安全趋势：边界安全之网络安全NGFW+（3）

 四、如何评估NGFW

        NGFW属于新生产品，目前业界对其还没有一个公认的 测试标准，甚至独立的测试报告都寥寥无几。随着网络应用的增加以及云计算的发展，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数 据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小，所以如何判断下一代防火墙好坏应从以下几个方面综合评 估：

        硬件架构方面：在近几年，一些防火墙制造商开发了基于ASIC的防火墙，从执行速度的角度看来，基于加上芯片的防火墙也是取决于软件 的解决方案，它需要在很大程度上依赖于软件的性能，虽然这类防火墙中有一些专门用于处理数据层面任务的引擎，能减轻CPU的负担，性能要比传统防火墙的性 能好许多，但这也存在很多问题，ASIC主要处理网络层数据，而当今应用层已经占据半壁江山，虽然起到加速作用，但效果甚微，另一方面，由于ASIC对新 建并发、最大并发连接并不起多大作用，防火墙的并发瓶颈并未得到真正解决，人们更多的倾向于多核MIPS技术，所以，多核多线程并行处理技术既能解决高并 发的问题，也能处理应用层协议，这一方向得到了多数安全厂商的认可。

        易用界面方面：管理界面的易用性也是不容忽视的评估要素。虽然用户识 别/控制和统一的策略框架不是NGFW定义中的强制功能，但根据用户的实际需求出发，在该领域应做出更加深入的用户体验改善。用户应当考察NGFW产品是 否可以通过获取域控制器信息或Web认证等手段，做到IP与用户身份的绑定，再通过统一的策略框架进行更加直观、简单的权限定义，以达到“允许市场部门的 所有员工从任何位置访问新浪微博”、“只允许IT部门员工从特定位置使用SSH、 Telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的WebUI、报表系统、端点 套件和集中管理系统。

        性能测试方面：许多用户都知道针对传统防火墙有RFC2544、RFC3511、GB/T 20281-2006这样公认的测试规范。这类产品的业务模型比较单一，有经验的测试人员或管理员会依照规范测得的结果，甚至可以凭经验去预估防火墙在某 个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进应用层感控时代开始，实验室环境中进行的标准化测试就失去了原有的指导意义。而NGFW 产品在进行性能评估时会更复杂，用户必须根据自身的业务需求，抽象出与之吻合的流量模型，进行细致的、有针对性的测试工作，才能得到有价值的评估依据。并 且在测试过程中，应时刻以“寻找最差性能”的目标，方可在未来的实际使用中规避性能瓶颈。

五、网御NGFW+产品

         网御星云公司早在2010年初就已立项启动下一代智能感控防火墙的研发，当前正经历临床试验阶段，功能包括所有NGFW的特质，并融合网御的云防御理念的NGFW+新生代产品，预计2011年下半年将全面上市，其产品特点及核心技术有以下几点：