下一代防火牆市場調查

『壹』 天融信防火牆和下一代防火牆市場份額如何

市場份額部分可以參考一下權威數據部門的分析報告，今年1月，IDC發布了2012年上半年中國網路安全市場分析報告。可以看到天融信公司（TopSec）在硬體防火牆市場領域以15.9%的份額再次排名第一，延續了此前連續10餘年的傳統。此外，在其他網路安全領域，也有不俗表現，如在入侵防禦領域排名三甲之列。由於防火牆和入侵防禦兩大領域在整個網路安全市場中占據了半壁江山（49.9%），在這兩個領域的優勢，也讓天融信在安全硬體廠商競爭力綜合排名方面處於領先地位。

『貳』 下一代防火牆與傳統防火牆有什麼區別

著名市場分析咨詢機構Gartner曾於2009年發表文章《定義下一代防火牆》，文章指出下一代防火牆在具有傳統防火牆功能與特點的同時，還要具有「支持聯動的集成化IPS」、「應用管控與可視化」以及「智能化聯動」相關特性。
在雲計算、WEB2.0及移動互聯網等一系列新應用技術被廣泛使用的今天，Gartner2009年定義NGFW時的認知已經明顯不足。NGFW商標持有者，也是國內最知名的信息安全品牌TOPSEC(天融信)給出了下一代防火牆必須具備六大特質：基於用戶防護、面向應用安全、高效轉發平台、多層級冗餘架構、全方位可視化、安全技術融合。這也補充了Gartner2009年定義NGFW時，對於雲計算、web2.0、移動互聯等新技術的認知不足。

『叄』 下一代防火牆發展前景怎麼樣

下一代防火牆的執行範例包括阻止與針對細粒度網路安全策略違規情況發出警報，如：使用Web郵件、anonymizer、端到端或計算機遠程式控制制等。僅僅根據目的地IP地址阻止對此類服務的已知源訪問再也無法達到安全要求。細粒度策略會要求僅阻止發向其它允許目的地的部分類型的應用通訊，並利用重新導向功能根據明確的黑名單規則使其無法實現該通訊。這就意味著，即使有些應用程序設計可避開檢測或採用SSL加密，下一代防火牆依然可識別並阻止此類程序。而業務識別的另外一項優點還包括帶寬控制，例：因為拒絕了無用或不允許進入的端到端流量，從而大幅降低了帶寬的耗用。目前僅有不到1%的互聯網連接採用了下一代防火牆保護。但是隨著下一代網路的來臨，下一代防火牆的應用已然是不可抗拒的趨勢，目前國內最知名的信息安全企業天融信就推出了下一代防火牆產品，而且其還是NGFW（Next generation firewall即：下一代防火牆)商標的擁有者

『肆』 目前市場上最火的下一代防火牆有哪些

我知道的有天融信NGFW不錯，我們公司的防火牆剛升級成天融信的下一代防火牆產品，就是用的天融信NGFW，感覺網速很流暢，資源佔用率也很低，網路使用比原來的效率提高了好幾倍。

『伍』 下一代防火牆是在什麼樣的情況下提出的，有什麼優勢呢

下一代防火牆概念的提出是在2009年，著名咨詢機構Gartner介紹為應對當前與未來新一代的網路安全威脅，認為防火牆必需要再一次升級為下一代防火牆。原因是第一代防火牆已基本無法探測到利用僵屍網路作為傳輸方法的威脅，下一代防火牆主要是為了應對現在復雜的網路環境，也就是探測和防禦應用。面對如此龐大的網路規模以及安全挑戰，主流網路安全企業先後推出了下一代防火牆產品，除了傳統防火牆功能外，下一代防火牆同時具備可與之聯動的IPS、應用管控、可視化和智能化聯動等。下一代的防火牆產品對各種安全功能進行重新組合和排列，並從配置上把這些功能進行很好的集成。像國內一些知名供應商，如網康、深信服等早已著手這方面了，據朋友的公司說網康的下一代防火牆還可以，綜合性能比深信服燒好一些，主要操作也簡單。

