分享

在距离今天不到六十年的时间里，出现了几个与当今电子信息领域有着重大影响的公司和个人。最重要的公司当然是Fairchild半导体，另一些是Fairchild半导体派生出的公司。最有影响力的人选有诸多争议，有人说是Robert Noyce，也有人说是Jack Kilby，我以为只能是William Shockley。我每阅读着与Shockley有关的史料事迹，总有莫名的酸楚。他是硅谷的事实缔造者，也是硅谷第一弃徒。整个硅谷，整个IT史册，再无一人如Shockley般谤满天下。

1947年12月16日，John Bardeen，Walter Brattain和William Shockley发明了人类历史上第一颗固态放大器，之前的放大器采用的是至今或许已被遗忘的真空电子管。他们意识到这个放大器的本质是阻抗的变化，将他们的发明称为Trans-resistor，简称为Transistor。多年以后，钱学森将其正式命名为晶体管。正是这一天的发明，人类进步的历史轨迹被再次更改。一个令所有人为之振奋的电子信息时代即将到来。

1956年的诺贝尔物理奖没有丝毫争议地赋予了这三人。在此前的一年Shockley只身来到加州，来到Santa Clara，成立了Shockley半导体实验室。在这片美国最晚迎来阳光的大地，因为Shockley的到来，将升起第一面迎接电子信息时代的旗帜。

Shockley选人的眼光，与他的科技才能严格成正比。IT史册记载了先后加入Shockley半导体实验室的八位科学家，他们分别是Julius Blank，Victor Grinich，Jean Hoerni，Eugene Kleiner，Jay Last，Gordon Moore，Sheldon Roberts和Robert Noyce。这八个人即将被Shockley称为Traitorous Eight。

Shockley的用人方式，与他的科技才能成反比，在获得诺贝尔物理奖后，也许他认为在科技领域已经没有什么值得他去挑战，他选择挑战财富。他的目标是生产5美分一支的晶体管，借此挑战在加州已经声名赫赫的Hewlett和Packard。Shockley的这个目标直到上世纪八十年代才得以实现。Shockley的想法总是令人难于琢磨。在Shockley半导体实验室存在的岁月里，起初怀抱着无限崇拜与幻想的，Shockley天才的门徒们始终忍受着煎熬。从加入这个到离开这里，他们没有创造出任何一项可以另他们为之自豪的产品。

在Shockley否决了他们准备研究集成电路的一项提议之后，他们被最后一根稻草压垮。这八个人已经不再对Shockley存有任何幻想，集体向Shockley提出辞职。震惊的Shockley，愤怒的Shockley，狂躁的Shockley将这八个人统称为Traitorous Eight。发明了晶体管的Shockley，注定不能制造出晶体管。面对着即将到来的电子信息时代，Shockley黯然离去。他最终加入了斯坦福大学，成为一名教授。

也许是因为Shockley过于孤独，也许是因为Shockley过于希望被人再次关注，他发表了一篇可以让他在耻辱架上停留相当长一段时间的论文，黑人的智商低于白种人。这是Shockley的最后绝唱。1989年，Shockley在孤独中离开这个世界，他的孩子也只是在报纸中得知他的死讯。他启动了一个时代，却只是一个匆匆过客。

离开Shockley之后的Traitorous Eight得到新生，共同创建了仙童半导体公司。这个公司书写了一段至今仍令整个硅谷炫彩夺目的传奇。但是仙童半导体公司并没有看到硅谷最强盛的一刻。业已故去的Jobs，将仙童半导体公司比喻为一颗成熟的蒲公英，你一吹它，这种创业精神的种子就随风四处飘扬了。陪伴着这些种子同时离去的是人才。这些陆续离去的人才击垮了这家伟大的公司，也创造了硅谷持续的辉煌。

从这时起，叛逆精神在硅谷生根发芽；从这时起，更多的年轻人意识到从车库里诞生的创意完全可以击垮貌似不可战胜的巨人；从这时起，在这片土地上可以诞生任何奇迹。来自全世界各个角落的资金疯狂涌入这片长不足32公里的大地。Intel，Apple，Oracle，Sun Microsystem，AMD，Yahoo等一系列公司先后诞生在这里，组成了上世纪下半叶一道最为炫丽的风景线。集成电路屹立在这道风景线之上。

1958年，Jack Kilby与Robert Noyce先后发明集成电路，Jack Kilby因此获得了2000年的Nobel物理奖。Robert Noyce于1990年故去，没有等到颁奖的这一天，但是他仅凭创建了Intel这一件事情，在半导体工业界的地位就几乎无人可敌。

在集成电路出现之后，更大规模集成电路的到来，通用处理器的横空出世只是时间问题。1965年Gordon Moore提出在一个集成电路上可容纳的晶体管数目，大约每隔24个月(1975年摩尔将24个月更改为18个月)增加一倍，性能提升一倍。摩尔定律指引并激励着一代又一代的工程师奋勇向前。

1971年，第一个微处理器4004在Intel诞生，随后是8008，8086，80286。很快微处理器席卷了整个天下。在上世纪八十年代中后期，Motorola 68K，MIPS，x86，SUN SPARC，Zilog Z80，联手上演了一场至今仍令人难以忘怀的微处理器大战。

在上世纪九十年代初，x86处理器在微处理器大战中胜出，中小型机逐步退出历史舞台，Intel却迎来了一场更大的危机。DEC(Digital Equipment Corporation)的Alpha处理器，AIM(Apple IBM Motorola)的PowerPC处理器，MIPS处理器和SUN UltraSPARC处理器组成了有史以来最强大的微处理器联盟，RISC联盟。Intel将要迎接来自这个联盟的挑战。当时的Intel在面对这个联盟时没有任何可以与之对抗的技术优势。事实上，RISC联盟的任何一只力量在处理器上的技术也领先于Intel。

面对这一切，昔日最坚定的盟友Microsoft开始动摇，公开宣称支持这个RISC联盟。Intel并没有动摇，至少Andy Grove没有动摇。对于Intel，退路只有万丈深渊。我喜欢那时那样的Intel。Andy Grove时代的Intel是一个连说“老子不会”都无比自信的Intel，是“老子除了技术不行，其他都行”的Intel。那时的Intel，乐子之无知，乐子之无思，乐子之独行。

几乎控制了Server市场全部份额的RISC联盟很快面对了一个几乎无解Chicken and Egg Question。Wintel联盟在不断前行的历程中，有如黑洞，疯狂般席卷着天下的应用。在整个PC世界中，几乎所有应用都已经基于x86这个并不完美的指令集。没有应用，RISC联盟无法进入PC世界去击败Intel，RISC联盟无法进入PC世界也就没有应用。面对这个难题，即便是Wintel联盟中一支的Microsoft亦无法化解。这是一种天然的力量。

RISC联盟只能在Server市场中苟存，看着Intel在不断地发展壮大，进入Server，然后战胜整个RISC联盟。面对这个由Chicken and Egg Question形成的天然力量，SUN没有办法，AIM也没有。处理器界的一代传奇DEC第一个倒下。当时的DEC在技术层面是如此强大。在DEC轰然倒塌后并不太长几年的时间内，投靠AMD的工程师先后开发出了K7和K8处理器。这两颗处理器依然可以给Intel带来灭顶之灾。

当一切成为往事，这段历史依然回味无穷。在PC领域，究竟是先有“Chicken”，还是先有“Egg”，Intel无法回答，Microsoft也无法。几乎所有Chicken and Egg Question都是如此简单，都可以用寥寥数语清晰地描述。我不太担心去解决那些需要三四天才能说清楚的问题，我总能在这些貌似复杂的过程中，找到最薄弱或者次薄弱环节，剩余部分将迎刃而解。世上最难解决的问题恰是用几句话就能够说明白，有如哥德巴赫猜想，有如费马大定律。

Chicken和Egg本是一对孪生兄弟，是在同一个时刻内降临于天地之间。初期并没有清晰的Chicken也没有清晰的Egg。Chicken和Egg是在无数次生物化学反应中水乳交融，多次反复后，在某个瞬间自然分解而成。

在Chicken和Egg的不断进化过程中，历经数不清的磨合和相互间的取长补短。Chicken和Egg最终成型后，几乎无法化解，或者说需要化解的力量要如此之大没有人愿意去化解。获胜方将逍遥于Chicken和Egg之间，挑战者将去面对着Chicken and Egg Dilemma。

Intel凭借来自PC领域的资金和Chicken and Egg的保护伞，学会了当年“老子不会”的所有知识，屹立于集成电路的浪潮之巅，执着捍卫着摩尔定律的正确，芯片制作工艺从65nm，45nm，32nm，22nm，14nm直到10nm。至今，天下半导体公司的合力在处理器制作技术上也无法与其抗衡。Intel更加明了制作工艺比拼的是金钱。金钱可以带来世上的绝大多数，却带不来真正的创新，并不为工艺上的领先欢欣鼓舞。在战胜RISC联盟之后长达十年的时间里，Intel所感受到更多的是来自浪潮之巅的寒意。曾经弱小到不能再弱小的ARM正在给Intel这个巨人制造一道或许难解的Chicken and Egg Question。

以ARM处理器为中心的半导体联盟完全控制了移动终端。在这个比PC领域更加宽广的舞台中，如今的Intel没有任何份额。Intel始终在反击。x86具有足够的性能优势，也有显而易见的劣势。事实上只要x86处理器还继续背着向前兼容(backward-compatibility)的包袱，无论使用什么样的工艺，与ARM都不会在同一个起跑线上竞争。

在2012年的CES，Intel展示了基于Atom SoC的Medfield手机，可以预期Intel在陆续的几年时间内，将推出几款功耗更低，性能更高的处理器。这并不意味着x86可以很容易地进入手持式市场。如果处理器技术可以决定一切，当年的Intel不可能战胜RISC联盟。在处理器领域之外，Intel一直在寻找新的盟友。Wintel联盟已是同床异梦。Windows 8将支持ARM平台，x86也选择了Android。或许ARM处理器进入PC领域只是时间问题，x86处理器进入手持式领域依然有许多问题需要解决。

Android与ARM的组合渐入佳境，几乎所有Android的应用都在某种程度上与ARM处理器有着千丝万缕的联系。运行在x86处理器之上的Android系统，几乎没有什么可以直接使用的应用程序。使用Binary Translation将基于ARM的应用程序移植到x86也许是一个不错的想法。这个想法并不新，RISC联盟当年用过这个方法。另外一条路艰辛许多，Intel可以将Android上使用频率较高的应用程序一个一个地移植到x86平台，只是这件事情究竟该如何做，由谁去做。Intel可以投资80亿美金去建设22nm工厂，却没有足够的能力和足够的财力完成这些移植。

应用匮乏将使x86-Based的手持式设备举步维艰；没有更多的厂商拥护x86-Based的手持式设备将使应用进一步匮乏。Intel在CES 2012上发布的手持式终端仅是投石问路，没有人可以预料最终结局。值得庆幸的是，或许Intel正在面对着的问题，并不是Chicken and Egg Question，这与RISC联盟曾经面对过的Chicken and Egg Question并不相同。

在手持互联领域，在这个年代或许依然存在着Chicken and Egg的故事，却不在传统的处理器和操作系统之中。也许与很多人估计的并不不同，Intel的实质对手并不是ARM，Intel即便战胜了ARM也很难破解在移动终端上所需要解决问题。

以应用为王为大前提的手持互联领域中，Intel甚至还没有起步，占据了移动处理器全部市场份额的ARM也并不算是Winner。在一个ARM SoC中，处理器微架构并没有占据统治地位。在手持式互联领域，ARM只能算作幕后英雄，真正的弄潮儿是Apple，Google和一些掌控着应用的公司。

ARM更似处理器的掘墓人。因为ARM的存在，处理器设计的门槛再不断降低。以前没有处理器设计经验的Qualcomm和Apple之类的公司可以顺利进军这个领域。在中国的珠海，一些制作ARM SoC厂商的制作能力与设计速度令人叹为观止，这已经使得欧美一些单纯制作ARM SoC的传统处理器厂商几乎寸步难行。

2012年这个世界将产出大约80亿个ARM SoC，远超过x86处理器的销售量。只有两千左右员工的ARM向Intel清晰地传达了一个事实，单纯的处理器设计并不需要动用十万员工。这并不是Intel真正需要面对的难题。Intel所需要战胜的并不是ARM。从某种意义上说，Intel与ARM非但不是对手，而是盟友。他们有着相同的称呼，处理器厂商。在不远的将来，他们将共同面对即将到来的，针对处理器的挑战。

