5大廠商市售NGFW產品評析

目前我們可以確定共有5個廠商在國內正式發售了NGFW產品，其中4個國外廠商均在Gartner最新一期的《企業網絡防火墻魔力象限報告》（Magic Quadrant for Enterprise Network Firewalls，2010）中占有一席之地；深信服是惟一發布了NGFW產品的本土廠商，我們相信會有越來越多的本土廠商殺入這一領域。

在產品資料收集的過程中，我們發現了一個很有意思的現象：之前無UTM產品的廠商為我們提供的產品文檔中，都統一使用了NGFW的概念與宣傳口徑，且官方網站上的資料也是如此；而之前有UTM產品的廠商雖然宣稱擁有NGFW產品線，卻暫時沒能提供與之相關的資料，在產品歸屬的態度上顯得十分模糊。前者意圖很明顯，就是要避開競爭激烈的防火墻/UTM市場，搶占新的藍海；后者大多擁有一定的資本和技術積累，為穩固市場地位需要拉動產業升級，卻擔心在市場上面臨“自己打自己”的窘境。無論如何，隨著NGFW概念逐步被用戶理解、接受，目前市場上的混亂局面必將變得明朗，其前景值得看好。

Palo Alto

Palo Alto是近幾年發展非常迅猛的一家安全企業，在業內負有盛名。該公司旗下僅擁有NGFW一類產品，被看做NGFW時代的先行者。經過充分的準備，Palo Alto于2011年年初在國內設立了辦事處。據了解，諸如應用特征庫、WebUI和報表管理系統的本土化工作已初見成效。

Palo Alto將用戶識別、應用識別和內容識別并列為產品的3大核心功能，使用戶權限和策略設定變得像自然語言般簡單易懂，同時讓報表的可讀性更強。內容識別基于防火墻、IPS、反惡意軟件、URL過濾乃至DLP等多種安全功能，可以為用戶提供全面的安全保障。在業務處理方面，其產品采用了單數據流并行處理體系結構，保證了高性能、低延遲。有業內人士認為，Palo Alto產品中關于一體化的處理引擎和一體化的策略框架是最關鍵的設計理念，在保證高性能的同時提高了易用性。

產品規格方面，Palo Alto面向不同規模用戶推出了從最低端的PA-500到最高端的PA-5060在內的多款產品。其最低端產品PA-500擁有250Mbps的防火墻處理能力、100Mbps的攻擊防護能力和50Mbps的IPSec VPN性能，最高端的PA-5060則將這3個指標推向20Gbps/10Gbps/4Gbps。Palo Alto公司創始人、首席架構師毛宇明在接受我們采訪時特別指出，該公司在官方網站公布了所有產品的性能指標，其中攻擊防護能力一項均為開啟應用識別及所有安全模塊后的數據，并且即便用戶沒有選購任何安全功能的許可，也可以使用不受任何限制的應用識別與控制功能。

Palo Alto在Gartner最新一期的《企業網絡防火墻魔力象限報告》中處于“有遠見者”（visionaries）象限，并且在前瞻性（completeness of vision）坐標中處于最領先的位置。就目前的情況看，我們認為該公司在未來報告中的排名會繼續進步。

SonicWALL

作為資深的信息安全解決方案提供商，SonicWALL在國內外市場都有著不小的知名度。該公司在上海設有規模龐大的研發中心，負責核心產品的研發和部分本土化工作。SonicWALL中國研發中心總經理陳中在接受采訪時特別提到，目前該公司產品每次系統版本更新后1~2個月內即可提供中文版，并且有專人負責國內應用特征的添加與維護，達到平時每周1次、緊急情況下1天響應的更新頻率。

SonicWALL對NGFW概念的跟進非常迅速，旗下已有SuperMassive E10000、E-Class NSA、NSA以及TZ210四大系列多款產品。實際上，得益于比較完備的軟件平臺和模塊化的安全業務部署模式，該公司的NGFW產品和UTM產品使用了基本一致的軟硬件平臺，只在功能模塊的配置上有所區別。在交付時，可以根據用戶需求進行相應的授權，靈活滿足NGFW或UTM的功能側重。SonicWALL一直在為其NGFW產品增加更多的功能特性，該公司在一周前剛剛宣布將廣域網加速功能集成到NGFW，為用戶提供更好的網絡使用效率。

SonicWALL旗下NGFW產品規格非常豐富，最低端的TZ210擁有200Mbps的防火墻處理能力、50Mbps的UTM處理能力和75Mbps的IPSec VPN性能，此外還可以提供3G/Wi-Fi無線接入特性。在最高端，SuperMassive E10000系列使用了多節點業務智能分攤的設計理念，最多可支持8個業務節點共96個處理器內核同時工作，提供最大30Gbps的應用識別與控制能力、30Gbps的IPS處理能力、12Gbps的反惡意軟件處理能力和20Gbps的IPSec VPN性能，無愧于當今頂級NGFW產品的稱號。

SonicWALL在Gartner最新一期的《企業網絡防火墻魔力象限報告》中處于“特定領域參與者”（niche players）象限。不過在Gartner同期的《UTM魔力象限報告》（Magic Quadrant for Unified Threat Management）中，該公司則處于“領導者”象限，綜合排名僅次于Fortinet。

Check Point

Check Point是歷史最悠久的信息安全解決方案提供商，也是最早一批進入國內市場的安全廠商。該公司的防火墻產品在業內擁有極高的知名度，并且始終處于技術發展的最前沿。Check Point首創了軟件刀片的概念，通過在統一的系統平臺上部署不同功能的軟件刀片來實現多種安全業務。在得到了NOKIA的硬件產品線后，該公司擁有了堪稱業界最全面的硬件平臺方案，具備了多形態的交付能力。