『陸』 下一代防火牆的應用

下一代防火牆的執行範例包括阻止與針對細粒度網路安全策略違規情況發出警報，如：使用Web郵件、anonymizer、端到端或計算機遠程式控制制等。僅僅根據目的地IP地址阻止對此類服務的已知源訪問再也無法達到安全要求。細粒度策略會要求僅阻止發向其它允許目的地的部分類型的應用通訊，並利用重新導向功能根據明確的黑名單規則使其無法實現該通訊。這就意味著，即使有些應用程序設計可避開檢測或採用SSL加密，下一代防火牆依然可識別並阻止此類程序。而業務識別的另外一項優點還包括帶寬控制，例：因為拒絕了無用或不允許進入的端到端流量，從而大幅降低了帶寬的耗用。
僅有不到1%的互聯網連接採用了下一代防火牆保護。但是隨著下一代網路的來臨，下一代防火牆的應用已然是不可抗拒的趨勢，有理由相信到2014年年末使用這一產品進行保護的比例將上升至35%，同時，其中將有60%都為重新購買下一代防火牆。
大型企業都將隨著正常的防火牆與IPS更新循環的到來逐漸採用下一代防火牆代替其現有的防火牆，或因帶寬需求的增高或遭受了攻擊而進行防火牆升級。許多防火牆與IPS供應商都已升級了其產品，以提供業務識別與部分下一代防火牆特性，且有許多新興公司都十分關注下一代防火牆功能。Gartner的研究報告說明，認為隨著威脅情況的變化以及業務與IT程序的改變都促使網路安全經理在其下一輪防火牆/IPS更新循環中尋求具有下一代防火牆功能的產品。而下一代防火牆的供應商們成功佔有市場的關鍵則在於需要證明第一代防火牆與IPS特性既可與當前的第一代功能相匹配，又能同時兼具下一代防火牆功能，或具有一定價格優勢。
復雜環境下網路安全管理的窘境
隨著網路安全需求不斷深入，大量政府、金融、大企業等用戶將網路劃分了更為細致的安全區域，並在各安全區域的邊界處部署下一代防火牆設備。對於所有的網路管理者來說，安全設備數量的不斷激增無疑增加了管理上的成本，甚至成為日常安全運維工作的負擔，對網路安全管理起著消極的反作用。對於大型網路而言，網路管理者往往需要在每一台安全設備上逐一部署安全策略、安全防護規則等，並且在日常的維護中，還要逐一的對設備進行升級等操作，類似重復的工作將耗費大量的時間，同時大量人工操作勢必將帶來誤配置的風險。
對於高風險、大流量、多業務的復雜網路環境而言，全網部署的下一代防火牆設備工作在不同的安全區域，各自為戰，為了進行有效的安全管理，管理者往往要單獨監控每一台設備的運行狀態、流量情況以及威脅狀況等，對於絕大多數人力資源並不充裕的信息部門，這無疑又是一項效率低、難度大的工作，監控到的信息往往由於實時性差，易疏漏等問題，對全網安全性的提升並無促進作用。
安全管理應面向風險而非單純的安全事件響應，網路安全同樣遵循這樣的方向和趨勢，而如何及時預見風險，以及在安全事件發生後如何快速溯源並採取響應措施，是擺在每一位網路管理者面前的難題。專家認為，基於大數據挖掘技術無疑可以幫助管理者更加快速的發現網路中的異常情況，進而盡早的確認威脅並採取干預措施，實現主動防禦。而此方案實現的前提，則需具備對數據的收集集中能力以及智能分析能力。