这个挑战首先来自操作系统。操作系统已经完成三次大的革新。最初的处理器并没有操作系统，只有一些简单的批处理和任务排队功能。在中小型机中，UNIX和VMS操作系统的出现奠定了现代操作系统大的基调。PC的兴起极大促进了操作系统的发展，先后出现了CP/M和DOS以磁盘管理为中心的操作系统。这些操作系统的主要工作是管理基本的硬件信息，并为用户提供基础的字符界面。这些操作系统属于第一代操作系统。

第二代操作系统引入了图形界面，鼠标的发明极大降低了人机交互的难度。Apple和Microsoft的努力使得图形界面的深入人心。这是一个属于PC的辉煌时代。在这个时代，Intel和Microsoft在各自的领域并不是技术上的领跑者，却和而凝结出一种令所有对手望而生畏的气势。峰之所至，无坚不摧。

前两代操作系统以管理处理器硬件资源为核心。我们正在经历着第三代操作系统。iOS和Android的兴盛，促进了移动互联网的发展，以应用为中心的厂商依靠着这一代操作系统日益强大。这一代操作系统引入了Touch和Gesture等一系列辅助功能，但这不是这代操作系统最重要的特征。与前两代操作系统不同，第三代操作系统的重心不再是管理处理器系统提供的基础硬件；这一代操作系统不再是处理器微架构的衍生品；这一代操作系统是进一步服务于应用，硬件资源管理不再作为中心。

第三代操作系统也可以被称为应用操作系统，主体是服务于应用，不再是硬件资源的管理者。运行在这一代操作系统中的应用程序也在参与着硬件资源的管理，使用者已经不需要了解过多的处理器知识，不需要了解磁盘目录文件这些细节。七八岁的孩童，七八十岁的老人都可以熟练地操作着这些应用。

这些应用的出现，使得操作系统与处理器之间的紧耦合已经被打破。这个年代将很难出现，Wintel联盟因为x86与Windows水乳交融所形成的Chicken and Egg Question，也极大降低了ARM处理器进入PC领域，x86处理器进入手持互联领域的难度。这一代操作系统的出现使得通用处理器与传统操作系统已渐别这个时代的浪潮之巅。

处理器面临的第二个挑战源于自身发展的后继乏力。通用处理器的诞生是电子信息时代得以爆发式发展的基础，摩尔定律的持续正确为处理器的进一步发展插上翅膀。但是摩尔定律并不是摩尔真理，总有失效的一天。至今，这一天不再是离我们很近，而是已经到来。在Intel的Tick-Tock计划中，Tock已经越来越难引起更多人的关注，重要的是Tick。Tick的持续发展维护着摩尔定律的最后领地，却已很难改变摩尔定律的最终结局。

在处理器微架构中，流水线的设计已成往事。我很难相信x86指令流水线的执行效率能够明显超越ARM或者是MIPS，反之亦然。指令流水线性能的提高只剩下工程师在1/2，1/4个节拍中的精益求精，不存在质得飞跃。这使得本世纪初兴起了一场多处理器革命，使用更多的处理器提高整个处理器系统的执行速度。这场革命尚未步入高潮，就已经遭遇瓶颈。

很多人意识到同构多处理器系统很难提高并行度，从而转向异构多处理器系统，也进一步加大了处理器间总线互联的压力。在这样的系统中，互联总线的效率也决定了应用程序的执行效率。在多处理器系统中，需要首先解决的问题依然是进一步提高存储系统的带宽，并尽可能降低存储系统的延时。返璞归真，我们需要解决的问题依然在存储器子系统中。

在Intel每一次的Tock中，重大的技术革新集中于存储器子系统，引入了结构更加复杂，容量更加庞大的Cache Memory。Cache Memory系统不能提高运算类指令的执行效率，只是在以存储器为中心的处理器体系结构中，Cache Memory的效率决定了一个程序最终的执行效率。从体系结构层面上看，Cache Memory的设计方法已经趋于稳定，在整个科技界，即便在理论界，我也看不到哪怕是所谓的革新。

Intel在Cache Memory的领先源于工艺。制作工艺的领先使Intel可以在Cache Memory系统上花费更多资源。只要Intel的竞争对手没有在制作工艺上迎头赶上，就没有可能在Cache Memory子系统领域中更胜一筹，就没有可能在存储器子系统的设计中超过Intel。依靠着在Cache Memory中的优势，Intel屹立处理器领域之巅，所有竞争对手望尘莫及。在存储器子系统中大获全胜的Intel，赢得了Server，并没有赢得天下。

在比Server领域更加宽广的手持式领域中，所比拼的并不是存储器子系统，芸芸众生使用电子设备的主要目的不是用来算题或是为他人提供服务。即便仅考虑Server领域，Intel也正在面临着更多的挑战。存储器的瓶颈与功耗严重阻碍了处理器系统的进一步发展。存储器瓶颈的愈发严重，使得Server处理器需要更加庞大，更加复杂的Cache Memory系统与之匹配。使用这样的Cache Memory将使处理器系统的功耗持续上升。

存储器瓶颈与功耗已经成为Server处理器进一步发展的障碍。因为存储器瓶颈而增强存储器子系统，因为存储器子系统的增强，而进一步提高了功耗。从这种因果关系可以发现，似乎只要解决了存储器瓶颈问题其余问题便迎刃而解。

这个问题却很难解决，甚至可以说在以存储器为中心的冯诺依曼体系(Von Neumann Architecture)中，这个问题几乎无解。我们在试图解决这个问题，并在试图取得在某种意义上突破性的进展之前，需要重新讨论这个问题源自何方。

1945年6月30日，John von Neumann正式发表“First Draft of a Report on the EDVAC”，简称为First Draft，这个设计草稿令整个科学界欢欣鼓舞，第二年John von Neumann，Arthur Walter Burks与Herman Heine Goldstine一道进一步完善了First Draft，发表了另一篇题为“Preliminary discussion of the logical design of an electronic computing instrument”的论文。这两篇文章所阐述的内容被后人称为冯诺依曼体系。

在此之前，世上并没有处理器，只有一些可以执行固定任务的计算器，有进行简单加减乘除的计算器，求解微积分的计算器，求解倒数的计算器。在这个前冯诺依曼体系年代，科学家们为了进行新的科学计算，需要设计一款新型的定制计算器，需要重新搭建电子设备。冯诺依曼体系改变了这一切，建立了计算机体系结构中最重要的组成原理，影响至今。冯诺依曼体系第一次引入了Store-Program计算理论，确定了一个计算机的五大组成部分，包括Arithmetic Logic Unit，Processor Registers，Control Unit(包括IR和PC)，用于存储指令和数据的Memory和输入输出设备。

在这种体系中，计算机将按照程序规定的顺序，将指令从存储器中取出并逐条执行。在程序和数据中使用二进制表示方法，当一个计算课题发生变化后，只需要更改Memory中的程序，而不需要重新设计一款新的计算器。

冯诺依曼体系极大化解了此前在计算器设计中的冗余，可以将世上的绝大多数应用规约于一个统一模型，奠定了现代计算机体系结构的基础。计算机的历史揭开了新的一页。这套体系诞生至今，在计算机体系结构中始终占据着主导地位。在计算机体系结构持续发展的几十年时间以来，没有任何理论能将其颠覆，更多的只是在冯诺依曼体系之上的修修补补。

大规模集成电路的出现为冯诺依曼体系插上翅膀。基于这个体系的通用处理器最终成为可能。Intel与其他处理器厂商一道上演了通用处理器的传奇。摩尔定律的持续正确使得处理器迅猛发展，处理器变得愈发强大，愈发廉价。通用处理器席卷了天下应用。通用处理器的大规模推广与普及也奠定了当今电子信息领域的基础。

Von Neumann Architecture并不完美，在这种以存储器为中心的体系结构中，存储器必然成为瓶颈，这一瓶颈也被称为Von Neumann瓶颈。这一瓶颈伴随着冯诺依曼体系的出现而出现，目前尚无有效的方法消除。Cache Memory的出现极大缓解了Von Neumann瓶颈，随后出现的Modified Harvard Architecture，Branch Predictor和NUMA体系结构进一步缓解了这个瓶颈。但是这种量的积累并没有引发质变。冯诺依曼体系并没有因此升华，直到今日存储器瓶颈依然存在，而且愈演愈烈。

在今天的Server领域，几乎所有应用都有一个相同的运行轨迹。I/O设备首先将数据发送到存储器子系统，处理器对数据进行处理后再交还于存储器子系统，I/O设备再从存储器子系统中获取数据，之后再做进一步的处理。在这种模型中，每进行一次运算，需要多次访问存储器子系统。存储器子系统必然成为瓶颈，使用再多的处理器也不能解决这些问题。

首先是作为数学家与物理学家的John von Neumann，从事计算机科学的出发点，是进行科学计算，他没有预料到二十一世纪的今天，有这样不学无术的一群人在这样地使用计算机。在我们所处的这个时代，通用处理器的主要功能早已不是在进行风花雪月的数学计算。

通用处理器在一路前行的道路上，席卷天下，应用边界在不断的扩张。我们可以使用处理器进行文字数据，数据挖掘，上网聊天，打游戏。在今天使用处理器的人群中，用其进行科学运算的屈指可数。为了专门算题买台PC或者Server的人，我一个也没有见过。

今天的处理器如此科技，如此廉价，已被视作电子信息领域高科技的象征。这导致天下人对通用处理器的盲从，导致了通用处理器能够更加顺利地席卷着天下应用。众多应用的叠加，使得处理器遭遇了前所未有的存储器瓶颈问题。可以预见，只要通用处理器继续吸纳着更多的应用，存储器瓶颈只能更加严重，功耗将持续上升。

问题是我们为什么要用通用处理器解决所有问题。通用处理器可以解决很多问题，但在这个世界上，许多问题的解决根本不需要使用通用处理器。冯诺依曼体系的提出是针对当时电子设备高度定制化所产生的浪费，至今已时过境迁。在冯诺依曼体系之下，即便是即便是验证i加j确实等于2的问题，也需要将程序与数据输入到处理器，需要各种算术逻辑，数据传送单元的共同参与，经过了诸多操作后，获得最终结果。

如果仅是为了验证i加j确实等于2的问题，倘若使用定制逻辑，只需要使用一个加法器和一个比较器，并不需要通用处理器。但是在摩尔定律持续正确的年代，处理器持续着廉价。在多数应用场景中，使用通用处理器依然最为有效。即便是一些扭曲身形去迎合通用处理器的应用，也因为通用处理器的飞速进展，获得了事实上的最优。在摩尔定律持续正确的年代，绝大多数采用定制逻辑而违背冯诺依曼体系的处理机制没有获得成功。

顺势而为是取得一定程度的成功的保障。在许多情况之下，即便你明知99%以上的人选择了一条弯路，依然需要这种顺势而为。因为这99%的合力就算是在走一条事实上的弯路，也远快过独自一人走真正的捷径，也更容易到达终点。

时过境迁，种种迹象表明摩尔定律不再正确。这意味着在面积大小一定的Die中将无法容纳更多的晶体管。使用通用处理器，无论是同构或者异构模型，在解决某类应用时，已经不再是最优方案，甚至不是次优方案。

通用处理器在一路前行的道路，是与存储器瓶颈不断斗争的历史。从冯诺依曼体系诞生至今，通用处理器所面临的主要问题依然是存储器的延时与带宽。在一个通用处理器中，存储器子系统占据了绝大多数资源。在一个通用处理器中，如果去除L1，L2等诸多层次的Cache子系统，去除指令流水线中为了减轻存储器瓶颈的各种预测机制和MMU后，所剩无几。如今的通用处理器更是将主要的资源放在道路建设上，并没有专注于应用问题的解决。

这种并不专注同时也意味着巨大的浪费，与John von Neumann的初衷不再吻合。John von Neumann所设计的体系是基于当时的认知，为了避免定制逻辑所造成的浪费。至今通用处理器本身已经成为最大的定制逻辑，在这个定制逻辑中，所关注的主要问题是如何修路，很多情况下是为了修路而修路，以容纳更多的应用，即便有很多应用根本不需要这条路，也不需要依照冯诺依曼体系的要求去执行。

