual)概念，“下一(one)代防火牆” 并不(No)是(yes)前些年市場上(superior)流行的(of)“統一(one)威脅管理（UTM）”。

       UTM誕生(born)的(of)時(hour)間更早，推向市場的(of)背景是(yes)爲(for)了(Got it)降低中小企業用(use)戶以(by)及低預算用(use)戶的(of)總體擁有成本，所以(by)UTM在(exist)防火牆平台的(of)基礎上(superior)集成了(Got it)盡可能多的(of)安全功能，可能包括上(superior)網行爲(for)管理、入侵防禦、Web攻擊防護、病毒防護、垃圾郵件過濾、URL過濾等功能。在(exist)未來(Come)，UTM仍然會不(No)斷的(of)集成更多新的(of)安全功能，而這(this)樣的(of)産品設計很難避免多功能堆砌的(of)架構，這(this)決定了(Got it)UTM性能可預測性差、功能融合度低等技術特點。

       相比而言，下一(one)代防火牆的(of)定義中明确指出(out)，它并不(No)是(yes)僅面向中小企業的(of)“多功能防火牆”，NGFW必須要(want)适應大(big)企業環境的(of)要(want)求。盡管NGFW也集成了(Got it)IPS、AV等安全功能，但并不(No)是(yes)以(by)提升産品性價比爲(for)主要(want)目的(of)。這(this)種集成不(No)是(yes)功能模塊和(and)引擎的(of)堆砌，而是(yes)一(one)種深度的(of)集成，将各種安全功能融入一(one)個(indivual)獨立的(of)架構中，而不(No)是(yes)簡單的(of)将多個(indivual)安全設備堆疊到(arrive)一(one)起，塞進叫防火牆的(of)外殼裏。這(this)一(one)切的(of)主要(want)目的(of)，則是(yes)爲(for)了(Got it)提升安全檢測效率和(and)安全防護水平。

       所以(by)，NGFW不(No)是(yes)像UTM那樣簡單的(of)擴展功能模塊，此外各安全模塊也不(No)像UTM那樣各自爲(for)戰，而是(yes)各安全模塊間可開展有機聯動，各模塊産生(born)的(of)信息可實現全維度關聯，使NGFW具備強大(big)的(of)模塊間安全協同能力和(and)威脅情報聚合能力。舉個(indivual)簡單類比，UTM功能集合更像是(yes)簡單的(of)1+1=2甚至是(yes)1+1<2，而NGFW則是(yes)1+1>2。

       大(big)家可能都聽說過一(one)個(indivual)和(and)尚挑水喝，兩個(indivual)和(and)尚擡水喝的(of)故事，這(this)個(indivual)故事除了(Got it)告訴我(I)們(them)分配制度重要(want)性以(by)外，還有一(one)個(indivual)寓意就是(yes)1+1可能小于(At)2，從左圖中我(I)們(them)也可以(by)看出(out)一(one)個(indivual)和(and)尚的(of)挑水量是(yes)兩個(indivual)和(and)尚挑水量的(of)兩倍。而UTM正如右圖顯示那樣，它雖然堆砌式地(land)集成了(Got it)很多功能，但是(yes)集成各個(indivual)功能都不(No)完善，都有其不(No)可逃避的(of)缺陷。設想幾個(indivual)并不(No)太完整的(of)功能簡單疊加在(exist)一(one)起，不(No)正猶如一(one)個(indivual)瞎子背着瘸子過河一(one)般嗎？這(this)顯然是(yes)不(No)可能快速過河，甚至兩個(indivual)人(people)都會掉進河裏。這(this)張圖就是(yes)對UTM性能可預測性差、功能融合度低的(of)最好體現。