為什麼要識別應用
隨著以WEB2.0為代表的社區化網路時代的到來，互聯網進入了以論壇、博客、社交、視頻、P2P分享等應用為代表的下一代互聯網時代，用戶不再是單向的信息接受者，更是以WEB應用為媒介的內容發布者和參與者，在這種趨勢下，越來越多的應用呈現出WEB化，據調查顯示超過90%的網路應用運行於HTTP協議的80和443埠，大量應用可以進行埠復用和IP地址修改。
然而，由於傳統的防火牆的基本原理是根據IP地址/埠號或協議標識符識別和分類網路流量，並執行相關的策略。所以對於WEB2.0應用來說，傳統防火牆看到的所有基於瀏覽器的應用程序的網路流量是完全一樣的，無法區分各種應用程序，更無法實施策略來區分哪些是不當的、不需要的或不適當的程序，或者允許這些應用程序。如果通過這些埠屏蔽相關的流量或者協議，會導致阻止所有基於web的流量，其中包括合法商業用途的內容和服務。即便是對授權通過的流量也會因為不能細粒度的准確分辨應用，而使針對應用的入侵攻擊或病毒傳播趁虛而入，使用戶私有網路完全暴露於廣域網威脅攻擊之中。
綜上所述，在新一代網路技術發展和新型應用威脅不斷涌現的現有環境下，對網路流量進行全面、智能、多維的應用識別需求已迫在眉睫，也必將成為下一代防火牆所必須具備的基本和核心理念之一。
全面、多維的識別應用
每一種網路應用都應具備多方面的屬性和特質，比如商業屬性、風險屬性、資源屬性、技術屬性等等，只有從各個角度多維、立體的去識別一個應用才會更加全面和准確。舉例來說，從商業屬性來講，可以是ERP/CRM類、資料庫類、辦公自動化類或系統升級類應用;從風險屬性來講，可以是1至5級不等的風險級別分類，風險級別越高的應用(如QQ/MSN文件傳輸等)其可能帶來的惡意軟體入侵、資產泄密的可能性就越高;從資源屬性來講，可以是容易消耗帶寬類、容易誤操作類或易規避類的應用等;而從技術屬性來講，又可以是P2P類、客戶端/伺服器類或是基於瀏覽器類的應用等。
對應用的多維、立體識別不僅是下一代防火牆做到全面、准確識別應用的必須要求，更是輔助用戶管理應用、制定應用相關的控制和安全策略的關鍵手段，從而將用戶從晦澀難懂的技術語言抽離出來，轉而採用用戶更關心和可以理解的語言去分類和解釋應用，方便其做出正確的控制和攻防決斷。下一代防火牆必須也應該要做到這一點，一種重要的實現手段就是---應用過濾器。
應用過濾器的關鍵特點是提供給用戶一種工具，讓用戶通過易於理解的屬性語言去多維度的過濾和篩選應用，經過篩選過濾後得到的所有應用形成一個應用集，用戶可以對此應用集針對性的進行統一的訪問控制或安全管理。舉例來說，作為邊界安全設備，用戶希望在允許內網用戶與外網進行必要的郵件、IM即時通信、網路會議通信的同時，能夠對其中的中、高級風險類應用進行安全掃描和防護，保證通信安全，杜絕威脅入侵。