在这种趋势下，存储器瓶颈将持续存在，持续恶化。我们正在经历着一个以应用为中心的时代。不同的应用对处理器系统有着不同的需求。这使得定制化与差异化重回议程。在一个通用处理器中，正在容纳更多的定制逻辑，正在容纳更多的加速模块。这些变化使得所谓的通用处理器并不再是绝对意义上的通用。

ARM这个比Intel弱小得多的企业，依靠着并不领先的技术取得如今的成就，我认为最主要的原因是ARM为其他厂商的差异化与定制化提供了便利条件。电子信息领域经历了Mainframe Era，PC Era，Internet Era，而至Mobile Era时代。在这个名为Mobile的Era中， ARM身后隐藏的定制化与差异化已经成为Mobile的时代主题。

作为公司的ARM距离Intel还有相当长的一段距离，但是作为一个行业的ARM已经取得事实上的领先。从这个角度上说，不是ARM在手持互联领域中暂时领先与Intel，而是在Mobile Era的时代，定制化与差异化在与通用化的较量中获得了先机。

对定制化与差异化的最大挑战是IC设计领域中客观需要的规模效应。定制化与差异化的思路与此背道而驰。Intel使用单一产品覆盖绝大多数的应用，产生了规模效应，实现了利润最大化，Gross Margin超过60%。采用ARM的定制化与差异化方案的任何公司都无法获得这样的Gross Margin。在Mobile Era中，手持处理器厂商呈百花齐放格局；在Mobile Era中，各式应用的不同要求使得相关的处理器进一步差异化。

单个厂商获得60%以上的Gross Margin正在成为过去。Intel维持高额的Gross Margin主要依靠的是Mobile Era的Server领域。Intel的Mainframe处理器首先是针对Server的一种定制化，之后将这种设计简化到PC领域，以获得最大的规模化效应。Intel从Nehalem开始的Tock过程，事实上是一个针对Server的定制过程。今天的Intel已经不是凭借着PC的占有率去攻占Server，而是凭借着Mobile Era对Server的需求，维护着在PC领域中的地位。

在手持式领域，Intel的Medfield仅是一次尝试，并不会给ARM的Cortex系列处理器带来质的挑战。整个业界窒息般等待着的是Intel在Atom处理器中的Tock-Tick，Silvermont和Airmont。Tick-Tock计划在Atom处理器中的引入转达着Intel对在手持式领域中，所遭受的一个接着一个失败的愤怒。认真起来的Intel在处理器领域依然无敌，从纯技术的角度上看，如果Intel的竞争对手在芯片的制作工艺上没有出现大的突破，那么Intel出现功耗性能比超越世上任何一个ARM SoC处理器只是时间问题。ARM阵营将对此没有任何办法。

只是决定一个手持式处理器最终成败的并非是处理器微架构的性能功耗比，购买手持式产品的最终用户有几人能够理解处理器微架构。处理器微架构之外的音视频效果，互联网体验，设备提供商是否足够的Fashionable更能够吸引他们的眼球。

在手持互联领域中，处理器进一步的定制化已经成为事实。在手持式处理器中，已经含有各类音视频加速引擎。在一些基于Web的应用中，正在使用一些专用加速引擎去解析HTML，去解析Javascript。在这个领域中，通用处理器正在为定制化预留空间，在未来的几年内，将会出现更多的加速引擎，进一步减轻处理器的负担。

如果Intel将芯片制作工艺上的优势仅仅转化为处理器的性能功耗比，依然以处理器微架构为中心，所取得的成就将十分有限。我更期待在未来的几年内，Intel能够将工艺领先而获得的额外资源用于定制与差异化逻辑，淡化处理器微架构在系统中的位置，进而为定制化和差异化提供空间。若仅在技术层面考虑，这将是其他处理器厂商的噩梦。

问题是如何为手持式领域进行定制化与差异化。在手持互联领域中存在两类公司，一类是Apple与Samsung，另一类是山寨。我不得不承认，这些生产手持设备的厂商合在一起也不如Intel更懂硅芯片的制造，但是几乎任何一家都比Intel更加理解芸芸众生为什么要买一个手持产品，也更加理解如何针对这些产品进行深度的定制化与差异化。

定制化与差异化也同时决定着，即便Intel能够在技术层面上完全领先也无法取得其在PC领域中的地位，也因此无法获得足够高的Gross Margin。这些现状将会使Intel这个具有十万员工的公司，在没有一个Andy Grove般强势有力的领袖时，很难在内部形成有效的合力。Intel在手持互联处理器中的艰难在很大程度上是颛臾之忧。

在技术层面之外，第一类手持设备厂商Apple与Samsung在为最终用户提供各类产品的同时，还生产用于手持式设备的处理器。在这个手持处理器这个领域，Intel要与这些既是运动员又是裁判员的第一类厂商竞争，并不公平。这些内外之扰，决定了Intel即便在三年后制作出在技术层面超过Qualcomm的处理器，也并没有丝毫办法把握能够主导这个市场。

在手持式领域中，也许依然存在着Chicken或者Egg，但是单纯的处理器或者操作系统将不再是Chicken也不再是Egg。在Server，或者是其他Embedded领域，大量出现的定制与差异化逻辑已经使得处理器微架构在一个系统中逐步偏离设计中心。

这些定制化与差异化的大规模出现，是因为许多人已经意识到有些应用并不适合处理器去解决，摩尔定律的事实结束使得通用处理器的效率无法继续获得线性加速比。很多人意识到我们似乎重新回到前冯诺依曼体系时代，那个只有差异与定制的时代。

这些变化并不意味着处理器会消亡，只是处理器不会在继续通用化的道路上顺利向前，并不会作为绝对的中心。将有更多的应用将按照自己的特点使用定制逻辑，不再是交由处理器。这将进一步化解存储器的瓶颈，进一步的降低功耗。这些变化将使我们迎来一个新的时代，一个属于定制化与差异化的时代。

从技术的角度上看，定制化与差异化是消减存储器瓶颈的有效手段。在Server或者是其他领域，如果一个应用的90%以上工作可以交予定制逻辑，剩余的10%再交予处理器，以目前的半导体技术，存储器将不再是瓶颈，处理器系统的功耗也将随之降低。

但我认为这并不是定制化的主要方向，定制化逻辑并不一定要隶属于处理器。在未来，定制逻辑之间，带有智能功能的外部设备间可以直接交互信息而不必通过处理器。在这些智能设备中可以含有冯诺依曼体系的处理器，也可以没有。

在数据中心的应用中，如果智能网卡可以通过与智能盘卡之间的直接交互，而不是全部通过通用处理器，我们将可以不再使用机器人去维护这样的系统，也不需要使用专门的电力通路。这种设备的运行有如人体，肢体器官间存在着更多的下意识行为和更加自然的操作，不必全部由大脑指挥。

我没有理论与数据验证这一结论，只是自觉告诉我这种智能设备将很快出现，将有更多的应用远离通用处理器系统。在可以预见的将来，各类定制化与差异化应用将继续着劈波斩浪。这是一个年轻人可以持续着向广袤神秘的未知领域挑战，是一个可以持续着带来新希望的大应用时代。在摩尔定律即将且正在结束的时代，定制化与差异化的时代窗口将再次开启。只是这一次，我们不知道何时还能再有冯诺依曼。

分享

分享

注：原图版权不归弯曲评论所有，弯曲评论亦不从此图获利

分享

分享

Cupertino是位于美国硅谷的一座小城，人口约五万有余。因为学区比较好，所以吸引了很多亚洲人在此居住，其中以中国和印度人居多。她并没有太多的值得夸耀之处，最值得一提的应该是，苹果公司的总部位于此城，几十座苹果的办公楼遍布在各个街道。今天，2011年10月5日，这个一向平静的加州小城，却度过了很不平静的一天。

早上起来，我在吃早饭，女儿在旁边看她的Facebook网页。突然她说，我同学说附近有人开枪打死两个人，她不去上学了。这种事一般不会在Cupertino发生，并且小孩子的话不能都信，我也就没在意。一会儿她又说，另一个同学也知道开枪的事儿，也说不去上学了。既然这样，我就上网查了一下Google News。果不其然，确有一位老哥在附近的一个采石场开枪打死两个人（后来证实是三个），还打伤几个，目前在逃。我连忙打开电视，Fox news正在直播，该同志又在大华附近的HP停车场抢车未遂，打伤一位女士后逃入居民区，大批警察封锁了该地区，正在挨家挨户的搜索。

事已至此，那就都在家呆着吧，孩子也就不去上学了。一会电话又响起，是警察局打来的录音电话，说一持枪杀人犯可能在您家附近活动，如有发现，请不要靠近，马上打911。电视上新闻不断重播，警察还在搜索，但还没找到人。

过了一阵，我们决定太太在家看孩子，我就去上班了。路上没看到什么异常，公司里人们也在议论这件事。中午也没人出去吃饭了，结果公司餐厅人满为患，我们几个竟然找不到座位。好在室外一个人也没有，我们就到外面去吃了。为什么外面没人呢，原因很简单，因为那时外面正是大雨滂沱。我们的桌子上倒是有一大伞，一遮阳伞。就这样，我们享用了一份很有湿意的午餐。直到下午，警察还在搜捕，还是没有结果。就这一件事就够热闹了，不料更惊人的消息还在后头。苹果公司董事会下午忽然宣布，Steven Jobs今天去世。

Jobs是当今少有的天才，对于他的离世，很多报道都用了“一个时代的终结”的说法。这种说法现在已经泛滥了，不过用在Steve身上非常恰当，他应该是在世界范围内，对人们生活有着巨大影响的极少数的几个人之一。一个伟大的产品就足以造就一个伟大的公司，例如微软的Windows，谷歌的Searching Engine，但要想做出两个伟大的产品是非常困难的，而象苹果公司那样，iPod，iPhone，iPad，革命性的产品接二连三推出，可以说是就此一家，绝无仅有。这其中最重要的因素应该就是Steve的天才、敏感、和对完美境界的狂热追求。硅谷的许多公司在诱惑别人加盟时，总喜欢说，“Come join us, and change the world”。但在美国西岸这一片干旱、狭窄的山谷地带，没有哪个人对世界的影响能够比肩瘦弱的Steve Jobs，not even close。

说实话，我不是苹果产品的粉丝。我一向反感其高价政策，注重形式过于内容，经常为了美观而牺牲产品性能。iPhone出来我没买，我买了一个Android的手机，至今很满意。iPad出来我也不买，准备等Android的产品赶上来了再买Android。不料一年过后，Android的tablet们不但性能没赶上，而且价格都没法和iPad竞争，市场份额就更甭提了。这种情况令我很吃惊，所以年初我就买了一个iPad2。

买了iPad2后，不料它竟成了我刚一岁多儿子最喜爱的玩具。他玩起iPad就停不下来，每回都必须硬抢，然后他就会嚎啕大哭。还不会说话的他专门为要iPad发明了一个手势，整天就看他在家把手晃来晃去，四处找iPad。后来他开始说话，最初学会说的几个词中，除了爸爸，妈妈以外，赫然就有一个‘iPa’（d的音他发不出来）。

每次看到儿子熟练的玩着iPad，或者满屋乱窜，象犯了大烟瘾一样，嘴里大叫着iPa iPa，我都感到震惊和对苹果公司和Steve Jobs由衷的敬佩。能够让一个一岁的小孩轻松使用且如此痴迷，连我也不得不承认iPad是一个革命性的产品。

Steve Jobs是Cupertino土生土长的孩子，中学就在Cupertino Middle School和Homestead High School上的。没有了Steve, Cupertino少了至关重要的一分子，没有了Steve，苹果公司的奇迹是否还能再延续下去？

夜幕降临，警察还在搜索，杀人嫌犯依然在逃。儿子洗完澡后，又在满屋大叫iPa，iPa，浑不知iPad的缔造者，伟大的Steve Jobs，却已随风而去了……

May you rest in peace.
Inventor, Visionary, Icon,
Steven Paul Jobs (1955-2011)

杰夫
10月5日晚于Cupertino

分享

分享

——————————————————–前言————————————————————–

在Netscreen的日子里是我生命中最重要的一段时光。我从一个懵懵懂懂的初级工程师，成长为Juniper中国研发中心的总监，期间收获巨大。

早期的岁月里，每天工作12-14个小时，总有干不完的活，但是心情却很愉快，因为每次都学到很多。前几天接受一个前IBM资深讲师的培训，说到每个人在成长过程中都会有一段Trash Time，就是别人总把各种各样的垃圾工作(Trash)扔给你，你就好像一只垃圾桶一样。有些人会怨天尤人，期望换个环境规避，殊不知这是自己成长的最重要的阶段。如果你没有经历过这个阶段，你就无法迈入职业生涯中的更高境界。

