四、如何評估NGFW

        NGFW屬于新生產(chǎn)品，目前業(yè)界對其還沒有一個公認(rèn)的 測試標(biāo)準(zhǔn)，甚至獨立的測試報告都寥寥無幾。隨著網(wǎng)絡(luò)應(yīng)用的增加以及云計算的發(fā)展，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù) 據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小，所以如何判斷下一代防火墻好壞應(yīng)從以下幾個方面綜合評 估：

        硬件架構(gòu)方面：在近幾年，一些防火墻制造商開發(fā)了基于ASIC的防火墻，從執(zhí)行速度的角度看來，基于加上芯片的防火墻也是取決于軟件 的解決方案，它需要在很大程度上依賴于軟件的性能，雖然這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，能減輕CPU的負(fù)擔(dān)，性能要比傳統(tǒng)防火墻的性 能好許多，但這也存在很多問題，ASIC主要處理網(wǎng)絡(luò)層數(shù)據(jù)，而當(dāng)今應(yīng)用層已經(jīng)占據(jù)半壁江山，雖然起到加速作用，但效果甚微，另一方面，由于ASIC對新 建并發(fā)、最大并發(fā)連接并不起多大作用，防火墻的并發(fā)瓶頸并未得到真正解決，人們更多的傾向于多核MIPS技術(shù)，所以，多核多線程并行處理技術(shù)既能解決高并 發(fā)的問題，也能處理應(yīng)用層協(xié)議，這一方向得到了多數(shù)安全廠商的認(rèn)可。

        易用界面方面：管理界面的易用性也是不容忽視的評估要素。雖然用戶識 別/控制和統(tǒng)一的策略框架不是NGFW定義中的強(qiáng)制功能，但根據(jù)用戶的實際需求出發(fā)，在該領(lǐng)域應(yīng)做出更加深入的用戶體驗改善。用戶應(yīng)當(dāng)考察NGFW產(chǎn)品是 否可以通過獲取域控制器信息或Web認(rèn)證等手段，做到IP與用戶身份的綁定，再通過統(tǒng)一的策略框架進(jìn)行更加直觀、簡單的權(quán)限定義，以達(dá)到“允許市場部門的 所有員工從任何位置訪問新浪微博”、“只允許IT部門員工從特定位置使用SSH、 Telnet、遠(yuǎn)程桌面應(yīng)用”等以用戶、應(yīng)用為核心元素的訪問控制策略配置模式。易用性的另一個重要體現(xiàn)是設(shè)備是否提供中文的WebUI、報表系統(tǒng)、端點 套件和集中管理系統(tǒng)。

        性能測試方面：許多用戶都知道針對傳統(tǒng)防火墻有RFC2544、RFC3511、GB/T 20281-2006這樣公認(rèn)的測試規(guī)范。這類產(chǎn)品的業(yè)務(wù)模型比較單一，有經(jīng)驗的測試人員或管理員會依照規(guī)范測得的結(jié)果，甚至可以憑經(jīng)驗去預(yù)估防火墻在某 個特定場景中的性能衰減幅度。而當(dāng)網(wǎng)關(guān)設(shè)備使用的訪問控制技術(shù)走進(jìn)應(yīng)用層感控時代開始，實驗室環(huán)境中進(jìn)行的標(biāo)準(zhǔn)化測試就失去了原有的指導(dǎo)意義。而NGFW 產(chǎn)品在進(jìn)行性能評估時會更復(fù)雜，用戶必須根據(jù)自身的業(yè)務(wù)需求，抽象出與之吻合的流量模型，進(jìn)行細(xì)致的、有針對性的測試工作，才能得到有價值的評估依據(jù)。并 且在測試過程中，應(yīng)時刻以“尋找最差性能”的目標(biāo)，方可在未來的實際使用中規(guī)避性能瓶頸。

五、網(wǎng)御NGFW+產(chǎn)品

         網(wǎng)御星云公司早在2010年初就已立項啟動下一代智能感控防火墻的研發(fā)，當(dāng)前正經(jīng)歷臨床試驗階段，功能包括所有NGFW的特質(zhì)，并融合網(wǎng)御的云防御理念的NGFW+新生代產(chǎn)品，預(yù)計2011年下半年將全面上市，其產(chǎn)品特點及核心技術(shù)有以下幾點：