要做到這點用戶只要通過應用過濾器，在商業屬性維度給出選擇，這里選擇協作類應用(包括郵件、IM通信、網路會議、社交網路、論壇貼吧等應用)，再在風險屬性維度給出選擇，這里可選擇3級以上風險等級，應用過濾器會根據選擇過濾、篩選出符合維度要求的所有應用(這里包括雅虎mail、QQ郵箱、MSN聊天、WebEx會議、人人網論壇等幾十個應用)，並以分類頁表的形式呈現給用戶，用戶還可以通過點擊應用名稱查看每個應用的詳細描述信息。接下來在一體化安全策略中，用戶在指定好IP、安全區、時間、用戶等基本控制條件，以及指定好IPS、防病毒、URL過濾、內容過濾等安全掃描條件後，只要選定剛才的應用過濾器，即可對所有內外網協作且高風險類應用進行全天24小時的安全掃描和防護，當發現攻擊威脅時及時阻斷並審計記錄，保障用戶的應用安全無憂。
識別未知應用
社區化網路的發展，縮短了世界各地用戶經驗交流和合作的時間與空間，應用數量和種類及相關的網路威脅都在日新月異的增長和發展著。面對來自世界各地、隨時隨地涌現的新類型、新應用，任何一個安全廠商或機構都無法第一時間毫無遺漏的全部涵蓋和一網打盡，下一代防火牆必須提供一種機制，去第一時間識別和控制應用，保障用戶網路每一秒都不會暴露在網路威脅之下。這就要求其必須要具備應用自定義的能力。
所謂應用自定義，就是以動態的方式允許用戶對某種/某些非通用化、用戶私有的無法識別的應用進行特徵化的描述，系統學習並記憶這種描述，並在之後的網路通信中去智能的分析和匹配此種特徵，從而將其識別出來，實現將應用由未知轉化為已知。這種機制免去了傳統以往為增加應用而重做的軟體引擎、識別庫版本開發、定製、上線、升級等大量工作，節省了大量寶貴時間，第一時間保障用戶網路安全。
下一代防火牆的應用自定義應該包括維度歸類和特徵碼指定兩部分。維度歸類將自定義出的應用如同其它已有應用一樣從多維度進行分類劃分，如該應用屬於哪種商業類型、何種資源屬性、怎樣的風險級別等等，與應用過濾器形成完美配合。同時通過特徵碼，指定出應用在包長度、服務埠、連接方式、甚至於特徵字元串/數字串等等方面的數據特徵，多種方式靈活組合，並可依需要無限度擴展，涵蓋了學習、辨識一個新應用的所有特徵因素，從而第一時間讓所有已有的或未來將有的未知應用無處遁形，完全掌握於控制之中。
全國人大代表、中國電子科技集團公司總經理熊群力向記者透露，我國自主開發的全新一代國產工業防火牆即將推出，將為國內工業用戶提供工業控制信息安全「固、隔、監」的防護體系。
據熊群力介紹，作為功能全面、安全性高的網路安全系統，這套名為三零衛士工業防火牆的新一代國產工業防火牆，採用國際上最先進的網路安全技術，是針對工控網路安全的具體應用環境完全自主開發的安全產品。工控網路安全涉及國家關鍵基礎設施信息系統如電力、軌道交通、石油、水務等的基礎網路所面臨的安全問題，此前在2013年，中國電科已率先研製了兩款國內首創、擁有完全自主知識產權、基於專用硬體的工業控制系統信息安全產品。