06年自己创业，创办了Hillstone山石网科，在国内安全界算是后起之秀。接触许多优秀的年轻人，在他们的期待下，写出这段经验，和大家分享。

—————————————————————————————————————————-

97年的春夏之时，我接到邓锋一个电话，问我有画图的软件没有。我找出来后，他约我一起见见。

第一次见面好像是在一个中餐馆里，邓锋身材高大，相貌英俊，也善于谈吐。他解释说他和两个同学准备创业，要做防火墙。那时我对网络的概念一点都没有，当时接触的多是电信上的东西。他介绍说Cisco就是靠把路由器变成Appliance而成功，他们要做的就是防火墙硬件化。随即他邀请我加入。我其实没有任何概念，加上当时业余时间也没有什么事，就随口答应了。

既然要加入，总得个面试程序，虽然他们还没有成立公司。我们约好在Mountain View的一家粥店与他的另一个伙伴谢青见面。去之前邓锋给我简单介绍了他们的情况，当时邓锋在Intel担任Mobile Chipset开发小组的经理；谢青在Healthon任IT总监；第三个创始人，柯严，在Cisco是ATM产品的软件架构师。他们的创始团队里还有一个人，不是创始人，算是第一个员工，Charles Shao。邓锋，柯严，谢青都是清华大学无线电系81级的同班同学，后来谢青因为身体原因，休学一年，和82级一起毕业。Charles是无线电系80级的，是当时学校里赫赫有名的学生勤工俭学三联公司的总经理。面试没有什么印象了，随后安排开始工作。

这里有个情况向大家介绍一下，我当时是拿H1-B签证，也就是工作签证。美国的劳工法很严，不允许非法打工。拿工作签证的只允许在当初申请签证的公司工作。因此我在邓锋那里，只算是帮忙，不能拿报酬，何况当时他们也没有钱付我薪水。

第一次上工是在邓锋家里。他刚在West San Jose买了房子，记得客厅里木头地板刚打过腊，光亮光亮地，有趣的是，每个椅子的腿都套了个袜子，看得出来他很爱惜，怕家具挪来挪去，划伤了地板。一进门，见到了一个老朋友，五字班（清华85级）的Jian Gong。Gong和我在学校里在同一个教研组做毕业设计，他比我高一班，因此相识。邓锋曾经担任过五字班的辅导员。

Gong是湖南人，和我算是老乡，个头不高，但是很能干。他在负责原型机电路板的PCB设计。我的工作主要是帮邓锋看他设计的原理图，板子回来后参加调试。

就这样，我和开始邓锋认识，并一起共事七年。

—————————- 版权所有 Hillstone 老童 欢迎转载  —————————-

分享

分享

原文发于《计算机世界》。由于版面及内容形式等因素限制，文章在报纸上分3期共10个版进行连载。本文是在连载结束后，重新调整了内容框架，修正、更新了一部分文字而成，看起来更像是一个完整的内容专题。尤其是对13家厂商的采访部分，除了错别字和极个别不妥当的措辞或叙述外，未再做其他修改。

文章撰写过程中，得到了许多来自咨询机构、厂商、学术界的朋友的大力支持，在此表示感谢。同时也要感谢我的同事，是她们的努力使得专题内容得以按时发布。最后，我必须感谢一下我的太太，她为专题做了许多资料翻译工作，并在撰写过程中为我创造了良好的工作环境。

水平所限，文中多有待商榷之处，请不吝赐教。希望这一专题内容能抛砖引玉，引发更多有价值的讨论。

=====================================================================

自出现之日起，下一代防火墙（Next-Generation Firewall，以下简称NGFW）就一直在争议中前行。究其原因，还是概念提出得比较超前，产品跟进却相对缓慢。不久前，梭子鱼与深信服科技在国内先后发布了各自的NGFW产品，加上产品已经正式在售的SonicWALL、Check Point和Palo Alto，市场上俨然一副山雨欲来风满楼的景象。那么，NGFW究竟是如何定义的？它与传统防火墙、UTM又有哪些不同？其产品与市场前景究竟如何？用户部署NGFW又需从哪些角度考虑？请随我们一起走进NGFW的神奇世界，共同领略这类新产品的价值所在。

何谓NGFW

什么是下一代防火墙？这一代、上一代防火墙指的又是什么？在讨论NGFW之前，我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后，防火墙的概念正在变得模糊，在不同语境中有着不同的含义。在描述具体产品时，防火墙大部分指代的是采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的作用在2-4层的访问控制设备；而宏观意义上的防火墙，实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备（Gateway）。国内的厂商、用户习惯将前者称为“传统防火墙”，国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念，其包含了传统防火墙、IPS、UTM及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加，广义的防火墙必然将集成更多的安全特性，著名市场分析咨询机构Gartner所定义的NGFW就是很好的例证。

得益于许多厂商市场部门行之有效的推广工作，我们在市场上可以看到不少针对NGFW概念的宣导（即便其中可能存在着完全不同的理解）。而业内普遍认同的关于NGFW的定义，则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。该公司注意到，在应用模式、业务流程和安全威胁不断变化的今天，传统防火墙已经无法满足用户的需求。即便在此基础上再加入IPS，也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下，Gartner定义了NGFW这个术语来形容防火墙的必然发展阶段，以应对攻击行为和业务流程使用IT方式的变化。

在Gartner看来，NGFW应该是一个线速（wire-speed）网络安全处理平台，定位于企业网络防火墙（Enterprise Network Firewall，Firewall指宏观意义上的防火墙）市场。这里的企业指的是大型企业，国内很大一部分都归为行业用户范畴。NGFW在功能上至少应当具备以下几个属性：

• 传统防火墙：NGFW必须拥有传统防火墙所提供的所有功能，如基于连接状态的访问控制、NAT、VPN等等。虽然我们总是在说传统防火墙已经不能满足需求，但它仍然是一种无可替代的基础性访问控制手段。
• 支持与防火墙自动联动的集成化IPS：在同一硬件内集成IPS功能是必须的，但这不是Gartner想表达的重点。该公司认为NGFW内置的防火墙与IPS之间应该具有联动的功能，例如IPS检测到某个IP地址不断地发送恶意流量，可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的，而不再需要管理员介入。比起前些年流行的传统防火墙/IDS间的联动机制，这次升级并不是一个特别高深的技术进步，但我们必须承认它能让管理和安全业务处理变得更简单、高效。
• 应用识别、控制与可视化：NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化（俗称应用QoS）不是一个属于安全范畴的特性，但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
• 智能化联动：获取来自“防火墙外面”的信息，作出更合理的访问控制，例如从域控制器上获取用户身份信息，将权限与访问控制策略联系起来，或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡，而不再浪费IPS的资源去判定。我们理解这个“外面”也可以是NGFW本体内的其他安全业务，它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系，实现自动联动的效果（如思科的“云火墙”解决方案）。

除此之外，文档中也提到了NGFW在部署、升级方面的一些规定，但并未做更多的强制性约束。正如文档作者、Gartner研究副总裁Greg Young在接受我们采访时强调的那样，集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。

发现用户需求及产品形态变化的并不只Gartner一家，国际著名第三方安全产品评测机构NSSLabs也在今年正式开始了NGFW产品的公开测试工作。从官方发布的信息来看，该机构基本认同Gartner对NGFW的定义，只是在智能化联动方面并未做过多的强制性要求，但突出了对用户/用户组的控制能力。从测试的角度出发，相信NSSLabs的工程师对产品配置的复杂度和易用性都有很深刻的了解，他们的观点可以代表许多用户。此外，该机构还认为企业并没有准备在数据中心中用任何方案替代掉独立的IPS设备，所以NGFW集成的IPS模块应该提供对客户端保护（主要在特征库方面体现）在内的完整方案，并且将针对于此的配置归纳到预定义策略模版中去。

NGFW与UTM：竞合或补充 但非竞争

需要注意的是，不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度，势必要根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异，同时更像一个大而全的集中化解决方案，给用户造成了很混乱的印象。我们在采访中听到用户最多也是最经典的反问就是：NGFW不就是一个加强型的UTM么？

实际上，这里提到的NGFW和UTM都是对厂商包装后的产品的认知，已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开，但是这些功能必须集成在一个硬件中。IDC对UTM的定义无疑是非常聪明的，它简单明了，让人易于接受并容易做出判断。“所有功能不一定要打开”这句话，除了说明安全业务要由用户需求决定外，也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化，也确实符合当时的市场需求。有了这样一个宽泛的准入条件，UTM的概念一经推出便受到厂商与用户到一致认同，市场份额迅速扩大，成长为目前安全市场上的主流产品。

与IDC的宽松态度不同，Gartner在其市场分析报告中对UTM产品形态则有着更为细致的描述。该机构在调研后认为，除了传统防火墙与IPS，UTM至少还应该具有VPN、URL过滤和内容过滤的能力，并且将网关防病毒的要求扩大至反恶意软件（包括病毒、木马、间谍软件等）范畴。另一方面，Gartner对UTM的用户群体有着自己的看法，认为该产品主要面对的是中小企业或分支机构（1000人以下，Gartner的划分方式）。这类用户通常对性能没有太高要求，看中的是产品的易用性和集成安全业务乃至网络特性（如无线规格、无线管理、广域网加速）的丰富度。实际上，Gartner之前一直使用SMB多功能防火墙（SMB Multifunction Firewalls，这里的Firewall也指宏观意义上的防火墙）来描述这类产品，只是因为UTM这个概念被市场普遍接受，才在2010年的分析报告中修改了称谓。该机构认为UTM与NGFW集成安全功能的差异主要体现在时延敏感性上——作为边缘网关，NGFW必须满足时延敏感型应用的需求，与之有悖的功能不适合出现在NGFW上。而从Gartner针对其他产品市场的分析报告中可以推断，安全Web网关（Secure Web Gateway）似乎是该机构认为的NGFW联合部署的理想对象，此外独立的WAF、反垃圾邮件产品也应被考虑。

通过上面的分析，我们可以得出明确的结论：至少在Gartner看来，UTM和NGFW只是针对不同级别用户的需求，对宏观意义上的防火墙的功能进行了更有针对性的归纳总结，是互为补充的关系。无论从产品与技术发展角度还是市场角度看，它们与IDC定义的UTM一样，都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述，其出发点就是用户需求变化产生的牵引力。对此，Fortinet创始人、首席技术长官、工程副总裁谢华在接受我们采访时有着非常精辟的总结：“UTM的概念在不断的进化，包含了越来越多的安全功能。但像500强那样的大企业对UTM的接纳相对保守，不过他们也开始从独立的安全设备开始转向集成化的道路，其关注重点就是Gartner定义的以传统防火墙与IPS为基础元素的NGFW——UTM进化中的一个细化分支。无论如何，我们将看见安全功能整合的革命将继续进行下去。”Fortinet提供的产品技术也已覆盖了网络，内容和应用三个层面，应用识别与控制就是其中的扩展模块之一，NGFW的定义在可扩展化的UTM系统中得到充分的体现。

应用识别与控制：全能杀手锏

对于NGFW这种新生的产品形态，市场上也不乏质疑声。在多功能安全网关领域，有XTM做前车之鉴，不少人认为NGFW也将是昙花一现的概念。不过UTM概念刚被提出时，市场上也有过类似的质疑声，但用户用实际行动表明了对这种功能丰富、性价比高的产品的认可，其市场份额长期保持乐观增长。IDC预计，国内UTM市场2011年增长率为38.2%，市场规模将达到1.741亿美金；2010到2015年的复合增长率为33.6%，市场规模在2015年将达到5.353亿美金。为什么UTM比XTM成功得多？我们认为关键在于前者在适当的时候集成了用户需求最迫切的功能，后者却试图引导用户，以一些相对小众的特性为卖点。而对于NGFW来说，其最大的亮点在于应用识别与控制功能，这恰恰也是目前用户最迫切需要的功能，有着很大的潜在用户群体。Gartner表示，目前只有不到1%的互联网连接采用NGFW来保护。而到2014年年底，这个比例会增加到现有用户总量的35%，并且新购买的防火墙中将有60%是NGFW。该机构还建议，无论用户现在使用的是防火墙、防火墙+IPS还是安全服务，都应在下一个更新周期来临时切换到NGFW。

