新边界安全中所定义的新边界包括网络安全边界、应用安全边界、数据安全边界、内容安全边界以及云计算安全边界五大部分。其中，网络安全边界已逐步向应用安全边界发酵并转化，传统的防火墙也在逐步向应用级智能防火墙发展。在Gartner看来，NGFW是一个线速(Wire-Speed)网络安全处理平台，定位于企业网络防火墙(Enterprise Network Firewall，Firewall指宏观意义上的防火墙)市场。在网御星云看来，NGFW+则是一个高性能多线程专用平台，通过应用感控技术进行识别，同时能进行智能流量控制的综合型下一代防火墙，定位于政府、行业以及电信级防火墙(Government、Industry、Telecom)市场。

　　一、市场NGFW属性

　　•传统FW属性：NGFW必须拥有传统防火墙所提供的所有功能，如基于连接状态的访问控制、NAT、VPN、HA等等。虽然我们总是在说传统防火墙已经不能满足用户需求，但它仍然是一种无可替代的基础性访问控制手段。

　　•六元组属性：网御提供了一个全网络视图的六元组安全策略，其与以往的五元组相比，最大的优势在于可使得管理员能够基于实时情况、应用ID定义安全策略。同时，此策略还可以辨别出来自同一网站的不同应用并且可以启用服务质量选项为这些应用优先分配带宽。在访问控制基础上取得了质的飞跃。

　　•云防御属性：云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端，实现立体全面的防护。

　　•应用感控属性：NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性，但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。

　　•智能联动属性：获取来自“防火墙外面”的信息，做出更合理的访问控制，例如从域控制器上获取用户身份信息，将权限与访问控制策略联系起来，或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡，而不再浪费IPS或其他产品的资源去判定。我们理解这个“外面”也可以是NGFW+本体内的其他安全业务，它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系，实现自动联动的效果。

　　二、NGFW直面UTM

　　需要注意的是，不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度，势必要根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异，同时更像一个大而全的集中化解决方案，给用户造成了很混乱的印象。用户大多数会产生同一个疑问：NGFW是不是相当于一个加强型的UTM?

　　实际上，这里提到的NGFW和UTM都是对厂商包装后的产品的认知，已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。它简单明了，让人易于接受并容易做出判断。而安全业务的集成化，也确实符合当时的市场需求。有了这样一个宽泛的准入条件，UTM的概念一经推出便受到厂商与用户到一致认同，市场份额迅速扩大，成长为目前安全市场上的主流产品。

　　Gartner在其市场分析报告中对NGFW产品形态则有着更为细致的描述。该机构在调研后认为，除了传统防火墙、VPN，NGFW至少还应该具有APP、User、URL过滤和内容过滤的能力，并且要支持反恶意软件(包括病毒、木马、间谍软件等)范畴;作为边缘网关，NGFW必须满足时延敏感型应用的需求，与之有悖的功能不适合出现在NGFW上。

　　通过上面的分析，我们可以得出明确的结论：UTM和NGFW只是针对不同级别用户的需求，对宏观意义上的防火墙的功能进行了更有针对性的归纳总结，是互为补充的关系。无论从产品与技术发展角度还是市场角度看，它们与IDC定义的UTM一样，都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述，其出发点就是用户需求变化产生的牵引力。

(责任编辑：)