随着互联网应用的日益普及，网络安全问题已经关系到网络应用的深入发展。尤其在当前数据中心和云计算的环境下，用户的数据越来越多，云计算的环境越来越开放，这对传统网络安全架构提出了新的挑战，同时也要求防火墙设备适应云计算的新功能。开放的环境需要防火墙能够识别网络上的各种应用和每个用户。面对网络的高速发展，应用的不断增多，用户需求助力“下一代防火墙（Next Generation Firewall）”发展热潮。如今热潮渐退，人们开始深思和远虑，NGFW 与 UTM 未来将如何发展？企业在选型下一代防火墙最注重什么？未来到底还需不需要防火墙？

　　NGFW VS UTM 谁将替代谁？

　　Gartner统计表明高达3/4的网络威胁是基于应用层而非网络层的，而基于网络层的传统防火墙愈发力不从心。集成多种安全功能的UTM面世已久但效率底下，NGFW的出世能否挑起大梁呢？

　　目前网络上可搜索到的下一代防火墙公司很多，虽然概念不一但总结起来有以下要素：第一，下一代防火墙可根据应用行为和特征实现对应用的识别和控制；第二它涵盖了传统防火墙、UTM、IPS的主要功能；第三，具备智能的流量管理控制和策略配合。

　　相对于传统的防火墙，UTM提供的更多的安全功能，但致命缺陷是处理效率低下，特别是在开启多种扫描功能时，性能会极端下降，甚至下降半成以上。因为UTM在设计之初主要针对中小型网络，理念上是不需要用户开启全部功能。这一诟病一直困扰着UTM厂商。对此UTM生成厂商飞塔公司表示，UTM早已升级换代，目前的技术不但可以适应中小型网络，而且完全可以应用在大型网络中。梭子鱼WAF产品经理潘渊向记者介绍说，在功能上，NGFW和UTM是没有明显差别，但其天生缺陷是不能独立的放在网关处，它需要部署在防火墙的后方。

　　虽然UTM存在先天不足，下一代防火墙具备后天优势，但是UTM的概念已经深入客户，特别是UTM升级后具备了新功能，包括反病毒、反垃圾邮件、内容过滤、防数据泄露等，可以说现有UTM产品足以稳固了现有的中小企业用户，同时应用在大型行业用户也不成问题。NGFW与UTM在未来的一段时间内是替代还是并存，这可能取决于用户的自身需求和投入的选择。不过根据IDC对UTM市场的检测显示，从2009年开始，UTM设备市场整体呈下滑趋势，原因在于市场在不断分化，生产厂家对UTM的技术投入逐年减少或者有其他技术的替代，尤其NGFW技术，目前各大厂商力推的下一代防火墙概念，“可以说下一代防火墙产品在吞噬者UTM的市场”，潘渊说道。

　　对比IDC对UTM的检测结果，Gartner预测2014年底，NGFW将占有防火墙（以及IPS）市场的60%，可谓发展势头强劲，各个安全厂商跟紧步伐不甘落后。目前下一代防火墙市场上SonicWALL、Check Point、juniper、梭子鱼、深信服、锐捷网络、Palo Alto Networks等网络安全厂商纷纷推出产品解决方法，NGWF市场可谓遍地开花，于此同时飞塔、安畅易、青岛思睿仍然坚守UTM阵地，稳步发展。不管市场如何变化，有一个宗旨是不会变的：用户只关心产品能否帮助他们解决新环境下的安全隐患。相信性能完善、功能齐全、便于管理的网安产品都能受到用户的青睐。

　　企业如何hold住网络威胁

　　传统的网络威胁已经改变，新的威胁狡猾地入侵你的网络。例如僵尸网络和目标攻击发展多变，时刻威胁着企业网络。企业如何Hold住这些网络威胁呢？对于中小企业来说，由于其网络结构简单，安全问题不凸显，所以需求容易被满足。NGFW作为Internet安全网关，在部署和维护上有优势显著，中小企业可以优先选择适合自己的防火墙产品；对于大中型企业来说，随着正常的防火墙与IPS更新循环的到来，这些企业逐步采用下一代防火墙来代替现有的防火墙，或者因遭受攻击或者为满足宽度需求而升级防火墙。总之，当前企业开始尝试重构其网络防御体系，适时部署适合自己的下一代防火墙产品。那么企业重构和部署时，如何选型NGWF呢？

　　企业在选型下一代防火墙时应该从自身的需要角度出发，在提供应用识别、访问控制，入侵防御等基本功能的基础上，衡量升级的及时性、管理界面的友好度、技术支持能力是否满足需求指标。潘渊特别强调，“企业在选型时需要考虑的网络管理的因素，如果防火墙的数量较多，例如在大型网络的很多区域或者很多点都部署防火墙设备，那么每一台设备维护的成本和可操作性都需要考虑。”目前梭子鱼NGWF可以通过中央控制统一管理，无论信息化管理人员身处何地，都可以图形化的控制网络设备，简单直观而且便捷。此外，SonicWAll表示，易管理性、应用智能、控制和可视化以及强大的扫描功能是企业评估NGFW的重要尺度。

　　云计算代表着防火墙终结？

　　随着越来越多的企业将很多的信息和很多应用程序转移到云计算，云供应商提供的安全水平成为热门话题。人们现在开始考虑，在未来的几年或者几十年后，信息被高度集中在云中，基于防火墙的信息保护可能是完全没有必要的。未来到底还需不需要防火墙？NGFW是防火墙的终结会被迫退出历史舞台还是会被超越，再铸辉煌？

　　SonicWAll在采访中表示，因为任何的事情都有两面性，例如GPS技术，它能帮助用户熟悉新环境，但又可以随时泄露位置信息。我们不能怕泄露信息就放弃使用GPS。所以在云计算背景下，要研究如何使用防火墙技术，不能因为防火墙技术有缺点，就放弃这项技术。锐捷网络产品总监杨红飞认为，下一代的安全业务平台，应具备高性能、多业务特征，支持通过软件、硬件方式灵活扩展真正做到随需而动。NGWF能否坐上云计算这班高速列车、抓住机遇，还需要克服诸多挑战。潘渊从用户的角度给出了另外一个答案：防火墙架设在本地还是云端，对用户来讲，变化在于从设备安全转为服务安全。只要能够提供安全防护，用户并不关心网关架设在哪里。最重要的是下一代防火墙如何适应云计算的新功能，快速融入云计算，为用户提供安全防护的铜墙铁壁。