下一代防火墙供应商对比

1. 各大网络安全厂商（天融信、启明、绿盟、网域、深信服等）的硬件设备优劣之处是

这几个网络安全厂商都是比较著名，而且市面上覆盖率比较多的了，口碑评价方面也都还比较好，下面来具体说说这几家的优势劣势在哪。

因为列举出来的比较多，所以有些厂商会有不少共同之处，有相同之处就放在一块说了。绿盟、天融信、网御、启明这四家厂商是比较传统并且比较综合的。主要的服务对象是政府以及军工业，因为是对国家服务。资质水平是一定够的，并且安全性也比较高且稳定，不然国家哪里敢用。并且在全国各地都有自己的办事点，可以在出现问题的时候及时作出反应，售后的保障还是比较强的。

以上就是对于这个问题我个人的一些看法，仅供参考。

2. 如何全面评估下一代防火墙

要对下一代防火墙（即Next Generation Firewall，简称NG Firewall）进行全面评估，我们需要从功能与特性这两个方面进行深入研究——而这也正是我们今天的核心议题。
下一代防火墙的概念出现并确立于2009年，但其普及速度却明显缓慢得多。截至2015年底，Gartner公司发现只有不到40%的企业利用下一代防火墙进行互联网连接保护。
Gartner公司预计，未来几年中市场对下一代防火墙的需求将呈现出爆发式增长，这也意味着企业需要积极为其网络需求更理想的保护手段。估计至2018年年底，互联网连接中的85%将由下一代防火墙负责保护，而其中90%属于下一代防火墙的新增客户。
传统防火墙 VS 下一代防火墙

传统防火墙通过对端口及协议执行检查与防护，以实现企业网络安全保障。传统防火墙可以分为四种类型：包过滤、应用级网关、代理服务器和状态检测。但由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方，如：传统防火墙不能防范不经由防火墙的攻击、传统防火墙不能防止感染了病毒的软件或文件的传输等等。
下 一代防火墙则完全不担心这类问题，它可以网络中的数据包执行深度检测，也就是将数据包解封到应用层。通过这种方式，它能确保数据包的各个组成部分被完整的 检测，以识别畸形包、错误、已知攻击和其他异常数据。还能够快速识别并阻止木马、病毒、垃圾邮件、入侵行为，以及其他违反正常通信协议的行为。数据包分析 通过各种方法实施，包括基于数据流的检测，漏洞特征、策略配置、协议识别、数据标准化，以及明文HTTP和加密HTTPS连接。
下一代防火墙的核心特性