作为NGFW定义中明确要求具备的特性，应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题，同时对业务流量进行优化，受到了所有受访用户的关注。而5家推出NGFW产品的厂商均表示，该功能已经成为各自产品中的标准配置，也就是说，即便用户在购买时不包含其他任何安全功能的使用许可，也会得到一个“应用防火墙”形态的产品，我们认为这也将成为未来NGFW产品商业模式方面的常态。但多数受访厂商也希望用户认识到，NGFW产品只能提供上网行为管理产品和专业流控产品中最基本的一部分功能，且应用场景和功能侧重都有很大差异，并不存在完全的取代关系。流控产品通常会被部署在行业用户或运营商网络的边缘，用于对应用层流量进行合理的整形与优化；上网行为管理产品则基本部署在企业网络中，在阻止网络滥用行为的同时提供更丰富的行为控制与审计能力。二者都是单一功能设备，与强调一体化接入安全的NGFW没有可比较的环境。NGFW的优势在于应用识别/控制与安全业务的无缝衔接，可以完成诸如“允许MSN传输文件并对文件进行病毒过滤，但不许使用语音视频聊天”这样的综合访问控制策略。

除了上网行为管理产品和流控产品，部分市售的UTM产品也带有应用识别与控制功能，令人感觉与NGFW十分相似。不过该功能大多以独立的功能模块形态存在，通常在策略配置、日志/报表乃至授权许可方面都不统一，应用体验与NGFW存在一定差距。此外，至少我们所测试过的集成应用识别与控制功能的UTM产品中，还没有任何一款在特征库中包含Web 2.0应用，显然不能满足互联网应用发展带来的新安全需求。最后也是最关键的一点，部分没有采用统一处理引擎的UTM产品在性能上的衰减也许是任何人都始料未及的。我们曾经测试过这样一款产品，只开启防火墙时可以达到几百兆的吞吐量（HTTP大页面，后同）；在此基础上开启IPS，吞吐量下降到一百多兆；如果再开启应用识别与控制，吞吐量则只有几十兆。而NGFW被Gartner定义为线速（wire-speed）网络安全处理平台，虽然在启用多种功能时性能也会有所降低，但从目前市场上销售的NGFW产品的规格指标来看，部分产品在开启应用识别与控制功能后，性能能够达到单独开启防火墙时的60%-80%；在此基础上再开启反恶意软件、IPS等功能，性能最高者可以达到单独开启防火墙时的50%。当然我们不能以偏概全，无论是UTM还是NGFW，在开启多功能部署前都应进行细致的测试工作。

在稍后的产品分析中可以看到，虽然Gartner在定义文档中将NGFW的用户群体圈定在大型企业和行业用户，但5家厂商都推出了全功能的中低端产品。实际上，中小企业对应用识别与控制功能的需求，要远远高于其他任何安全特性。自防火墙普及以来，大部分中小企业用户就把它当做一个接入设备而非访问控制设备来用。如今，他们面临最严重的问题不是安全问题，而是如何限制网络滥用行为，保证接入质量。微博上最近流传的笑话就很说明问题：某小公司内上网体验十分恶劣，经常连网页都无法完整打开，领导对此也无可奈何。唯有每月财务人员在公司QQ群内喊一句“都停下，我要发工资”，网络访问才会短暂地恢复正常。这个例子很生动地表明，目前许多中小企业用户面对网络滥用行为缺乏有效的技术管理手段，导致网络陷入完全失控的局面。

目前常见的解决方式是使用带应用控制功能的路由器或上网行为管理产品，前者价格低廉但功能简单，不少产品在应用识别与控制能力上仍待加强；后者虽然功能强大但价格昂贵，中小企业或许要为一些很少用到的功能买单。从市场角度看，两类产品在用户覆盖上造成一个断层，中间有大量用户的需求没有被满足。而中低端NGFW产品的出现，在功能、性能上满足了此类用户的需求（多数产品的基本配置都是带应用识别与控制功能的“应用防火墙”），又提供了安全业务的扩展能力，价格也基本维持在同规格UTM产品的水平，值得所有中小企业用户关注。

如何评估NGFW产品

NGFW属于新生产品，目前业界对其还没有一个公认的测试标准，甚至独立的测试报告都寥寥无几。NSSLabs曾经在几个月前发布了针对Check Point Power-1 11065的单品测试报告，这也是该机构第一次发布NGFW类别的测试报告。我们从中可以看出，NSSLabs针对NGFW产品的测试方法可以看作是在传统防火墙和IPS测试的基础上，补充了针对用户/应用的识别与控制能力的测试。不过，我们注意到应用识别与控制测试中使用的样本多为欧美地区流行的应用，国内用户应当重点考察NGFW产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。采访中有些用户就抱怨说，目前使用的国外某UTM产品在IPS模块中虽然也集成了对应用的识别控制功能，但扩充及更新速度太慢，以至于上线不久就失去了对迅雷等频繁更新应用的控制能力。

此外，应用对于网络的使用模型趋于多元化，NGFW产品在应用控制方面的细粒度也应被重点关注。对于传统的网络应用，以迅雷为例，可以考察产品是否能够在允许常规HTTP、FTP下载的前提下，屏蔽一切P2P或Cache加速下载行为或进行限速处理；而对于开心网这样的互联网/移动互联网应用来说，可以考察设备是否能够对基于Web 2.0平台的小应用（如开心农场、开心城市）进行单独的屏蔽。即便不能做到这一点，NGFW产品也应该能够通过URL-Filter特征库中的分类或手动设定策略的方式进行屏蔽。

除了应用特征库包含的协议种类与特征更新速度，管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是Gartner的NGFW定义中的强制功能，但我们发现目前市场上的产品都有提供，并且厂商纷纷在该领域做着更加深入的尝试。用户应当考察NGFW产品是否可以通过获取域控制器信息或Web认证等手段，做到IP与用户身份的绑定，再通过统一的策略框架进行更加直观、简单的权限定义，以达到“允许市场部门的所有员工从任何位置访问新浪微博“、“只允许IT部门员工从特定位置使用SSH、Telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的WebUI、报表系统、端点套件和集中管理系统。英文界面无疑会增加NGFW产品的配置管理难度，对IT管理效率造成不可忽视的影响。

性能测试方面，许多用户都知道针对传统防火墙有RFC2544、RFC3511、GB/T 20281-2006这样公认的测试规范。这类产品的业务模型比较单一，有经验的测试人员/管理员根据依照规范测得的结果，甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进DPI时代开始，实验室环境中进行的标准化测试就失去了普世的指导意义。即便是IPS，部署在数据中心出口时与部署在企业出口时的性能也会有很大差异。而NGFW产品在进行性能评估时会更复杂，用户必须根据自身的业务需求，抽象出与之吻合的流量模型，进行细致的、有针对性的测试工作，才能得到有价值的评估依据。并且在测试过程中，应时刻以“寻找最差性能”的目标，方可在未来的实际使用中规避性能瓶颈。

经历了实验室环境中的考验，用户也不应忽视产品在实际环境中的测试工作。比起UTM，功能更加丰富的NGFW产品需要更长的测试周期以证明设备的稳定性和在用户业务、管理方面的兼容性。同样要长期验证的还有身份（ID）的同步和策略执行的效果，安全部门在这一环节也许需要行政部门的配合（Gartner和NSSLabs都曾或多或少地提到过这个环节存在的难度，或者说是“管理矛盾”）。途牛旅游网的资深网络工程师吴康在采访中就谈到这样的体会：该公司在明确自身安全需求后，选择了NGFW产品取代UTM搭配上网行为管理的方案保护包括订单系统在内的在线OA平台。经过长达半年的上线测试，途牛旅游网的IT团队才以用户身份关联为基础逐步实现了策略的统一配置，验证了产品性能与稳定性，在满足需求的同时大幅提升了管理效率。由此可见，充分的测试是NGFW产品部署前必不可少的环节，鉴于大部分用户都会同时启用NGFW多种安全功能，我们建议无论是否进行实验室测试，都要在实际环境中进行至少3个月以上的、结合自身业务需求的测试，尽可能地与原有信息系统磨合，排除潜在隐患。

无论如何，用户未来在选购NGFW产品时肯定会感到更多的困惑（比如，许多用户在采访中都问到“哪个厂商的NGFW是目前市场上最好的产品”）。一方面，UTM和NGFW短期内不存在取代关系，经过包装推广的产品在形态上会越来越相似。另一方面，NGFW必然还会加入更多的安全特性，从著名信息安全培训机构SANS的专家结合现有产品和用户需求，给出的未来NGFW产品将需集成的功能列表来看，目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼，用户（尤其是中小企业用户）难免会像几年前刚接触UTM那样，产生一种不理智的选购心态。所以，用户在选型前必须先明确自己的需求是什么，再利用NGFW体系结构上的集成化优势对未来部署做出合理性的规划，避免造成过犹不及的负面效果。

NGFW产品现状

目前可以确定共有5个厂商在国内正式发售了NGFW产品，其中4个国外厂商均在Gartner最新一期的《企业网络防火墙魔力象限报告》（Magic Quadrant for Enterprise Network Firewalls，2010）中占有一席之地；深信服科技是唯一发布了NGFW产品的本土厂商，我们相信会有越来越多的本土厂商杀入这一领域。

理论上的定义总是滞后于用户需求和技术发展，从市场上可以购买到的实际产品来看，它们集成的安全功能已经远远超过了咨询机构给出的基本定义。虽然不同厂商在功能提供上还存在差异，但大家的目标都是一样的，那就是在产品上集成尽量多的功能，规格上覆盖低端到高端，与Gartner细分功能、用户群体的追求有很大出入。厂商这样做无可厚非，只有功能模块化加系统平台化的方式才能做到成本最小化与利润最大化。

在资料收集的过程中，我们还发现了一个很有意思的现象：之前无UTM产品的厂商为我们提供的文档中，都统一使用了NGFW的概念与宣传口径，且官方网站上的资料也是如此；而之前有UTM产品的厂商虽然宣称拥有NGFW产品线，却暂时没能提供与之相关的资料，在产品归属的态度上显得十分模糊。我们感觉前者的意图很明显，就是要避开竞争激烈的防火墙/UTM市场，抢占新的蓝海；后者大多拥有一定的资本和技术积累，为稳固市场地位需要拉动产业升级，却担心在市场上面临“自己打自己”的窘境。无论如何，随着NGFW概念逐步被用户理解、接受，目前市场上的混乱局面必将变得明朗，其市场前景值得看好。

• Palo Alto

Palo Alto是近几年发展非常迅猛的一家安全企业，在圈内负有盛名。该公司旗下有且仅拥有NGFW一类产品，被看做NGFW时代的先行者。经过充分的准备，Palo Alto于2011年初在国内设立了办事处。据了解，诸如应用特征库、WebUI和报表管理系统的本土化工作已在进行中。

Palo Alto将用户识别、应用识别和内容识别并列为产品的3大核心功能，使用户权限和策略设定变得像自然语言般简单易懂，同时让报表的可读性更强。内容识别基于防火墙、IPS、反恶意软件、URL过滤乃至DLP等多种安全功能，可以为用户提供全面的安全保障。在业务处理方面，其产品采用了单数据流并行处理体系结构，保证了高性能、低延迟。有业内人士认为，Palo Alto产品中关于一体化的处理引擎和一体化的策略框架是最关键的设计理念，在保证了高性能的同时提高了易用性。

产品规格方面，Palo Alto面向不同规模用户推出了从最低端的PA-500到最高端的PA-5060在内的多款产品。其最低端产品PA-500拥有250Mbps的防火墙处理能力、100Mbps的攻击防护能力和50Mbps的IPSec VPN性能，最高端的PA-5060则将这3个指标推向20Gbps/10Gbps/4Gbps。Palo Alto公司创始人、首席架构师毛宇明在接受我们采访时特别指出，该公司在官方网站公布了所有产品的性能指标，其中攻击防护能力一项均为开启应用识别及所有安全模块后的数据。并且即便用户没有选购任何安全功能的许可，也可以使用不受任何限制的应用识别与控制功能。

Palo Alto在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“有远见者”（visionaries）象限，并且在前瞻性（completeness of vision）坐标中处于最领先的位置。就目前的情况看，我们认为该公司在未来报告中的排名会继续进步。