有了這樣的支撐，Check Point發布NGFW產品可謂水到渠成。該公司在2010年推出了可以對應用進行識別、控制的應用控制刀片，并整合了允許員工參與到決策進程的UserCheck技術。Check Point還利用獨有的應用程序庫AppWiki為用戶提供更深入的可視性，該程序庫內置了5萬多種Web 2.0專用界面工具信息和包含社交應用、即時通信和流媒體在內的4500多種互聯網應用特征。

雖然不是最早發布NGFW產品的廠商，Check Point卻在NSSLabs進行的業界第一次NGFW產品測試中拔得頭籌，成為業界首個獲得NGFW產品“推薦”級別的廠商。我們在官方測試報告中看到，該公司送測的次高端產品Check Point Power-1 11065在防火墻、身份識別以及應用程序控制執行的各項評測中取得100%的有效率，IPS功能的成功攔截率也達到97.3%；性能方面，該產品在混合多種協議的“真實流量”（Real World）測試中達到最高3800Mbps的處理能力，在傳統的UDP性能測試中則有著12050Mbps的最大吞吐量。

Check Point在Gartner最新一期的《企業網絡防火墻魔力象限報告》中處于“領導者”（leaders）象限，并且在前瞻性（completeness of vision）、執行力（ability to execute）坐標中均處于第二名的位置。在Gartner同期的《UTM魔力象限報告》中，該公司也處于“領導者”象限，綜合排名第三位。

梭子魚

梭子魚是近年來表現比較活躍的信息安全解決方案提供商，目前已有超過10款不同類型的產品在國內市場進行銷售。該公司十分善于整合吸收外來的產品技術，在國際范圍內有多次成功的并購案例。梭子魚現有的NGFW產品線來自于2009年收購的安全廠商phion，其產品在歐洲地區已經有許多大規模部署的案例。

也許是因為之前旗下沒有防火墻/UTM產品線，梭子魚堅定地成為NGFW時代的先行者之一。該公司在產品上以應用與身份控制、內容安全和網絡層安全為核心，在滿足NGFW定義要求的基礎上提供了比較全面的安全特性。目前，梭子魚仍在致力于管理特性、其他安全特性的開發和更為徹底的本土化整合工作，該公司中國區技術總監谷新在接受采訪時特別提到，NGFW產品的集中管理平臺目前已經可以管理維護多達數千臺設備，并有實際部署案例。該平臺還結合圖形化管理維護技術，利用業界獨特的“梭子魚NG地球”特性，使分布網絡的管理變得簡單高效。

產品規格方面，梭子魚也針對不同層面用戶的需求提供了覆蓋高中低端的全系列產品，其中多款具有Wi-Fi及3G接入的能力。根據該公司公布的數據，其最低端的F10擁有150Mbps的防火墻處理能力和85Mbps的VPN性能，最高端的F900則將這兩個指標推向21Gbps和3.78Gbps。而該公司提供的另一份文檔也表明，梭子魚的NGFW產品可在開啟所有安全功能后達到8~10Gbps的最高性能。我們還注意到，梭子魚在產品線中提供了目前惟一的虛擬環境部署方案，對有類似需求的用戶來說無疑是很好的選擇。

phion在Gartner最新一期的《企業網絡防火墻魔力象限報告》中處于“特定領域參與者”（niche players）象限。有了梭子魚豐富的產品線及全球化的銷售/維護體系作為支撐，該產品的未來值得看好。

深信服科技

作為近年來崛起勢頭最為迅猛的本土信息安全解決方案提供商，深信服科技長期堅持專攻應用與內容安全領域的發展策略，在市場上有著廣泛的認同度。就在NGFW大潮在國內方興未艾之際，該公司于近期發布了NGAF系列下一代防火墻，成為首家推出NGFW產品的國內廠商。

深信服NGAF系列下一代防火墻提供了以傳統基礎網絡安全、應用識別與控制、應用威脅防護為核心的多種安全功能，覆蓋了NGFW定義中要求必備的所有特性。有國內市場上最成功的上網行為管理產品為基礎，深信服科技的NGFW產品在應用識別與控制能力方面顯然有著先天優勢。該公司還將WAF產品的主要功能集成到NGFW產品中，結合應用識別與控制功能，為數據中心用戶提供了新的安全防護接入思路。

對于我們采訪中問到的“之前沒有防火墻/UTM產品，在狀態檢測技術和入侵防御技術方面是否有足夠積累”的問題，深信服科技市場行銷部技術總監殷浩也沒有回避。據介紹，該公司在保持應用與內容安全領域技術領先的同時，也一直都在跟蹤其他各類安全技術的發展。例如成為微軟MAPP計劃合作伙伴，可以第一時間獲得漏洞資料，提高IPS的防護效果和響應速度。NGFW產品的應用威脅防護功能將反惡意軟件、漏洞利用、Web入侵等威脅視為一個整體進行統一防護，正是技術積累的一次集中體現。

產品規格方面，深信服科技的NGFW產品線中包含了多達11款產品，覆蓋了幾乎所有用戶群體。其最低端AF-1100系列產品標稱提供200Mbps的防火墻處理能力（按照深信服對產品的定義，應用識別與控制功能都默認開啟，后同），最高端的AF-8000系列則將該指標推向10Gbps。由于深信服科技NGAF系列產品剛推出不久，我們還未能拿到更多的性能參數。但從廠商測試中得到的最新數據來看，其中端AF-1700系列產品的防火墻吞吐量達到600Mbps；在此基礎上開啟IPS和WAF功能，依然可以達到520Mbps的處理能力。