下一代防火墙功能强大，你是不是对它们感到有点迷惑。

　　所谓的下一代防火墙(NGFW)是什么?

　　下一代防火墙缩写为NGFW，目前被多数厂商描述为拥有多功能安全防御和基于身份的应用控制在内的新型防火墙。这一描述得到了市场研究机构Gartner的认可。

　　NGFW的现状是什么?

　　由于NGFW并不是一个科学术语，因此在市场营销中其内容有很大的弹性，不过目前这一概念还没有并过度宣传。Gartner支持NGFW概念已有多年时间，在任何安全设备NGFW都将自身包装为NGFW的潮流中，Gartner一直保持中立。Gartner对NGFW最基本的定义正在给那些决定研发更为精巧的防火墙带来影响，新防火墙不同于传统基于端口的检查与控制。

　　Gartner对NGFW的定义是什么?

　　Gartner对NGFW的定义可概括为以下几点：

　　-必须具备网络地址转换、状态检查、VPN等标准防火墙功能，并且适合大型企业。

　　-入侵防止系统被“真正集成”在防火墙中。

　　-有认识应用和设置控制的“应用意识”

　　-“外防火墙”智能能够提供帮助决策的信息;具有值得信赖的分析，与Active Directory、有效的拒止或漏洞列表进行整合。

　　如果一个厂商自称他们提供的是NGFW，我是否应该认为他们的设备具有这些功能?

　　当然不是。在营销中，使用NGFW这个词进行宣传只是听起来感觉很不错。许多知名的防火墙厂商正在改造他们的防火墙生产线，以符合NGFW这个概念。成立于2007年的新兴公司Palo Alto Networks被认为是首家推出下一代防火墙安全设备的厂商。该公司的举措迫使传统防火墙厂商做出改变。目前Palo Alto正在为他们的设备添加新的功能。

　　NGFW设备正在被广泛使用吗?

　　不是。Gartner估计目前NGFW支持的安全互联支持低于1%的，不过到2014年将增至35%

　　统一威胁管理(UTM)是什么?

　　这一术语是IDC最先使用的，其概念与NGFW相似，都是经整合的多用途安全设备。与NGFW一样，UTM也不是一个科学术语，并且同样没有被过度宣传。Gartner认为IDC创造的UTM一词指用于小型和中型市场的设备。相反，IDC则认为NGFW才是指用于小型和中型市场的设备。

　　NGFW设备是否有可供购买时做参考的独立测试?

　　目前还没有。目前NGFW的定义还没有完全确定下来，独立的实验室无法进行独立的对比测试。

　　购买带集成安全功能的NGFW是否比单独购买针对某一功能的设备更为便宜?

　　或许是这样。不过一些早期使用者认为NGFW的优势在于可以简化管理和操作。与此同时，一些用户表示他们不希望完全放弃使用传统防火墙或独立的IPS (入侵防护系统)，因此他们对完全依靠一个厂商和一个设备感到不放心。

　　基于身份的应用控制背后的理念是什么?

　　大多数厂商表示，他们的NGFW将允许对1000多个应用进行基于策略的控制，并且可以与微软Active Directory进行整合。其目标是将决定哪些与互联网连接的应用允许被企业用户使用。目前哪些不能使用已经很明确了，如P2P或一些社交网络。现在有一个问题，那就是当用户在防火墙外使用移动设备时如何保护用户。

　　我的公司是否现在就应该使用整合有IPS、基于身份的应用控制等功能的防火墙?

　　在迁移中会在规定、策略和培训上遇到很大的问题。Gartner建议至少要关注厂商正在做什么，他们在什么场合公布了他们的路线图，这样才能在防火墙谈判来到时对情况有个正确评估。