Gartner 在题为《Defining the Next-Generation Firewall》的报告中指出：“不断变化的业务流程、IT技术和网络威胁，正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化，网络 攻击的目标由单纯的破坏演变为恶意软件植入。在这种环境中，试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性，传统防火墙必须演进为下 一代防火墙。
由此可以总结出下一代防火墙拥有两大核心特性：应用识别与控制以及身份感知。
应 用识别与控制允许大家对自身网络内的应用进行审查，同时控制相关应用的使用情况。通过识别应用程序并在应用层内强制执行网络安全策略——独立于端口与协议 之外——大家可以实现应用程序黑名单或者白名单;允许微信但屏蔽《开心消消乐》等其它应用;允许QQ进行聊天但禁止其执行文件共享等细化控制能力。
买家提示：在挑选下一代防火墙时，大家需要考虑其策略设置是否与最为重要的业务应用相契合。E安全认为，下一代防火墙应当有能力对数十款最常用最具价值的应用程序进行细化管理，而无需单纯关注支持成百上千大家可能根本用不到的冷门应用。
应用控制无疑是一项利器，其能够阻止或者允许特定类型的应用使用方式。而身份感知则将这种控制能力同Active Directory等业务目录加以整合，从而帮助我们更精确地应用防火墙规则，甚至对部门及个人用户加以管控。
举例来说，大家可以创建规则以允许销售及营销人员利用特定社交媒体应用，同时允许外包商或者临时工作人员访问其中一部分内容，而董事会成员则可以不受限制任意接入互联网。
买家提示:身份感知功能往往被各类下一代防火墙厂商所反复强调，但在实践过程中，这种控制用户或者立足于群组层级实施保护的能力还没有得到广泛采用。除非大家拥有非常明确的身份感知需求，否则这部分功能在评价相关方案时不必太过强调。
下一代防火墙的其它重要特性
入侵防御系统(简称IPS)
下一代防火墙供应商正将越来越多IPS功能添加至产品当中。不过需要强调的是，初期的IPS能力往往并不成熟，但如今其不仅更加强大、还与下一代防火墙的其它能力紧密对接。在不少下一代防火墙中，内置IPS甚至足以挑战独立的IPS方案。
买家提示：入 侵防御系统属于企业防御体系中的重要组成部分，因此我们必须考虑自己选定的下一代防火墙是否具备IPS功能，或者有必要选择独立的优秀IPS产品。如果大 家需要将IPS与下一代防火墙相结合，Gartner建议我们通过现实威胁与网络负载环境利用第三方测试评估IPS方案的有效性。
网络沙箱
网络沙箱能够提供保护以抵御恶意软件，具体方式包括将可疑文件发送到云环境中的受隔离沙箱当中。在这里，各文件能够加以运行，且执行结果将经过检测以判断其是否属于恶意性质。
网络沙箱往往被下一代防火墙供应商或者合作伙伴以订阅服务的形式推出。2014年全球网络沙箱市场总价值超过5亿美元，而这一数字预计将在2019年增长至35亿美元。
买家提示：网络沙箱正迅速成为一项主流功能，所以我们在考量供应商时必须要求其当前或者有计划在不久的未来提供相关解决方案。
威胁情报供给
威胁情报供给旨在交付一套包含恶意IP地址、恶意签名以及其它恶意指标的清单，帮助防火墙与IPS方案检测威胁并预防攻击。
买家提示：检查下一代防火墙方案是否只能接收自家威胁情报供给，或者可以对接多种数据源。
需要向下一代防火墙安全厂商提出的问题

关于性能：
当全部安全功能都被禁用时，防火墙的峰值流量吞吐能力可达到怎样的水平？
当全部必要安全功能都被启用时，防火墙的峰值流量吞吐能力可达到怎样的水平？
关于成本：
该设备的基础成本是多少？
能够实现我们安全要求的设备成本是多少？
年度维护与更新成本是多少？
年度订阅成本是多少（包括情报供给以及网络沙箱等等）？
容量与安全功能可否根据需求进行调整，此类调整又会给成本带来怎样的影响？
关于配置：
对防火墙及安全容量进行配置需要怎样的专业知识水平？
设备需要怎样配置，其界面是否易于使用？
设备是否能够轻松支持IPv6？
关于安全功能：
该防火墙能够识别哪些应用程序，其能否为定制化应用程序建立识别能力？
其应用程序列表的更新频率如何？
其能够提供哪些类型的报告以帮助我们了解应用程序使用情况以及用户行为？
其身份感知控制的细化程度如何？
其还能提供那些额外安全功能？
其IPS功能的有效性在基于现实威胁与网络负载场景时的第三方测试结果如何？
其支持哪些威胁情报供给来源？
反恶意软件扫描等功能的更新交付方式是怎样的？频率又如何？由谁交付这些更新？是否允许客户进行内部安全研究？
如果不提供网络沙箱功能，其是否已经被纳入了短期发展路线图？
该设备符合哪些安全认证？
E安全/文