『柒』 如何比較和選擇下一代防火牆

下面詳細地看看下一代防火牆的這些特性：
1.應用程序感知
傳統防火牆與下一代防火牆的最大不同是：下一代防火牆可以感知應用程序。傳統的防火牆依賴常見的應用程序埠來決定正在運行的應用程序以及攻擊類型。而下一代防火牆設備並不是認為特定的應用程序運行在特定的埠上。防火牆必須能夠在第二層到第七層上監視通信，並且決定發送和接收哪類通信。
最常見的例子是當前對HTTP和80號埠的使用。傳統上，這個埠僅用於HTTP的通信，但如今的情況不同了，而且有大量的不同應用程序都使用這個埠在終端設備和中央伺服器之間傳送通信。常見埠用於不同類型通信的方法有很多種，其中最常見的方法之一就是隧道技術。藉助於隧道技術，通信在傳統的 HTTP數據欄位內部建立隧道，並在目的結點解開封裝。從傳統的防火牆的觀點看，這看起來就是簡單的HTTP Web通信，但對於下一代防火牆來說，它真正的目的在其能夠到達目的結點之前就在防火牆上被發現了。如果這種通信是由下一代防火牆的策略所允許的，就放行;否則，防火牆將阻止通信。
2.身份感知
傳統防火牆和下一代防火牆之間的另一個很大的不同點是，後者能夠跟蹤本地通信設備和用戶的身份，它一般使用的是現有的企業認證系統(即活動目錄、輕量目錄訪問協議，等)。信息安全人員通過這種方法就不僅能夠控制允許進出網路的通信類型，還可以控制哪個特定用戶可以發送和接收數據。
3.狀態檢測
雖然從狀態檢測的一般定義上來看，下一代防火牆並無不同，但它不是僅跟蹤第二層到第四層的通信狀態，而是要能夠跟蹤第二層到第七層的通信狀態。這種不同可以使安全人員實施更多控制，而且可以使管理員能夠制定更精細的策略。
4.集成IPS
入侵防禦系統(IPS)能夠根據幾種不同的技術來檢測攻擊，其中包括使用威脅特徵、已知的漏洞利用攻擊、異常活動和通信行為的分析等。
在部署了傳統防火牆的環境中，入侵檢測系統或入侵防禦系統是經常部署的設備。通常，這種設備的部署是通過獨立的設備部署的，或是通過一個設備內部在邏輯上獨立的設備來部署的。而在下一代防火牆中，入侵防禦或入侵檢測設備應當完全地集成。入侵防禦系統本身的功能與其在獨立部署時並無不同，下一代防火牆中此功能的主要不同在於性能，以及通信的所有層如何實現對信息的訪問。
5.橋接和路由模式
橋接或路由模式雖不是全新的特徵，但下一代防火牆的這種功能仍很重要。在當今的網路中部署了許多傳統的防火牆，但其中的多數並非下一代防火牆。為更容易地過渡下一代防火牆，下一代防火牆必須能夠以橋接模式(也稱為透明模式)連接，設備本身並不顯示為路由路徑的一部分。對任何一家特定的企業來說，在合適的時間，下一代防火牆應逐漸地替換傳統防火牆，從而使用路由模式。
比較下一代防火牆
如今的市場上有不少信息安全方案都宣稱自己是下一代防火牆。如何發現其差異並?下面談幾個審查和比較下一代防火牆的標准：
1.下一代防火牆是否可以防禦針對伺服器應用和客戶端應用的攻擊?其防禦程度如何?
2.是否能被規避或逃脫?
3.它是否穩定和可靠?
4.該方案是否能夠強化入站和出站的應用策略?
5.該方案是否能夠強化入站和出站的身份策略?
6.其性能如何?
進一步講，企業選擇部署哪種防火牆設備取決於幾個有限的因素。這是因為多數設備都滿足下一代防火牆的范疇，並能執行同樣的任務。所以，為什麼要選擇這個而不選那個?安全管理者最初可能是憑個人的喜愛和直覺來選擇，有時是根據一些事實或道聽途說的證據，但這些畢竟已經成為選擇標準的一部分。
在選擇具體的方案時，我們應考慮設備的功效問題。其中一個主要方面在發生了針對伺服器和客戶端應用的攻擊時，具體的方案可以阻止攻擊的比例有多大。雖然不同的方案之間的差異可能很小，但正是這小小的不同就可能成為發生嚴重安全事件和挫敗攻擊的分水嶺。
另一個需要考慮的因素是可通過設備的總吞吐量。由於這些設備在總吞吐量方面並不能直接比較，那如何更好地使用此標准呢?方法之一就是衡量每個受保護的比特所花費的成本。如果企業沒有經過審查而優先選擇了一家廠商，那麼機會成本是什麼呢?那就是還有一個更小巧或更強大的版本滿足企業環境的要求。
企業需要考慮的最後一個因素是該方案利用的電能和空間。還是那個問題，不同的設備並不能直接比較，一個簡單的比較和決定方法是，將設備的消耗量除以設備的規模(或除以設備的總吞吐量)，並比較不同設備的計算結果。