• SonicWALL

做为资深的信息安全解决方案提供商，SonicWALL在国内外市场都有着不小的知名度。该公司在上海设有规模庞大的研发中心，负责核心产品的研发和部分本土化工作。SonicWALL中国研发中心总经理陈中在接受采访时就提别，目前该公司产品每次系统版本更新后1~2个月内即可提供中文版，并且有专人负责国内应用特征的添加与维护，达到平时每周1次、紧急情况下1天响应的更新频率。

SonicWALL对NGFW概念的跟进非常迅速，旗下已有SuperMassive E10000、E-Class NSA、NSA以及TZ210四大系列多款产品。实际上，得益于比较完备的软件平台和模块化的安全业务部署模式，该公司的NGFW产品和UTM产品使用了基本一致的软硬件平台，只在功能模块的配置上有所区别。在交付时，可以根据用户需求进行相应的授权，灵活满足NGFW或UTM的功能侧重。SonicWALL一直在为其NGFW产品增加更多的功能特性，该公司在一周前刚刚宣布将广域网加速功能集成到NGFW，为用户提供更好的网络使用效率。

SonicWALL旗下NGFW产品规格非常丰富，最低端的TZ210拥有200Mbps的防火墙处理能力、50Mbps的UTM处理能力和75Mbps的IPSec VPN性能，此外还可以提供3G/802.11n无线接入特性。在最高端，SuperMassive E10000系列使用了多节点业务智能分摊的设计理念，最多可支持8个业务节点共96个处理器内核同时工作，提供最大30Gbps的应用识别与控制能力、30Gbps的IPS处理能力、12Gbps的反恶意软件处理能力和20Gbps的IPSec VPN性能，无愧于当今顶级NGFW产品的称号。

SonicWALL在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”（niche players）象限。不过在Gartner同期的《UTM魔力象限报告》（Magic Quadrant for Unified Threat Management）中，该公司则处于“领导者”象限，综合排名仅次于Fortinet。

• Check Point

Check Point是历史最悠久的信息安全解决方案提供商，也是最早一批进入国内市场的安全厂商。该公司的防火墙产品在业内拥有极高的知名度，并且始终处于技术发展的最前沿。Check Point首创了软件刀片的概念，通过在统一的系统平台上部署不同功能的软件刀片来实现多种安全业务。在得到了NOKIA的硬件产品线后，该公司拥有了堪称业界最全面的硬件平台方案，具备了多种形态的交付能力。

有了这样的支撑，Check Point发布NGFW产品可谓水到渠成。据中国区技术经理刘刚介绍，该公司在2010年推出了可以对应用进行识别、控制的应用控制刀片，并整合了允许员工参与到决策进程的UserCheck技术。Check Point还利用独有的应用程序库AppWiki为用户提供更深入的可视性，该程序库内置了5万多种Web 2.0专用界面工具信息和包含社交应用、即时通讯和流媒体在内的4500多种互联网应用特征。，

虽然不是最早发布NGFW产品的厂商，Check Point却在NSSLabs进行的业界第一次NGFW产品测试中拔得头筹，成为业界首个获得NGFW产品“推荐”级别的厂商。我们在官方测试报告中看到，该公司送测的次高端产品Check Point Power-1 11065在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率，IPS功能的成功拦截率也达到97.3%；性能方面，该产品在混合多种协议的“真实流量”（Real World）测试中达到最高3800Mbps的处理能力，在传统的UDP性能测试中则有着12050Mbps的最大吞吐量。

Check Point在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“领导者”（leaders）象限，并且在前瞻性（completeness of vision）、执行力（ability to execute）坐标中均处于第二名的位置。在Gartner同期的《UTM魔力象限报告》中，该公司也处于“领导者”象限，综合排名第三位。

• 梭子鱼

梭子鱼是近年来表现比较活跃的信息安全解决方案提供商，目前已有超过10款不同类型的产品在国内市场进行销售。该公司十分善于整合吸收外来的产品技术，在国际范围内有多次成功的并购案例。梭子鱼现有的NGFW产品线来自于2009年收购的安全厂商phion，其产品在欧洲地区已经有许多大规模部署的案例。

也许是因为之前旗下没有防火墙/UTM产品线，梭子鱼坚定地成为NGFW时代的先行者之一。该公司在产品上以应用与身份控制、内容安全和网络层安全为核心，在满足NGFW定义要求的基础上提供了比较全面的安全特性。目前，梭子鱼仍在致力于管理特性、其他安全特性的开发和更为彻底的本土化整合工作，该公司中国区技术总监谷新在接受采访时特别提到，NGFW产品的集中管理平台目前已经可以管理维护多达数千台设备，并有实际部署案例。该平台还结合图形化管理维护技术，利用业界独特的“梭子鱼NG地球”特性，使分布网络的管理变得简单高效。

产品规格方面，梭子鱼也针对不同层面用户的需求提供了覆盖高中低端的全系列产品，其中多款具有WiFi及3G接入的能力。根据该公司公布的数据，其最低端的F10拥有150Mbps的防火墙处理能力和85Mbps的VPN性能，最高端的F900则将这2个指标推向21Gbps和3.78Gbps。而该公司提供的另一份文档也表明，梭子鱼的NGFW产品可在开启所有安全功能后达到8~10Gbps的最高性能。我们还注意到，梭子鱼在产品线中提供了目前唯一的虚拟环境部署方案，对有类似需求的用户来说无疑是很好的选择。

phion在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”（niche players）象限。有了梭子鱼丰富的产品线及全球化的销售/维护体系做为支撑，该产品的未来值得看好。

• 深信服科技

做为近年来崛起势头最为迅猛的本土信息安全解决方案提供商，深信服科技长期坚持专攻应用与内容安全领域的发展策略，在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际，该公司于近期发布了NGAF系列下一代防火墙，成为国内首家推出NGFW产品的厂商。

深信服NGAF系列下一代防火墙提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能，覆盖了NGFW定义中要求必备的所有特性。有国内市场上最成功的上网行为管理产品为基础，深信服科技的NGFW产品在应用识别与控制能力方面显然有着先天优势，其识别引擎已经能够辨析600多种应用，以满足不同部署场景的要求。该公司还将WAF产品的主要功能集成到NGFW产品中，结合应用识别与控制功能，为数据中心用户提供了新的安全防护接入思路。

对于我们问到的“之前没有防火墙/UTM产品，在状态检测技术和入侵防御技术方面是否有足够积累”的问题，深信服科技市场行销部技术总监殷浩也没有回避。据介绍，该公司在保持应用与内容安全领域技术领先的同时，也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴，可以第一时间获得漏洞资料，提高IPS的防护效果和响应速度。NGFW产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护，正是技术积累的一次集中体现。

产品规格方面，深信服科技的NGFW产品线中包含了多达11款产品，覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供200Mbps的防火墙处理能力（按照深信服对产品的定义，应用识别与控制功能都默认开启。后同。），最高端的AF-8000系列则将该指标推向10Gbps。由于深信服科技NGAF系列产品刚推出不久，我们还未能拿到更多的性能参数。但从厂商测试中得到的最新数据来看，其中端AF-1700系列产品的防火墙吞吐量达到600Mbps；在此基础上开启IPS和WAF功能，依然可以达到520Mbps的处理能力。

百舸争流NGFW

Gartner研究副总裁Greg Young在接受我们采访时提到，NGFW对于国内活跃的网络安全市场上的诸多厂商来说，都是一个未来的机遇。而这类产品能否顺利发展，很大程度上也取决于来自行业内的态度。所以除了之前提到的5个已经正式发售NGFW产品的厂商，我们还对另外14个厂商提出采访邀请，希望了解大家对这个新产品形态的看法。他们都有防火墙或/及UTM产品进行销售，并长期在国内安全市场有着活跃表现。经过长时间的沟通，我们最终收到了13份正式答复。业界巨擘思科成为唯一没有接受采访的厂商，我们对此深表遗憾。

我们对每个厂商的采访都围绕着NGFW的产品形态和市场前景两大主题来进行。从13份答卷中可以看出，绝大多数厂商都对Gartner所定义的NGFW产品形态表示充分认同，虽然也有厂商表示个别细节值得商榷，但终归没有明确的反对意见出现。可以认为，Gartner所定义的NGFW标准是对用户需求的高度抽象，是防火墙发展到一个历史阶段的自然产物。除了定义中明确所必须具有的基础特性，各厂商基本是根据自身所擅长的技术领域，以及目标客户需求的视角来定义NGFW应具有的其他功能。例如有独立组网能力的H3C与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗DDoS等特性，而传统意义上的安全厂商则更关注的网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。

对于NGFW产品在国内的市场前景，受访厂商也普遍表示看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争，但必将逐渐替代防火墙、IPS、UTM，成为阶段性的终结者。启明星辰还提到了上网行为管理产品，认为NGFW的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加细致，该公司认为NGFW短期内不会有独立市场，中期来看将从行业用户处开始普及，最终会成为综合网关市场的核心产品。而来自华为赛门铁克的观点则与之前我们的分析不谋而合，认为有中国特色的NGFW必将成为市场的宠儿。

可以看出，业界对NGFW的产品形态和市场前景都趋于认同。也正基于此，13个受访厂商中的5家已明确表示有NGFW产品研发计划，今明两年内我们很可能将看到至少4款来自不同厂商的产品出现在市场上。迪普科技、山石网科则表示现有产品已符合NGFW标准规范，只是未进行过有针对性的包装推广。瞻博网络则声称2008年发布的SRX系列防火墙是NGFW的代表作，但我们在该公司官方网站及互联网上暂时没有找到相关信息。

绿盟科技产品管理中心总监 王伟

绿盟科技认为Gartner定义的NGFW标准主要强调以下4点：

• 性能：Gartner把性能作为NGFW区分于UTM最重要的指标之一；
• 集成IPS：Gartner认为NGFW需要集成IPS功能，但不是像UTM那样做简单叠加，而是要将IPS的功能实现无缝融合入NGFW产品中去；
• 应用可视：主要强调NGFW对Web 2.0应用的识别和管理能力；
• 用户集成：强调用户身份与NGFW策略的一体化整合。

以上4点是针对UTM存在的短板进行的改进，应该是未来NGFW产品功能的最小集合。随着NGFW产品及市场的不断成熟及用户认可度的增强，NGFW产品还将融合更多、更丰富的功能（如虚拟化、Web信誉等）。另外为了应对云计算这个大的技术趋势，NGFW在产品硬件形态上将变得更加弹性以及多样化。无论如何，结合目前最新的安全发展趋势来看，Gartner对NGFW的定义代表了综合安全网关产品未来的发展方向。

短期内，NGFW在国内不会形成独立的市场，将依然会与传统的防火墙、UTM、IPS、上网行为管理等产品形成直接竞争。中期内，由于国内各类用户对新产品的认可度不同，NGFW产品将首先会在大型企业、金融、电信等中高端领域逐渐被用户接受。长期来看，由于NGFW代表了未来综合安全网关的发展方向，国内厂商应当会逐渐改进现有产品线，以符合NGFW的发展方向。最终，NGFW会成为综合安全网关市场最核心的产品形态。

山石网科技术市场经理 任磊

从字面上看，NGFW不像“入侵防御系统”、“上网行为管理”那样直观表现产品形态，转而突出传统防火墙基础之上的概念升级。在山石网科看来，NGFW代表着用户对防火墙产品提出的更高要求，他们期待防火墙能够脱胎换骨，满足当前和未来存在的安全需求。同样是防火墙概念升级的UTM也曾是一个时代的宠儿，但当用户发现其仅是单纯的安全功能叠加，且在多功能开启后性能会急剧下降的时候，此类产品就逐渐归入了中小企业解决方案的范畴。而实际上，无论是UTM还是NGFW，都应该是通用环境下的产品，而不受行业或网络规模的限制。

NGFW产品应打破传统的单一功能叠加模式，实现基于应用的综合控制，其中单引擎与并行处理是关键。在应用识别的基础上，NGFW应能够对协议中的行为做深层次的可视、管理和安全控制。此外，在网络技术快速发展的今天，应用的变化不仅使得数据流量增加，更高的并发连接和更多的会话处理也对设备造成了很大的压力，用户需要改变传统思想中仅靠吞吐量去衡量产品的思路。当多种安全业务集中在一台设备上的时候，软硬件的高可靠性就变得至关重要。软件方面，AA、集群等特性可以实现多台设备之间的互备；硬件方面，多控制器、多处理模块、多电源等模块间的冗余设计也是提高设备稳定性的必要方法。