3. 下一代防火墙的应用

下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报，如：使用Web邮件、anonymizer、端到端或计算机远程控制等。仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求。细粒度策略会要求仅阻止发向其它允许目的地的部分类型的应用通讯，并利用重新导向功能根据明确的黑名单规则使其无法实现该通讯。这就意味着，即使有些应用程序设计可避开检测或采用SSL加密，下一代防火墙依然可识别并阻止此类程序。而业务识别的另外一项优点还包括带宽控制，例：因为拒绝了无用或不允许进入的端到端流量，从而大幅降低了带宽的耗用。
仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络的来临，下一代防火墙的应用已然是不可抗拒的趋势，有理由相信到2014年年末使用这一产品进行保护的比例将上升至35%，同时，其中将有60%都为重新购买下一代防火墙。
大型企业都将随着正常的防火墙与IPS更新循环的到来逐渐采用下一代防火墙代替其现有的防火墙，或因带宽需求的增高或遭受了攻击而进行防火墙升级。许多防火墙与IPS供应商都已升级了其产品，以提供业务识别与部分下一代防火墙特性，且有许多新兴公司都十分关注下一代防火墙功能。Gartner的研究报告说明，认为随着威胁情况的变化以及业务与IT程序的改变都促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品。而下一代防火墙的供应商们成功占有市场的关键则在于需要证明第一代防火墙与IPS特性既可与当前的第一代功能相匹配，又能同时兼具下一代防火墙功能，或具有一定价格优势。
复杂环境下网络安全管理的窘境
随着网络安全需求不断深入，大量政府、金融、大企业等用户将网络划分了更为细致的安全区域，并在各安全区域的边界处部署下一代防火墙设备。对于所有的网络管理者来说，安全设备数量的不断激增无疑增加了管理上的成本，甚至成为日常安全运维工作的负担，对网络安全管理起着消极的反作用。对于大型网络而言，网络管理者往往需要在每一台安全设备上逐一部署安全策略、安全防护规则等，并且在日常的维护中，还要逐一的对设备进行升级等操作，类似重复的工作将耗费大量的时间，同时大量人工操作势必将带来误配置的风险。
对于高风险、大流量、多业务的复杂网络环境而言，全网部署的下一代防火墙设备工作在不同的安全区域，各自为战，为了进行有效的安全管理，管理者往往要单独监控每一台设备的运行状态、流量情况以及威胁状况等，对于绝大多数人力资源并不充裕的信息部门，这无疑又是一项效率低、难度大的工作，监控到的信息往往由于实时性差，易疏漏等问题，对全网安全性的提升并无促进作用。
安全管理应面向风险而非单纯的安全事件响应，网络安全同样遵循这样的方向和趋势，而如何及时预见风险，以及在安全事件发生后如何快速溯源并采取响应措施，是摆在每一位网络管理者面前的难题。专家认为，基于大数据挖掘技术无疑可以帮助管理者更加快速的发现网络中的异常情况，进而尽早的确认威胁并采取干预措施，实现主动防御。而此方案实现的前提，则需具备对数据的收集集中能力以及智能分析能力。
为什么要识别应用
随着以WEB2.0为代表的社区化网络时代的到来，互联网进入了以论坛、博客、社交、视频、P2P分享等应用为代表的下一代互联网时代，用户不再是单向的信息接受者，更是以WEB应用为媒介的内容发布者和参与者，在这种趋势下，越来越多的应用呈现出WEB化，据调查显示超过90%的网络应用运行于HTTP协议的80和443端口，大量应用可以进行端口复用和IP地址修改。
然而，由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量，并执行相关的策略。所以对于WEB2.0应用来说，传统防火墙看到的所有基于浏览器的应用程序的网络流量是完全一样的，无法区分各种应用程序，更无法实施策略来区分哪些是不当的、不需要的或不适当的程序，或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议，会导致阻止所有基于web的流量，其中包括合法商业用途的内容和服务。即便是对授权通过的流量也会因为不能细粒度的准确分辨应用，而使针对应用的入侵攻击或病毒传播趁虚而入，使用户私有网络完全暴露于广域网威胁攻击之中。
综上所述，在新一代网络技术发展和新型应用威胁不断涌现的现有环境下，对网络流量进行全面、智能、多维的应用识别需求已迫在眉睫，也必将成为下一代防火墙所必须具备的基本和核心理念之一。