『捌』 如何全面評估下一代防火牆

要對下一代防火牆（即Next Generation Firewall，簡稱NG Firewall）進行全面評估，我們需要從功能與特性這兩個方面進行深入研究——而這也正是我們今天的核心議題。
下一代防火牆的概念出現並確立於2009年，但其普及速度卻明顯緩慢得多。截至2015年底，Gartner公司發現只有不到40%的企業利用下一代防火牆進行互聯網連接保護。
Gartner公司預計，未來幾年中市場對下一代防火牆的需求將呈現出爆發式增長，這也意味著企業需要積極為其網路需求更理想的保護手段。估計至2018年年底，互聯網連接中的85%將由下一代防火牆負責保護，而其中90%屬於下一代防火牆的新增客戶。
傳統防火牆 VS 下一代防火牆

傳統防火牆通過對埠及協議執行檢查與防護，以實現企業網路安全保障。傳統防火牆可以分為四種類型：包過濾、應用級網關、代理伺服器和狀態檢測。但由於互連網的開放性，有許多防範功能的防火牆也有一些防範不到的地方，如：傳統防火牆不能防範不經由防火牆的攻擊、傳統防火牆不能防止感染了病毒的軟體或文件的傳輸等等。
下 一代防火牆則完全不擔心這類問題，它可以網路中的數據包執行深度檢測，也就是將數據包解封到應用層。通過這種方式，它能確保數據包的各個組成部分被完整的 檢測，以識別畸形包、錯誤、已知攻擊和其他異常數據。還能夠快速識別並阻止木馬、病毒、垃圾郵件、入侵行為，以及其他違反正常通信協議的行為。數據包分析 通過各種方法實施，包括基於數據流的檢測，漏洞特徵、策略配置、協議識別、數據標准化，以及明文HTTP和加密HTTPS連接。
下一代防火牆的核心特性

Gartner 在題為《Defining the Next-Generation Firewall》的報告中指出：「不斷變化的業務流程、IT技術和網路威脅，正推動網路安全的新需求。協議的使用方式和數據的傳輸方式已發生變化，網路 攻擊的目標由單純的破壞演變為惡意軟體植入。在這種環境中，試圖要求在標准埠上使用合適協議的控制方法已不再具備足夠的有效性，傳統防火牆必須演進為下 一代防火牆。
由此可以總結出下一代防火牆擁有兩大核心特性：應用識別與控制以及身份感知。
應 用識別與控制允許大家對自身網路內的應用進行審查，同時控制相關應用的使用情況。通過識別應用程序並在應用層內強制執行網路安全策略——獨立於埠與協議 之外——大家可以實現應用程序黑名單或者白名單;允許微信但屏蔽《開心消消樂》等其它應用;允許QQ進行聊天但禁止其執行文件共享等細化控制能力。
買家提示：在挑選下一代防火牆時，大家需要考慮其策略設置是否與最為重要的業務應用相契合。E安全認為，下一代防火牆應當有能力對數十款最常用最具價值的應用程序進行細化管理，而無需單純關注支持成百上千大家可能根本用不到的冷門應用。
應用控制無疑是一項利器，其能夠阻止或者允許特定類型的應用使用方式。而身份感知則將這種控制能力同Active Directory等業務目錄加以整合，從而幫助我們更精確地應用防火牆規則，甚至對部門及個人用戶加以管控。
舉例來說，大家可以創建規則以允許銷售及營銷人員利用特定社交媒體應用，同時允許外包商或者臨時工作人員訪問其中一部分內容，而董事會成員則可以不受限制任意接入互聯網。
買家提示:身份感知功能往往被各類下一代防火牆廠商所反復強調，但在實踐過程中，這種控制用戶或者立足於群組層級實施保護的能力還沒有得到廣泛採用。除非大家擁有非常明確的身份感知需求，否則這部分功能在評價相關方案時不必太過強調。
下一代防火牆的其它重要特性
入侵防禦系統(簡稱IPS)
下一代防火牆供應商正將越來越多IPS功能添加至產品當中。不過需要強調的是，初期的IPS能力往往並不成熟，但如今其不僅更加強大、還與下一代防火牆的其它能力緊密對接。在不少下一代防火牆中，內置IPS甚至足以挑戰獨立的IPS方案。
買家提示：入 侵防禦系統屬於企業防禦體系中的重要組成部分，因此我們必須考慮自己選定的下一代防火牆是否具備IPS功能，或者有必要選擇獨立的優秀IPS產品。如果大 家需要將IPS與下一代防火牆相結合，Gartner建議我們通過現實威脅與網路負載環境利用第三方測試評估IPS方案的有效性。
網路沙箱
網路沙箱能夠提供保護以抵禦惡意軟體，具體方式包括將可疑文件發送到雲環境中的受隔離沙箱當中。在這里，各文件能夠加以運行，且執行結果將經過檢測以判斷其是否屬於惡意性質。
網路沙箱往往被下一代防火牆供應商或者合作夥伴以訂閱服務的形式推出。2014年全球網路沙箱市場總價值超過5億美元，而這一數字預計將在2019年增長至35億美元。
買家提示：網路沙箱正迅速成為一項主流功能，所以我們在考量供應商時必須要求其當前或者有計劃在不久的未來提供相關解決方案。
威脅情報供給
威脅情報供給旨在交付一套包含惡意IP地址、惡意簽名以及其它惡意指標的清單，幫助防火牆與IPS方案檢測威脅並預防攻擊。
買家提示：檢查下一代防火牆方案是否只能接收自家威脅情報供給，或者可以對接多種數據源。
需要向下一代防火牆安全廠商提出的問題

