三、NGFW产品现状

　　目前，在国内安全市场，各安全厂商也在为自己的NGFW产品造势，但基本上都是处于宣传阶段，无实际产品正式发布，NGFW的市场前景会进一步扩大化，国内安全厂商将在更细化的区域进行白刃PK。网御星云公司则早在2010年初就已立项启动下一代智能感控防火墙的研发，当前正经历临床试验阶段，其功能包括所有NGFW的特质，并融合网御的云防御理念，预计2011年下半年将全面上市。

　　四、如何评估NGFW

　　NGFW属于新生产品，目前业界对其还没有一个公认的测试标准，甚至独立的测试报告都寥寥无几。随着网络应用的增加以及云计算的发展，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小，所以如何判断下一代防火墙好坏应从以下几个方面综合评估：

　　硬件架构方面：在近几年，一些防火墙制造商开发了基于ASIC的防火墙，从执行速度的角度看来，基于加上芯片的防火墙也是取决于软件的解决方案，它需要在很大程度上依赖于软件的性能，虽然这类防火墙中有一些专门用于处理数据层面任务的引擎，能减轻CPU的负担，性能要比传统防火墙的性能好许多，但这也存在很多问题，ASIC主要处理网络层数据，而当今应用层已经占据半壁江山，虽然起到加速作用，但效果甚微，另一方面，由于ASIC对新建并发、最大并发连接并不起多大作用，防火墙的并发瓶颈并未得到真正解决，人们更多的倾向于多核MIPS技术，所以，多核多线程并行处理技术既能解决高并发的问题，也能处理应用层协议，这一方向得到了多数安全厂商的认可。

　　易用界面方面：管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是NGFW定义中的强制功能，但根据用户的实际需求出发，在该领域应做出更加深入的用户体验改善。用户应当考察NGFW产品是否可以通过获取域控制器信息或Web认证等手段，做到IP与用户身份的绑定，再通过统一的策略框架进行更加直观、简单的权限定义，以达到“允许市场部门的所有员工从任何位置访问新浪微博”、“只允许IT部门员工从特定位置使用SSH、Telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的WebUI、报表系统、端点套件和集中管理系统。

　　性能测试方面：许多用户都知道针对传统防火墙有RFC2544、RFC3511、GB/T 20281-2006这样公认的测试规范。这类产品的业务模型比较单一，有经验的测试人员或管理员会依照规范测得的结果，甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进应用层感控时代开始，实验室环境中进行的标准化测试就失去了原有的指导意义。而NGFW产品在进行性能评估时会更复杂，用户必须根据自身的业务需求，抽象出与之吻合的流量模型，进行细致的、有针对性的测试工作，才能得到有价值的评估依据。并且在测试过程中，应时刻以“寻找最差性能”的目标，方可在未来的实际使用中规避性能瓶颈。

　　五、网御NGFW+产品

　　网御星云公司早在2010年初就已立项启动下一代智能感控防火墙的研发，当前正经历临床试验阶段，功能包括所有NGFW的特质，并融合网御的云防御理念的NGFW+新生代产品，预计2011年下半年将全面上市，其产品特点及核心技术有以下几点：

　　5.1、应用感控

　　应用感控技术不同于传统的基于端口和协议的状态包过滤技术，这种技术能通过流量识别网络上的应用程序，基于应用ID进行智能识别与控制，同时，可以辨别出来自同一网站的不同应用并且可以启用服务质量选项为这些应用优先分配带宽。达到了六元组的新型智能应用过滤技术，既可以进行应用识别，也可以做到对应用的细粒度控制。

　　5.2、云安全防御

　　云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。实现立体全面的防护。

　　5.3、WEB主动过滤

　　这种技术通常认为是在UTM上实现，但在下一代防火墙中，这种需求也越来越明显，实际上Web过滤是指上网监控功能，具备内容过滤的安全网关通过多重过滤与保护，对内容和网址进行监控，对内容不良的网站实行过滤，从而实现对网络内部人员上网进行监控URL的屏蔽列表。