NGFW代表着防火墙产品的一种发展趋势，其核心诉求是数据处理模式和效率方面的根本提升。这种提升已经与国内网络发展造成的安全需求相匹配，理应成为未来用户解决网络安全问题的主流选择。随着云计算环境下安全需求的变化和虚拟化技术的不断普及，用户在针对应用的高性能、深层次防护领域将出现井喷性需求，市场潜力是巨大的。

从功能特性角度看，山石网科的产品早在2008年就具备了Gartner定义的NGFW特征，包括传统防火墙的全部功能、应用流量的识别与优化、用户身份和内容的识别与管理、入侵防御和病毒防护能力等。我们并不在意安全产品的名称，而是希望凭借山石网科多年来对市场的认识、对行业的理解，做出更贴近用户需求的新一代安全产品。

迪普科技产品部副部长 孙晓明

Gartner定义的NGFW确实为集成化的安全网关类产品指出了一个发展方向，这是值得肯定的。在此基础上，我公司更加重视客户关注以及所需要的功能，产品设计的出发点也是为客户提供一个功能完善、高效可靠、部署简单的产品解决方案。实际上，如果按照NGFW的定义，我们的FW1000应用防火墙产品和UTM2000的UTM产品都符合规范定义的形态。FW1000应用防火墙除具有基本防火墙功能以外，还具有对四层攻击、拒绝服务攻击的抵御能力，并且可以对P2P、网络游戏、炒股软件等各种应用协议进行识别并进行限流或者阻断。同时，设备自带千万条级别的URL库，可以实现URL过滤等功能，为业务流量优化和安全防护提供良好的辅助。而UTM2000系列产品则在FW1000应用防火墙产品的基础上，增加了IPS、防病毒、应用控制、关键字过滤、行为审计等功能。

无论是NGFW1000还是UTM2000，都采用了“一次解析、多次匹配”的业务处理模式，即单引擎+整合特征库（协议库、漏洞库、病毒库），使得产品在设计上具有了非常好的伸缩性。同时，单引擎相对多引擎在处理模型上有了优化进步，是高性能的保证。

无论UTM也好、NGFW也好，本质上都是对传统防火墙功能的提升和扩展，在价格被用户接受的情况下，对传统防火墙实现替代是必然的。NGFW和UTM之争，以及NGFW需要具备的功能讨论，在我们看来对用户的实际意义不大。用户需要的功能就是产品必备的功能，迪普科技不以License来控制功能模块的启用与否，交付给用户的本身就是具有多种安全功能的产品，用户可以根据需求选择自己需要的业务。

启明星辰产品管理中心产品部副经理 任平

启明星辰认为，NGFW的发展诉求应该是把传统防火墙将访问控制对象从网络层、传输层调整为应用层协议。因此，其产品实现基础不再是多模块协同工作，而是依托于网络应用的识别能力来实施安全访问控制。虽然技术方面存在相通性，但由于访问控制对象不同，NGFW与UTM在系统设计方面会存在本质差异

简单来说，NGFW在功能上偏重于网络应用安全，而UTM更侧重于网络内容安全。NGFW更强调应用识别能力、用户行为管理和应用安全，提供面向应用控制的网关安全防护；UTM针对内网强调全方位的安全能力，提供比较适中的、具有更高性价比的网关安全防护。UTM与NGFW相比，还可提供VPN、反垃圾邮件、反恶意软件、防攻击、内网管理等针对于内网的安全防护能力。

在功能模块组成上，Gartner并未明确规定NGFW功能的细节组成，定义的功能覆盖比较合理。但NGFW作为安全类产品，在应用识别的基础上，需要增强应用安全的检测控制能力，同时在保证效率的前提下，增强基于流的防病毒能力会更有利于NGFW实现针对应用安全的目标。从目前来看，还没有一个厂商可以实现UTM、NGFW特性高效融合的案例，更多还是在应用、安全各自见长。NGFW在安全特性上和UTM在应用控制上，是否符合用户预期的商用效率，与软硬件技术的发展也有着很大关系。

在应用为王的网络世界中，NGFW的出现是紧跟应用安全需求发展的产物，市场前景相对乐观。在国内市场，它将对传统防火墙、UTM、上网行为管理和IPS细分市场造成冲击。国内各传统安全设备厂商会对此不断调整自身产品形态，一定程度上影响国内安全网关市场的调整与分布。NGFW在国内可能首先冲击上网行为管理市场，最终替代上网行为管理产品，与防火墙、UTM和IPS产品形成新的市场布局，长期处于竞争态势。NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求，国内安全厂商对专用硬件平台的驾驭能力会在一定程度上影响NGFW产品在国内的发展。在没有颠覆性软硬件技术革新的前提下，UTM、NGFW之间还难以形成替代关系。而二者差异的存在，使其在部署上反而会存在一定的互补性，在网络边界发挥各自优势，满足用户的多维度需求。

今年年初，启明星辰已经展开NGFW产品技术和市场空间方面的研究，考虑在合适的时机推出有特色的NGFW产品。

H3C安全产品部部长 马前祖

Gartner所提倡的下一代防火墙产品，很类似于UTM，都是尽可能将传统的单一防火墙功能扩充到多种安全业务的集合形态。基于应用的流量识别与控制，给客户带来投资减少和管理方便是显而易见的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业程度限制，NGFW产品形态缺乏标准，指标也比较随意。与部分厂商将它解读为所有的安全功能尽量集中于一体不同，H3C公司在网络安全方面的理解，更注重是从网络安全整体的角度看安全产品，提倡系统化安全，而Gartner提倡的解决方案是从纯安全的角度去看安全产品。我们不仅要把防火墙和IPS做成高性能或者互动，同时我们还要把交换机、路由器与管理中心、桌面控制平台联合到一起。

具备多种安全防护功能是下一代防火墙需具备的特点之一，从当前市场需求了解来看，NGFW需求集中于中小企业，类似于UTM，为一些中小企业在部署及管理维护带来一定的成本优势。但放眼未来，随着市场的发展逐步规范，NGFW产品自身在性能上得到提升，势必会在更大的领域获得广泛应用。但我们也注意到目前IT行业两大发展趋势，一是带宽越来越宽，以太网标准开始由万兆向40G、100G迈进；二是云计算风生水起，已成为众多企业CIO关注焦点。NGFW要跻身这个市场，在具有融合的安全防护功能的同时，还必须满足高吞吐和高并发的性能弹性匹配、云计算环境中虚拟化技术带来的安全虚拟化这两个基本需求。

未来防火墙产品发展方向上，H3C比较关注数据中心和云计算趋势。数据中心集成了网络、计算、存储功能，安全需要到与网络设计及管理维护高度融合，且性能和功能可以弹性扩展。在不久的将来，H3C将推出一系列具有业界顶级性能的安全防护产品，例如将于明年初正式推出的H3C SecBlade III第三代防火墙业务板卡，该产品将可以在S12500和S10500系列高端交换机上使用，不仅自身具有高性能，更可通过IRF扩展，实现远超于现有任何安全设备的强大性能，IPS、应用控制功能等也依据此架构提供的弹性硬件方式扩展，届时将再次刷新业界安全设备性能峰值。

网御星云副总裁、首席技术长官 毕学尧

对于Gartner提出的NGFW概念，网御星云部分赞同。但我们也认为有以下几点需要补充：

• NGFW自身集成的抗攻击特性需要加强，除抗DoS/DDoS攻击外，还应有抗CC、ARP以及DNS攻击的能力；
• NGFW是面向未来业务发展趋势的产物，厂商应为用户提供各类安全云与NGFW产品搭配的整体解决方案，而不仅仅是个单独的设备；
• 多核多线程并行处理技术应是NGFW在软硬件系统平台方面的标配，以保障高性能与高稳定性。

这其中，NGFW最应具备的还是稳定可靠的基于云安全的防御特性。云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息与特征，传送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端，实现立体全面的防护。

国内安全市场竞争激烈，NGFW的市场前景会进一步扩大化，不同品牌产品间在细节方面的表现将成为最关键的因素。网御星云早在2010年初就已立项启动下一代智能感控防火墙的研发，当前已处于测试阶段。功能方面，我公司产品包括了所有NGFW应具备的特性，同时融合了网御星云的云防御理念。该产品预计在2011年下半年上市。

华为赛门铁克安全市场与产品行销部部长 武鹏

Gartner对于安全威胁的发展趋势和用户业务安全需求发展趋势的判断是准确的，传统防火墙从防御范围和理念上，已经越来越难以满足用户需求。华赛认为，下一代的网络安全产品都应具备对用户的业务环境进行感知的能力，即能够识别和用户身份、网络特征、具体应用及内容数据相关的各种属性，并帮助客户实现面向具体业务制定一体化的安全策略，同时提供细粒度的控制能力，从而帮助用户真正实现全面的威胁管理和安全管控。

NGFW应具有较强的应用协议识别能力、应用层威胁识别能力、强大的IPS引擎和强大的反恶意软件引擎，同时具备智能的用户身份识别和管理能力。除此之外，既然该类产品已经定位于内容级，用户会更关注合规方面的功能，因此NGFW应该具备敏感信息过滤、定制合规策略并输出相关报告等相关能力。最后，考虑到NGFW所处的防御位置和攻击形态的发展趋势，完善的DDoS防护能力也是NGFW应具备的重要特性。

随着欧美的几个厂商开始在中国市场宣传NGFW，用户和媒体开始关注这种新产品。但目前由于NGFW的标准还不明确，国内第三方测评机构也暂不具备评估的能力，厂商的宣传还暂时无法带来规模的采购效应。但是，从近几年火爆的上网行为管理市场可以看出，中国市场有独特的对于合规和内容管理的需求，其真实存在是NGFW得以在未来有很好发展的基础。我们相信，只有切实把握国内用户的需求，对本土化的应用和威胁有深入研究的公司必然会推出具有中国特色的NGFW产品。审计、应用管理、威胁管理、用户管理、高性能、统一融合，这些都是国内客户的核心诉求点。目前已经进入国内市场并推广NGFW产品的企业，需要经历对市场的一个熟悉和磨练的阶段。

在国内市场和安全技术领域多年积累的基础上，我们相比其他厂商具有更多的优势，例如在应用识别、威胁识别、用户管理这些领域。华赛早就开始研究下一代网络安全产品技术，积累了大量的经验。今年，我们全面整合资源，开始了对下一代网络安全产品的研发，目前的挑战是如何设计一个高效率的新的体系架构。无论如何，华赛全系列的产品都将向下一代演进，这对用户是个很好的消息。

安氏领信研发总监 杜永峰

尽管目前业界关于下一代防火墙的定义仍然不统一，但这并不会影响用户对其的需求。用户关心的不是“什么是下一代防火墙”，而是“什么产品能帮助他们解决日益复杂的网络安全隐患”。随着面向服务应用架构的激增，更多网络上的应用流量往往通过少数的公开端口进行传输，要甄别这些应用以及如何控制应用流量中隐藏的威胁，基于IP、端口进行访问控制的传统防火墙已经显得力不从心。Gartner对NGFW的定义基本解决了用户迫切关注的问题，在传统的防火墙基础上增加对应用层协议细粒度的识别控制能力以及流量可视化能力、并能在深度解析应用协议的基础上对网络威胁进行防护。所以在产品与技术层面，我公司基本认同Gartner定义的NGFW标准。

安氏领信认为，Gartner的NGFW定义中对威胁的关注点是由外向内（或称之为攻击），对内部的数据安全考虑较少。面对日益严重的数据泄漏问题，有必要在网络边界处增加对内部“数据安全”的解决方案。此外，以“用户”为访问控制元素的策略上，需要考虑终端与边界防护的立体解决方案，在终端的接入上进行必要的控制。

我公司预计会在下半年推出NGFW产品，我们会在UTM技术积累的基础上，以一种全新的视角进行重构，重点在企业应用层协议控制、网络攻击防护的功能点上进行挖掘。尽管目前NGFW在市场上的整体占有率不足1%，但我公司对其未来的发展充满信心，尤其是在中小型企业。很多人都会拿UTM来与NGFW进行比较，权且不论国际市场如何，就国内来看UTM大而全、性能低下、没有整体防御逻辑的诟病较难被国内用户接受，NGFW的全新的产品理念在迎合企业管理需求上能很好弥补UTM的不足，市场前景值得看好。