關於性能：
當全部安全功能都被禁用時，防火牆的峰值流量吞吐能力可達到怎樣的水平？
當全部必要安全功能都被啟用時，防火牆的峰值流量吞吐能力可達到怎樣的水平？
關於成本：
該設備的基礎成本是多少？
能夠實現我們安全要求的設備成本是多少？
年度維護與更新成本是多少？
年度訂閱成本是多少（包括情報供給以及網路沙箱等等）？
容量與安全功能可否根據需求進行調整，此類調整又會給成本帶來怎樣的影響？
關於配置：
對防火牆及安全容量進行配置需要怎樣的專業知識水平？
設備需要怎樣配置，其界面是否易於使用？
設備是否能夠輕松支持IPv6？
關於安全功能：
該防火牆能夠識別哪些應用程序，其能否為定製化應用程序建立識別能力？
其應用程序列表的更新頻率如何？
其能夠提供哪些類型的報告以幫助我們了解應用程序使用情況以及用戶行為？
其身份感知控制的細化程度如何？
其還能提供那些額外安全功能？
其IPS功能的有效性在基於現實威脅與網路負載場景時的第三方測試結果如何？
其支持哪些威脅情報供給來源？
反惡意軟體掃描等功能的更新交付方式是怎樣的？頻率又如何？由誰交付這些更新？是否允許客戶進行內部安全研究？
如果不提供網路沙箱功能，其是否已經被納入了短期發展路線圖？
該設備符合哪些安全認證？
E安全/文