全面、多维的识别应用
每一种网络应用都应具备多方面的属性和特质，比如商业属性、风险属性、资源属性、技术属性等等，只有从各个角度多维、立体的去识别一个应用才会更加全面和准确。举例来说，从商业属性来讲，可以是ERP/CRM类、数据库类、办公自动化类或系统升级类应用;从风险属性来讲，可以是1至5级不等的风险级别分类，风险级别越高的应用(如QQ/MSN文件传输等)其可能带来的恶意软件入侵、资产泄密的可能性就越高;从资源属性来讲，可以是容易消耗带宽类、容易误操作类或易规避类的应用等;而从技术属性来讲，又可以是P2P类、客户端/服务器类或是基于浏览器类的应用等。
对应用的多维、立体识别不仅是下一代防火墙做到全面、准确识别应用的必须要求，更是辅助用户管理应用、制定应用相关的控制和安全策略的关键手段，从而将用户从晦涩难懂的技术语言抽离出来，转而采用用户更关心和可以理解的语言去分类和解释应用，方便其做出正确的控制和攻防决断。下一代防火墙必须也应该要做到这一点，一种重要的实现手段就是---应用过滤器。
应用过滤器的关键特点是提供给用户一种工具，让用户通过易于理解的属性语言去多维度的过滤和筛选应用，经过筛选过滤后得到的所有应用形成一个应用集，用户可以对此应用集针对性的进行统一的访问控制或安全管理。举例来说，作为边界安全设备，用户希望在允许内网用户与外网进行必要的邮件、IM即时通信、网络会议通信的同时，能够对其中的中、高级风险类应用进行安全扫描和防护，保证通信安全，杜绝威胁入侵。要做到这点用户只要通过应用过滤器，在商业属性维度给出选择，这里选择协作类应用(包括邮件、IM通信、网络会议、社交网络、论坛贴吧等应用)，再在风险属性维度给出选择，这里可选择3级以上风险等级，应用过滤器会根据选择过滤、筛选出符合维度要求的所有应用(这里包括雅虎mail、QQ邮箱、MSN聊天、WebEx会议、人人网论坛等几十个应用)，并以分类页表的形式呈现给用户，用户还可以通过点击应用名称查看每个应用的详细描述信息。接下来在一体化安全策略中，用户在指定好IP、安全区、时间、用户等基本控制条件，以及指定好IPS、防病毒、URL过滤、内容过滤等安全扫描条件后，只要选定刚才的应用过滤器，即可对所有内外网协作且高风险类应用进行全天24小时的安全扫描和防护，当发现攻击威胁时及时阻断并审计记录，保障用户的应用安全无忧。
识别未知应用
社区化网络的发展，缩短了世界各地用户经验交流和合作的时间与空间，应用数量和种类及相关的网络威胁都在日新月异的增长和发展着。面对来自世界各地、随时随地涌现的新类型、新应用，任何一个安全厂商或机构都无法第一时间毫无遗漏的全部涵盖和一网打尽，下一代防火墙必须提供一种机制，去第一时间识别和控制应用，保障用户网络每一秒都不会暴露在网络威胁之下。这就要求其必须要具备应用自定义的能力。
所谓应用自定义，就是以动态的方式允许用户对某种/某些非通用化、用户私有的无法识别的应用进行特征化的描述，系统学习并记忆这种描述，并在之后的网络通信中去智能的分析和匹配此种特征，从而将其识别出来，实现将应用由未知转化为已知。这种机制免去了传统以往为增加应用而重做的软件引擎、识别库版本开发、定制、上线、升级等大量工作，节省了大量宝贵时间，第一时间保障用户网络安全。
下一代防火墙的应用自定义应该包括维度归类和特征码指定两部分。维度归类将自定义出的应用如同其它已有应用一样从多维度进行分类划分，如该应用属于哪种商业类型、何种资源属性、怎样的风险级别等等，与应用过滤器形成完美配合。同时通过特征码，指定出应用在包长度、服务端口、连接方式、甚至于特征字符串/数字串等等方面的数据特征，多种方式灵活组合，并可依需要无限度扩展，涵盖了学习、辨识一个新应用的所有特征因素，从而第一时间让所有已有的或未来将有的未知应用无处遁形，完全掌握于控制之中。
全国人大代表、中国电子科技集团公司总经理熊群力向记者透露，我国自主开发的全新一代国产工业防火墙即将推出，将为国内工业用户提供工业控制信息安全“固、隔、监”的防护体系。
据熊群力介绍，作为功能全面、安全性高的网络安全系统，这套名为三零卫士工业防火墙的新一代国产工业防火墙，采用国际上最先进的网络安全技术，是针对工控网络安全的具体应用环境完全自主开发的安全产品。工控网络安全涉及国家关键基础设施信息系统如电力、轨道交通、石油、水务等的基础网络所面临的安全问题，此前在2013年，中国电科已率先研制了两款国内首创、拥有完全自主知识产权、基于专用硬件的工业控制系统信息安全产品。