东软网络安全产品营销中心产品策划部部长 王军民

Gertner对NGFW的定义是很周全并值得认可的，应用识别是防火墙未来发展的重要技术方向，基于应用的攻击的不断变化也要求防御技术必须有所提升。对于这样的变化，传统防火墙只能望而兴叹，因为它在应用层的检测能力几乎为零，无法起到良好的防御效果；而IPS仅关注应用层检测，防火墙功能极弱甚至没有，这也是有些用户把IPS当做IDS使用的一个原因；UTM则是一个集大成的产品，能够很好的融合各种安全技术，但一个缺乏统一指挥、统一资源调配的庞大团队，其效率低下是无法避免的。NGFW的使命，就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃，满足用户新的防御和管理需求。

NGFW集成了多种安全业务特性，在功能上很强大。但是网关类产品在网络中布署时，会面临各种兼容性方面的问题，所以良好的兼容性、可扩展性是这类产品的必备特性。在开发NGFW产品的时候，这些方面必须优先考虑，不能因为功能的扩展影响了系统整体的运行效率。

技术是没有国界的，NGFW在国外发展得很好，相信在国内也会有光明的市场前景。从目前情况看，未来两年将是NGFW产品高速发展的一段时间，相信它会成为是防火墙、IPS的阶段性终结者。

对于新技术和新的产品形态，我公司历来都非常关注。但产品化进程要看市场的成熟度，产品上市太早的话，销量受影响，资金压力会很大；而上市时间太晚，又会失去很多市场机会。如何拿捏好产品研发和推广的时机，需要进行周密的考虑。

汉柏科技战略产品中心总经理 时培新

防火墙的核心目的是根据准确的判定条件来提供周密的访问控制策略，而根据Gartner的定义，NGFW并不是UTM和现有防火墙的简单升级，它提供了更全面的应用、用户识别机制，更灵活的控制机制，以及更全面的安全防御。

汉柏科技认为NGFW主要在以下几方面进行了大的改进：

• What：越来越多的应用和威胁，采用了嵌入Web和常规协议的方式。基于端口检测的UTM只能将其全部认为是合法的应用，而无法逐一识别出来。NGFW采用基于DPI/DFI技术的检测，能够深入到应用层报文，通过签名、行为特征识别技术，将这些应用或者威胁进一步区分出来，以便制定不同的控制策略。对于一些关键字、URL和敏感信息，NGFW也可以识别；
• Who：NGFW改变了传统防火墙/UTM依赖于物理设备地址(MAC/IP)和用户身份对应的方式，进而采用结合身份认证和深度挖掘的机制，去更主动、精准地关联用户的实际身份（邮件地址、用户帐号、手机号码等）；
• Where：在一些应用场合，特别是远程接入等场景下，NGFW还可以准确判定用户的位置；
• How：在丰富的判别条件基础上，NGFW提供了传统防火墙之外更多的控制机制，例如针对应用或用户的限速、限额、限连接数、QoS等级等控制策略。针对各种网络和应用层攻击，以及各种敏感信息，NGFW在同一引擎实现高性能的IPS基础上，应提供包括主动关联、DLP以及SSL Proxy等在内的多种安全业务。同时，从应用和用户视角提供Drill-Down的呈现方式，能够将精细到每个用户的每种应用的每个连接呈现出来。

从内部实现机制上来说，NGFW应当是以高性能为前提的。而复杂的识别技术（状态检测、深度报文判别、模式识别、行为分析等）替代了传统的基于端口检测的方法，需要更多的开销。要在高性能的前提下提供更全面的功能，对各种实现机制，如应用协议库的组织、多条流关联识别、检测和分析引擎的一致性乃至同系统底层和硬件平台的配合设计上，都提出了全新的考验。从用户角度来说，NGFW更多体现的是从实际使用者（比如人力资源）角度的设计，而不再用实际使用者完全看不懂的术语（例如“五元组”）去设定相关的安全策略。同时，功能将更多地基于一体化引擎，而不再简单堆砌，使用起来更流畅、易用。

汉柏科技已经在对NGFW进行缜密的产品规划，预计会在明年上半年推出PowerAegis系列NGFW产品。

天融信总工程师 吴亚飙

随着业务、应用、需求的不断变化，防火墙的定义和功能也在一直在演进之中。但无论是功能从单一到复杂，还是访问控制的粒度从粗到细，其总体趋势仍然是追求更加丰富的功能和更高的性能。从IDC定义UTM，到Gartner定义NGFW，都在一定程度上反映了产业发展的状况。但我们也应看出定义存在的一些不足，导致业界各厂商有各自不同的理解。这些定义还没有上升到权威机构（如IEEE或ITU等组织）主导的层面，也就天生缺乏广泛性和权威性。由于对当前防火墙发展存在片面理解，Gartner定义的NGFW比较适合企业用户实现对应用的控制，而不适合大型IDC、数据中心进行部署。

天融信防火墙的许多设计方向都与NGFW不谋而合。由于传统防火墙基于五元组的访问控制机制无法应对各种复杂的网络应用，天融信很早就将入侵防御等5大类型的防御机制加入到防火墙产品中。经过几年的磨合，这些防御机制已经实现单一引擎处理和联动，例如入侵防御功能侦测到的威胁可以自动加载到防火墙规则内，在网络层就能提前阻断。它们之间已经不仅仅再是互动关系，而是一个整体。

在应用感知方面，天融信防火墙可以做到对各种应用的精准识别，例如可以在识别出用户使用的即时通讯软件是MSN、QQ、Yahoo! Messenger还是网易泡泡等客户端的基础上，准确捕捉到用户正在进行的是文字通讯、语音视频、文件传输还是音乐播放等行为，从而有目的、有针对性地加以拦截和限制。

天融信防火墙还可以在多种环境下灵活定义以适应需要。在控制对象上，我们更强调将虚拟世界与现实主体结合在一起的行为控制。虽然Gartner在定义中强调了更细粒度的应用意识，但在应用支撑上关注不够，天融信防火墙不仅仅强调应用意识，还开发了丰富的应用支撑功能，如SSL业务的支持，业务通道的流量优化等。未来大家还会看到更丰富的应用保障功能，将颠覆目前的防火墙概念。

网御神州副总裁 王刚

当前国内防火墙厂家和产品很多，各家产品在追求差异化的过程中创造了种种概念，相似的功能也往往采用不同的表现形式。这一方面激发了厂家的创造性，一方面也对用户理解产品、选择产品造成了一定的困扰。Gartner作为专业的咨询机构，牵头定义NGFW概念是值得欢迎的，对规范行业内产品形态、引导市场方向来说能起到很好的促进作用。但也应该认识到，NGFW是传统防火墙产品技术的发展延伸，而不是对其的否定，两者不能切割、对立起来。另外，NGFW标准也不会是一成不变的，随着市场需求和技术的不断发展，它也需要做相应的调整，因为只有真正符合用户需求的产品才是合适的产品。

在现有标准之外，NGFW应考虑加入基于权限及身份认证的安全接入控制和用户上网行为监控特性。此外，不同的用户群体有不同的需求侧重，如运营商就在BGP、MPLS、IPv6等方面有着更高要求。还有一个容易被大家忽视的是智能化可视报表及人机交互系统的易用性，这也是NGFW在传统防火墙基础上需要改进的。

防火墙做为边界安全第一道防线，仍是安全市场需求热点，且仍会占据最大的市场份额；NGFW作为防火墙产品中的一员，也会在这个市场中占有一席之地。短期来看，用户接受NGFW还需要一个过程；长期来看，NGFW肯定能更好地解决部分现有防火墙难以解决的问题，市场增长速度会超过防火墙整体市场的增长速度。当国内厂商积极引导、顺应客户需求的、纷纷推出NGFW产品时，会掀起市场的热潮，甚至带动防火墙整体市场取得更大的突破。对于网御神州来说，NGFW已纳入公司产品规划，计划在明年第三季度推出一系列不同规格的NGFW产品，以满足不同用户的需求。同时，NGFW的部分理念也已融合在现有的产品中。

瞻博网络系统工程师 候志昂

Gartner定义的NGFW标准主要强调了在应用层抗攻击的重要性。从技术层面上看，我公司认为NGFW需要在应用层实现丰富的审查与控制功能，例如应用层的流量分析与过滤、应用层QoS、对应用层DDoS攻击的防护都是NGFW的重要特性。在产品层面，NGFW产品需要在高可扩展性方面做出更多革新，通过在软件和硬件层面的模块化设计，实现功能、接口数量、处理能力的即插即用式升级，才能够使产品具有更长的生命周期。具有长远的技术前瞻性、架构设计优秀的产品才能够作为NGFW的代表。

产品设计方面，NGFW应该实现控制、转发、抗攻击三平面的硬件模块化分离。由于下一代防火墙需要在高性能网络中承担应用层审查和攻击抵御的任务，其转发平面势必面临比传统防火墙更为繁重的压力。如何在繁重的压力下保证防火墙的可管理性是未来必然面临的问题。因此，把控制层面独立出来，在高速安全处理的同时保证管理层面的畅通无阻，是提升防火墙稳定可靠的决定性因素。此外，针对DoS攻击等恶意流量，通过独立的抗攻击硬件层面进行处理也能够从根本上保障正常数据流不会被攻击流量所干扰，确保业务的健康运行。

一款产品的架构设计决定了其生命周期的长度。下一代防火墙中，在高端产品线引入交换矩阵是非常重要的。只有通过交换矩阵才能突破跨板卡流量性能的瓶颈，真正实现无阻塞转发。同时为了适应业务的增长需求，是否能真正做到可灵活扩展也是非常重要的因素，下一代防火墙需要能够实现性能、接口的零配置平滑升级，而决不能是简单的多台独立防火墙堆砌式升级。只有这样，才能实现可远期规划的网络架构，也可以节省投资、机房空间与能耗。

另外，防火墙的高可管理性也是下一代防火墙必须实现的目标。除了丰富的统计、日志以及友好的界面外，NGFW产品还应提供一个具有开放性的平台和丰富的接口，支持自编程脚本在设备上的运行，才能满足不同行业用户越来越多的个性化需求。

国内用户正在从扩张网络规模的建设阶段向建立追求高质量的、以数据模型为核心的网络为目标进行演进。在这个过程中，NGFW产品将成为网络安全层面不可或缺的角色。瞻博网络在2008年就已推出了NGFW的代表作SRX系列防火墙，该产品在传统防火墙的基础上灵活集成了攻击代码检测与防护、应用层识别与防护、应用层DoS攻击防御等功能。目前，SRX系列防火墙已经在国内的运营商、金融、能源、教育等行业用户的网络中大规模部署。

分享

分享

上周的市场，并没有因为美国债务上限受到多大冲击。相反，由于希腊获得欧洲进一步救助，市场大幅度上扬。并且，本周的经济数据表现不错，虽然初次申请失业救济的人数没有什么减少，但是持续申领失业救济的人数再次下降了。建筑业显现了些微乐观迹象，新开工住房数量大幅增长。制造业数据也有些反弹，一切都指向证明五，六月的复苏减缓可能只是暂时的。
大公司的财报普遍不错，这也给了市场不少信心。英特尔，通用电气，苹果都给出了强劲的盈利报告。富国银行财报也给出了创纪录的利润。整个经济数据似乎暗示美国经济又重拾升势，虽然前进的步伐依然缓慢。
直到周五，市场才稍微注意到还有美国债务上限这个事情。共和党和民主党依然扯皮争执，周五共和党的国会大佬伯纳甚至退出讨论，导致市场盘后下跌。奥巴马虽然很是沮丧但也无可奈何。周六和周日看起来会有些动作，毕竟真的违约是谁也负担不起的。
本周这个美国债务上限剧目很可能继续，制造一些紧张气氛。本周整个市场的走势主要还是会受到一些重要经济指标的影响。这周将发布的房价指数，消费者信心指数以及芝加哥经理人采购指数以及二季度GDP都是重要的经济数据。不过，要真的体现强劲的复苏，最后还是要失业率得下降。现在美国失业率居高不下，也面临着结构性的问题：中低端人员很难找到工作。一方面需要对失业人员进行培训；一方面需要创造更多低技术的就业机会，比如房地产行业等等。高技术领域的很多公司不缺现金，为了应对竞争，招募大量技术人才。
预期本周的市场可能会随着债务上限的话题有所波动，不过整体上应该不会有大的跌势，整体还是在巩固和观望阶段。等到什么时候新增非农就业数据大举反弹，失业率出现实质性下降，市场或者会迎来强劲的涨势。
欢迎在微博和蓝海财经-美股进行交流。

分享