　　5.4、IPv6网络安全

　　虽然IPv6在网络厂商应用较为广泛，但在安全厂商中，支持IPv6的网络安全产品(如防火墙、UTM、IPS等)还是较少，具体功能包括：IPv6环境下的状态包过滤、静态路由、OSPF动态路由、FTP、ALG等基本安全控制，以及IPv6/v4 双协议栈功能;设备在同一信息安全网络中同时支持 IPv4 和IPv6协议的安全控制日渐得到关注。

　　5.5、多核高性能

　　高性能多核技术为工程师们打开了另一扇门—它是把更多的CPU压在一个芯片当中以提高整个芯片处理交易事务的能力。以8核为例，在一块CPU基板上集成8个处理器核心，通过并行总线将各处理器核心连接起来，一般多核芯片都会集成一些针对比较耗费资源处理的硬件加速引擎。比如XLR内置的网络加速器可以对从网络接口进入XLR的数据包进行高速预处理。拿以太网包举例，XLR的网络加速器可以对以太网包2层、3层、4层的内容进行辨析，提取特征串，自动完成校验和验证，把包DMA(Direct Memory Access)到内存，构造以太网包描述符(Descriptor)，然后可以基于多种策略把以太网描述符快速均衡的分流到指定的vCPU。这样，既可以提升网络层处理性能，也可以加速处理应用层检测速率，小包性能以及并发数显著提升，并且多核芯片内建应用加速安全引擎，在硬件层面上就可以支持AES，DES/3DES,SHA-1,SHA-256,MD5算法，最大可提供10Gbps的VPN加密解密运算能力。

　　5.6、NGFW+自身高安全

　　如果防火墙系统本身被攻击者突破或迂回，对内部系统来说它就毫无意义。因此，保障防火墙自身的安全是实现系统安全的前提。一个防火墙要抵御黑客的攻击必须具有严密的体系结构和安全的网络结构。 不同类型的拒绝服务攻击。理想情况下，防火墙应该采取直截了当的方式，比如将数据包打回或干脆关闭防火墙的方式。

　　六、网御NGFW+安全解决方案

　　网御下一代防火墙分为KingGuard万兆系列、Super V高端系列、Power V中高端系列和Smart V低端系列，共计80余款，可为各种规模的企业和政府机构网络系统提供相适应的产品。网御防火墙已在税务、公安、政府、军队、能源、交通、电信、金融、制造等各行业中部署50000台以上。KingGuard、Super V系列采用高性能的RSIC多核架构，并结合国内首创的WindRunner矩阵式并行处理技术，将多颗CPU排成矩阵，在对网络数据流进行IPv4/IPv6双协议栈的策略匹配、抗攻击、内容过滤、加解密、QOS、日志等多项业务处理时，采用并行计算和流水线两个维度进行并行处理，确保了高安全的前提下的高性能处理。Power V系列采用基于应用识别的绿色上网控制模块，并在Power V-4000及3000系列集成了专用ASIC加速硬件芯片，使得小包高达10Gbps;Power V是已部署3万多台套的高可用多威胁统一管理的下一代防火墙系列。Smart V系列是集成防火墙、VPN、交换机、主动防御等功能于一身，可采用机架型和桌面型两种设备部署方案，适合各类大集团的分支机构、区县级政府机关、小型企业及SOHO用户。

　　在应用感控与云安全技术方面，网御下一代防火墙结合VSP、USE、MRP等核心安全技术，通过智能感控技术收集攻击检测源和挂马网站URL等特征，，与已部署的防病毒网关、IPS、UTM、Guard等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征，汇集至云防御服务器定时收纳合并，云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中，使其他设备也具有防病毒、IPS、防挂马等功能，同时使其具备更高的处理性能，共同形成整体可信架构云防御体系。网御公司提前部署可信架构“云防御”体系，主动防御未知威胁，网御下一代防火墙在不断变化的威胁环境、不断变化的业务IT流程、不断更新的云威胁下，为用户提供真正有价值的信息安全整体防护方案，使信息安全3.0时代提前到来。

(责任编辑：)