4. 下一代防火墙比UTM强在哪里

简单点说。
下一代防火墙比UTM强在以下几点：
1. 应用识别能力更强大、应用识别粒度更细
2. 所有安全模块高度整合，实现一体化防护
3. 更先进的威胁识别能力，如基于行为识别威胁的主动防御
4. 更高的应用层性能
参考文章：《网络安全时代新解 下一代防火墙不是“筐”》http://soft.yesky.com/security/225/34539725.shtml。

5. 天融信的下一代防火墙怎么样

天融信是国内一线安全厂商，具有自主知识产权，在业内有着很好的市场占有率有极高的品牌认知度，他们的下一代防火墙产品当然也不错，我们公司用过他们的产品，他们拥有下一代防火墙核心技术：NGTOS下一代安全系统平台，TopTurbo数据层高速处理技术和一体化的智能过滤引擎。

6. 下一代防火墙与普通防火墙的最大区别在哪里

下一代防火墙相对比与传统防火墙有了很大的创新，
第一就是应用识别与控制能力；
第二是可视化的产品设计；
第三是多安全引擎，并且能做到智能联动。其中最大区别应该在于应用识别。可以参考这篇文章《应用识别——下一代防火墙的核心》
http://www.cnw.com.cn/weekly/htm2013/20130108_262504.shtml

7. 想问下一代防火墙怎么样有推荐的么

下一代防火墙与传统防火墙相比，在功能和性能上得到了更好的完善，能更好的应对互联网应用带来的层出不穷的安全威胁，下一代防火墙不只有传统防火墙的功能，还能通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。推荐的话还是建议使用成立时间早比较有名的供应商，如网康科技或者深信服的，前者比较了解，网康有自己本公司的应用识别库，将新增加的应用的特征码等基本信息完可以及时善到应用库中，这点是其他公司所没有的，推荐下，哈哈！