       下一(one)代防火牆選型知多少？

       如 今的(of)市場上(superior)有不(No)少廠商都宣稱自己是(yes)下一(one)代防火牆，如何選擇一(one)款真正下一(one)代防火牆還是(yes)一(one)個(indivual)複雜工作(do)。筆者建議從下面幾個(indivual)下一(one)代防火牆标簽進行考慮：下一(one)代防 火牆的(of)幾個(indivual)比較顯著的(of)标簽是(yes)：基于(At)應用(use)層構建安全、主動防禦、多威脅檢測機制智能融合，與這(this)些标簽相對應的(of)參數或考量标準主要(want)體現在(exist)以(by)下幾點：應用(use)識别的(of) 廣度和(and)深度以(by)及與本土用(use)戶使用(use)習慣的(of)契合度;可視化及智能分析的(of)能力和(and)操作(do)體驗;功能全開啓後的(of)性能以(by)及性能衰減趨勢。具體來(Come)說，企業在(exist)選型時(hour)候需要(want)重點關注下一(one)代防火牆幾個(indivual)方面的(of)表現：

       首先是(yes)應用(use)識别的(of)能力：既要(want)廣度更要(want)深度

       識别的(of)廣度和(and)深度是(yes)應用(use)識别最重要(want)的(of)指标，也是(yes)下一(one)代防火牆區别于(At)傳統防火牆的(of)重要(want)特征。在(exist)應用(use)識别廣度方面，業界領先的(of)NGFW産品應用(use)識别數量基本在(exist)3000以(by)上(superior)。類似網康等專注于(At)應用(use)領域技術的(of)廠商，目前應用(use)識别數量應該都在(exist)4000以(by)上(superior)。除了(Got it)識别數量足夠廣之外，識别深度也更爲(for)重要(want)。例如，企業可能會僅允許QQ聊天，但禁止QQ遊戲；對跑在(exist)HTTP上(superior)的(of)應用(use)，能夠精準識别出(out)該應用(use)的(of)具體用(use)途；同時(hour)，能夠從逃逸，帶寬等多個(indivual)維度去判斷應用(use)屬性是(yes)否安全，比如限制P2P等流量耗費型且安全性不(No)高的(of)應用(use)帶寬。同時(hour)，應用(use)識别的(of)結果還将提高後期智能聯動的(of)防護效率，例如：SQL Server流量僅和(and)SQL Server相關特定漏洞進行IPS防護，從而提升性能，降低誤報率。

       其次是(yes)功能與性能兼備：功能完備性不(No)能以(by)顯著的(of)性能衰減爲(for)代價

       下一(one)代防火牆至少應融合IPS的(of)防護，同時(hour)各廠家根據各自的(of)理解還集成了(Got it)其他(he)更多的(of)功能，但是(yes)有的(of)廠商集成過多功能，甚至是(yes)集成Web應用(use)防火牆這(this)樣産品功能，嚴重導緻NGFW性能下降，甚至出(out)現死機現象。因此客戶在(exist)選擇産品時(hour)千萬不(No)能僅看到(arrive)功能的(of)全面性，卻忽視了(Got it)開啓這(this)些功能後的(of)性能衰減。不(No)然後期隻能被迫禁用(use)一(one)些應用(use)層防護的(of)功能模塊，導緻下一(one)代防火牆變成了(Got it)傳統防火牆或者UTM。業内權威機構認爲(for)，優秀的(of)下一(one)代防火牆産品開啓IPS功能後整機性能下降不(No)應超過50%。

       最後是(yes)可視化（visibility）和(and)智能分析能力

       随着網絡快速發展，各式各樣複雜威脅層出(out)不(No)窮，用(use)戶需要(want)更加及時(hour)的(of)掌握網絡現狀、風險、威脅、事件以(by)及防禦效果等用(use)于(At)支撐安全決策。這(this)就需要(want)下一(one)代防火牆具備良好的(of)可視化和(and)智能分析能力，幫助用(use)戶看得清威脅，防得住攻擊。因此，真正的(of)“可視化智能管理”應 該是(yes)在(exist)多維統計的(of)基礎上(superior)加以(by)深入的(of)分析，從應用(use)和(and)用(use)戶視角多層面的(of)将網絡應用(use)的(of)狀态展現出(out)來(Come)。同時(hour)，通過引入外部威脅情報，實現安全态勢感知和(and)風險預測功 能，解決單機設備與生(born)俱來(Come)的(of)短闆，以(by)幫助用(use)戶更加快速的(of)了(Got it)解網絡風險并及時(hour)部署防禦措施。總而言之，看得清，看得全，看得透，才能讓安全看得見！