『玖』 下一代防火牆的特點是什麼

國內最知名信息安全品牌TOPSEC(天融信)給出下一代防火牆的六大特質：
一、基於用戶防護傳統防火牆策略都是依賴IP或MAC地址來區分數據流.二、面向應用安全 三、高效轉發平台 四、多層級冗餘架構 五、全方位可視化 六、安全技術融合
http://ke..com/view/4862214.htm
業界的主流觀點認為，下一代防火牆應該實實在在實現以下六大功能：
基於用戶防護
傳統防火牆策略都是依賴IP或MAC地址來區分數據流，不利於管理也很難完成對網路狀況的清晰掌握和精確控制。此外還集成了安全准入控制功能，支持多種認證協議與認證方式，實現了基於用戶的安全防護策略部署與可視化管控。
面向應用安全
在應用安全方面，下一代防火牆應該包括「智能流檢測」和「虛擬化遠程接入」兩點。一方面可以做到對各種應用的深層次的識別;另外在解決數據安全性問題方面，通過將虛擬化技術與遠程接入技術相結合，為遠程接入終端提供虛擬應用發布與虛擬桌面功能，使其本地無需執行任何應用系統客戶端程序的情況下完成與內網伺服器端的數據交互，就可以實現了終端到業務系統的「無痕訪問」，進而達到終端與業務分離的目的。
高效轉發平台
為了突破傳統網關設備的性能瓶頸，下一代防火牆可以通過整機的並行多級硬體架構設計，將NSE(網路服務引擎)與SE(安全引擎)獨立部署。網路服務引擎完成底層路由/交換轉發，並對整機各模塊進行管理與狀態監控;而安全引擎負責將數據流進行網路層安全處理與應用層安全處理。通過部署多安全引擎與多網路服務引擎的方式來實現整機流量的分布式並行處理與故障切換功能。
多層級冗餘架構
下一代防火牆設備自身要有一套完善的業務連續性保障方案。針對這一需求，必須採用多層級冗餘化設計。在設計中，通過板卡冗餘、模塊冗餘以及鏈路冗餘來構建底層物理級冗餘;使用雙操作系統來提供系統級冗餘;而採用多機冗餘及負載均衡進行設備部署實現了方案級冗餘。由物理級、系統級與方案級共同構成了多層級的冗餘化架構體系。
全方位可視化
下一代防火牆還要注意「眼球經濟」，必須提供豐富的展示方式，從應用和用戶視角多層面的將網路應用的狀態展現出來，包括對歷史的精確還原和對各種數據的智能統計分析，使管理者清晰的認知網路運行狀態。實施可視化所要達到的效果是，對於管理范圍內任意一台主機的網路應用情況及安全事件信息可以進行准確的定位與實時跟蹤;對於全網產生的海量安全事件信息，通過深入的數據挖掘能夠形成安全趨勢分析，以及各類圖形化的統計分析報告。
安全技術融合
動態雲防護和全網威脅聯防是技術融合的典範。下一代防火牆的整套安全防禦體系都應該是基於動態雲防護設計的。一方面可以通過「雲」來收集安全威脅信息並快速尋找解決方案，及時更新攻擊防護規則庫並以動態的方式實時部署到各用戶設備中，保證用戶的安全防護策略得到及時、准確的動態更新;另一方面，通過 「雲」，使得策略管理體系的安全策略漂移機制能夠實現物理網路基於「人」、虛擬計算環境基於「VM」(虛擬機)的安全策略動態部署。

『拾』 公司最近想采購下一代防火牆，天融信的下一防火牆市場佔有率在行業中是個怎麼樣的情況性能怎麼樣

天融信下一代防火牆主要有以下關鍵技術
NGTOS下一代安全系統平台
天融信NGFW系列產品基於天融信公司十餘年高品質安全產品開發經驗結晶的NGTOS系統平台。NGTOS以多核硬體架構為基礎，分為系統內核層、硬體抽象層及安全引擎層。
TopTurbo數據層高速處理技術
天融信NGTOS系統平台通過在硬體抽象層引入TopTurbo技術使單塊安全引擎卡的網路吞吐能力獲得了重大突破，而在天融信的並行多級硬體架構下通過部署多安全引擎卡將使NGFW下一代防火牆系列的旗艦機型整機網路吞吐達到320Gbps。

一體化的智能過濾引擎
天融信NGFW下一代防火牆產品，採用高度集成的一體化智能過濾引擎技術。其能夠在一次數據拆包過程中，對數據進行並行深度檢測，從而保證了協議深度識別的高效性。