下一代防火墻的概念是五年前提出的，到了今天已經(jīng)由“過去將來式”轉(zhuǎn)變?yōu)椤艾F(xiàn)在進(jìn)行式”。經(jīng)過多年的實(shí)踐，下一代防火墻產(chǎn)品已進(jìn)入成熟期，在海內(nèi)外各個(gè)行業(yè)已經(jīng)有很多成功的應(yīng)用。知名咨詢機(jī)構(gòu)Gartner在《2014年企業(yè)防火墻魔力象限》報(bào)告中指出，下一代防火墻已經(jīng)成為網(wǎng)絡(luò)防火墻市場(chǎng)的領(lǐng)軍產(chǎn)品，并預(yù)測(cè)2014年企業(yè)在邊界防火墻的新采購中70%都會(huì)選擇下一代防火墻。面對(duì)這樣的市場(chǎng)熱潮，各廠商紛紛推出自己的下一代防火墻產(chǎn)品，但在實(shí)際的使用中表現(xiàn)卻參差不齊。企業(yè)在采購中必須擦亮眼睛，重點(diǎn)關(guān)注下一代防火墻幾個(gè)方面的表現(xiàn)。

　　第一，應(yīng)用識(shí)別的數(shù)量更多精度更準(zhǔn)。應(yīng)用識(shí)別也是下一代防火墻區(qū)別與傳統(tǒng)防火墻的重要特征，因此，識(shí)別數(shù)量和精度是判別下一代防火墻優(yōu)劣最重要的指標(biāo)之一。首先，應(yīng)用識(shí)別會(huì)用于訪問控制。安全制度嚴(yán)格的大企業(yè)，會(huì)基于應(yīng)用進(jìn)行訪問控制，僅放行必需的應(yīng)用。例如，僅允許網(wǎng)盤應(yīng)用的下載，但禁止向網(wǎng)盤上傳。這種情況下，識(shí)別數(shù)量和精度上的不足會(huì)直接影響業(yè)務(wù)。其次，應(yīng)用識(shí)別會(huì)用于業(yè)務(wù)帶寬管理和QoS優(yōu)化。例如，優(yōu)先轉(zhuǎn)發(fā)網(wǎng)頁瀏覽等高優(yōu)先級(jí)應(yīng)用流量，卻限制P2P等流量耗費(fèi)型應(yīng)用的應(yīng)用帶寬，將VoIP這類重要的業(yè)務(wù)流量轉(zhuǎn)向高質(zhì)量、有保障的鏈路通道。這些都依賴于應(yīng)用識(shí)別的能力。再次，應(yīng)用識(shí)別的結(jié)果還會(huì)用于后期的智能聯(lián)動(dòng)防護(hù)。例如：對(duì)Oracle流量進(jìn)行僅和Oracle相關(guān)特定漏洞的IPS防護(hù)，從而提升性能、降低誤報(bào)率。由此看來，應(yīng)用識(shí)別能力有限的下一代防火墻產(chǎn)品防護(hù)效果也有限，業(yè)界領(lǐng)先的產(chǎn)品的應(yīng)用識(shí)別數(shù)量基本在3000以上。

　　第二，功能全面性與應(yīng)用防護(hù)性能兼?zhèn)??？蛻粼谶x擇產(chǎn)品時(shí)常常僅看到功能的全面性，卻忽視了開啟這些功能后的性能，以至于購買的設(shè)備僅能作為傳統(tǒng)防火墻使用。這樣的下一代防火墻只是徒有其名，真實(shí)的能力只是和UTM差不多。下一代防火墻至少應(yīng)融合IPS的防護(hù)，各廠家根據(jù)各自的理解還集成了其他更多的功能。IPS是下一代防火墻的重要功能，優(yōu)秀的下一代防火墻產(chǎn)品開啟該功能后整機(jī)性能下降不應(yīng)超過50%。

　　第三，設(shè)備更加智能化，成為身邊的安全專家。這里說的易用性并不只是界面友好這么簡(jiǎn)單。下一代防火墻增加了應(yīng)用識(shí)別和IPS等更多功能后變的更加復(fù)雜，學(xué)習(xí)成本急劇增加。而安全設(shè)備非常依賴使用者的經(jīng)驗(yàn)和技能，如果沒有部署恰當(dāng)?shù)陌踩呗?，再好的設(shè)備也無法發(fā)揮作用。企業(yè)通常缺乏專職的安全管理員，沒有深厚的安全專業(yè)技能就很難做出正確的決策。這就要求下一代防火墻應(yīng)當(dāng)更加智能，從一個(gè)單純的策略執(zhí)行者轉(zhuǎn)變?yōu)槭褂谜呱磉叺陌踩珜＜?，輔助使用者做出決策。

　　當(dāng)前，很多企業(yè)在采購新的安全設(shè)備時(shí)都在考慮選擇下一代防火墻。在可以預(yù)見的未來，下一代防火墻將像智能手機(jī)取代功能手機(jī)一樣統(tǒng)治企業(yè)防火墻市場(chǎng)。企業(yè)需要選擇適合自己的下一代防火墻。