8. 与其他防火墙相比天融信的下一代防火墙有什么不同

下一代防火墙作为当前网络安全领域讨论最热的产品，天融信下一代防火墙为什么好呢：
NGFW○R系列产品基于天融信公司10年高品质安全产品开发经验结晶的NGTOS系统架构，采用了多项突破性技术。基于分层的设计思想，天融信公司通过长期的安全产品研发经验，分析多种安全硬件平台技术的差异，创造性地提出在硬件和操作系统内核层之间引入硬件抽象层。基于硬件抽象技术，使得NGTOS能适应各种硬件体系平台，并充分利用多种计算技术的优点。通过完善的系统结构设计，使NGTOS对比业界通常使用的其它系统具有如下特性：
高效、可靠的基础系统
NGTOS高效转发系统提供的多任务机制中对任务的控制采用了优先级抢占(Preemptive Priority Scheling)和轮转调度(Round-Robin Scheling)机制，充分保证了可靠的实时性，使同样的硬件配置能满足更强的实时性要求，为应用的开发留下更大的余地。同时，采用专为报文转发设计实现的系统，与通用操作系统相比，内容更精简，稳定性、可靠性更高。
应用安全精细识别与控制
NGTOS能够精确的识别12大类，超过400种当今互联网中常见和流行的网络协议，而这些协议的识别，并不是像传统防火墙中依赖端口号来简单的区分应用。天融信组建了一支专业的协议分析团队，密切的跟踪互联网应用协议的变化动态，及时的更新设备内置的应用协议特征库。在业界通用的单包特征匹配方法(DPI)之外，天融信还独创行为识别方法(DFI)，通过的报文地址、端口、长度、数量，以及多个会话间的关联关系，来识别很多种特征并不明显或特征经常发生变化的协议，例如一些P2P应用和加密协议。
内容安全策略完美整合
由于传统防火墙基于五元组的访问控制机制无法应对各种复杂的网络应用，因此，NGTOS中的安全策略整合了用户身份、应用识别与控制、IPS、AV、URL过滤、垃圾邮件过滤、流量控制等等多种安全特性，从而构建了全方位立体化的安全防御体系。而这些安全已经实现单一引擎处理和联动，例如入侵防御功能侦测到的威胁可以自动加载到防火墙规则内，在网络层就能提前阻断。它们之间已经不仅仅再是互动关系，而是一个整体。
高性能平台
据测算，到2015年通过网络处理的数据量将比目前增长4倍，这对网络设备的性能提出了更高要求。天融信NGTOS基于先进的SmartAMP并行处理架构，内置处理器动态负载均衡专利技术，结合独创的SecDFA核心加速算法，保证了在NGFW○R产品中开启全特征和全部流量的情况下，整机的转发性能并不受明显的影响。与此同时，天融信通过此次与Intel的合作，利用Intel数据层高速处理技术将数据包处理解决方案快速迁移到最新的英特尔架构平台上，以获得最优性能。Intel数据层高速处理技术是一套用于高速网络的数据平面库，与Intel多核平台合而为一，可获得更高的数据包处理能力。通过将天融信NGTOS与Intel数据层高速处理技术进行有效整合，使天融信NGFW○R系列产品单安全引擎板网络吞吐性能达到40Gbps,而在天融信并行多级的硬件架构下通过部署多安全引擎将使NGFW○R旗舰机型整机吞吐达到320Gbps

9. 下一代防火墙是在什么样的情况下提出的，有什么优势呢

下一代防火墙概念的提出是在2009年，著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁，认为防火墙必需要再一次升级为下一代防火墙。原因是第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁，下一代防火墙主要是为了应对现在复杂的网络环境，也就是探测和防御应用。面对如此庞大的网络规模以及安全挑战，主流网络安全企业先后推出了下一代防火墙产品，除了传统防火墙功能外，下一代防火墙同时具备可与之联动的IPS、应用管控、可视化和智能化联动等。下一代的防火墙产品对各种安全功能进行重新组合和排列，并从配置上把这些功能进行很好的集成。像国内一些知名供应商，如网康、深信服等早已着手这方面了，据朋友的公司说网康的下一代防火墙还可以，综合性能比深信服烧好一些，主要操作也简单。

10. 天融信防火墙怎么样在业内是不是一流的

PA最好，checkpoint第二，fortinet第三，Cisco第四，华为第五，（上表是2016年的，现在业内的排名就是这样），天融信......额，是我们合作伙伴，不好说有多垃圾。