分享

子曰：工欲善其事，必先利其器。在上一期连载中，我们介绍了新兴的网络通信平台评估软件NCPBench。从本期开始，我们将陆续测试一批网络通信硬件平台，看看在优秀系统软件的支撑下，x86架构究竟有着怎样的性能，以及不同硬件配置对网络处理能力造成的影响。

价格不是最高也不是最低，规格不前卫但也不落伍，这就是G41，我们今天的主角，英特尔嵌入式产品线中在网络通信市场上拼杀的绝对主力。而它的载体，是台湾伯昇科技股份有限公司推出的一款网络通信硬件平台，代号NSP-1096。这款产品采用1U规格设计，前面板提供了6个千兆电口、2个USB 2.0接口和一个9针串口。接口左侧设有附带按钮的液晶屏，右侧空间则留给了扩展槽位。伯昇科技为NSP-1096准备了多种规格的扩展卡，用户可以用来为硬件平台添加多达4个千兆接口。

合理的配置与设计

打开NSP-1096的机箱上盖，可以看到处理器所在位置做了有针对性的设计。NSP-1096没有使用处理器散热风扇，而是采用了一个较大型的铜质散热器，通过特别制作的导流罩，配合机箱风扇形成一个专门风道，给CPU、内存条以及北桥芯片散热。风道两侧是磁盘悬挂位和电源，该产品配备了全汉的80Plus电源，让NSP-1096在所有的工作负载时间内都能维持较高的电能转换效率，降低了发热量以及其散热需求。

NSP-1096采用了专门为嵌入式平台设计的英特尔G41芯片组，和ICH7/ICH7R南桥芯片搭配使用。作为系统的核心，G41连接着处理器、内存和PCIe总线。它支持1333MT/s的FSB，可以兼容嵌入式产品列表内LGA775接口的各种赛扬、酷睿处理器；内存规格则支持到DDR2-800和DDR3-1333，且拥有两个内存通道，最大容量达到8GB。I/O方面，G41提供了16个PCIe v1.1信道，可以配置为1×16或者2×8；此外，通过DMI 1.0总线和G41连接的ICH7R南桥还能提供6个PCIe v1.0a信道。在NSP-1096上，这6个信道连接了6颗英特尔82754L网络芯片（对应前置接口，其中2组支持硬件ByPass）；G41提供的PCIe v1.1 x16则连接到扩展槽位，用以连接使用了82576、82580等中高端网络控制器的扩展模块。

NSP-1096内置的6颗82574L芯片是沿用已久的嵌入式/服务器千兆以太网控制器，支持2个TX/RX队列和2个RSS队列，是一个成熟稳定、性能尚佳的产品。该芯片使用PCIe v1.1 x1接口，能支持MSI-X等技术。不过由于连接在支持PCIe v1.0a的ICH7R上，它仅能使用传统的MSI模式。扩展模块上应用较多的82580则是英特尔最新推出的单芯片四网口千兆以太网控制器，采用了支持5GT/s速率的PCIe v2.1 x4接口，支持包括LTR、TPH、DCA等在内的诸多特性。面向网络通信、主流服务器和高密度刀片的82580是十分强大的芯片，其规格甚至比上一代的王者82576还要强一些。

测试使用的这台NSP-1096还配备了一颗主频为2.66GHz的英特尔Q9400处理器，该处理器使用45nm工艺设计制造，具有4个核心和6MB二级缓存。内存使用了2根DDR3-1333规格、1GB容量的产品，工作在双通道模式。网络接口方面，除了板载的6个千兆铜口，我们还在扩展槽位安装了一块编号为BEM-580-F4的扩展卡。该卡使用了一颗英特尔82580网络控制器，提供4个额外的SFP接口。不过，理论上该芯片在连接到G41的PCIe v1.1后速率将降为2.5GT/s，功能特性也只有包括MSI-X模式在内的v1.1部分可以使用。

整体性能超越预期

在CF卡中安装了NCPBench 0.8后，我们将每两个相邻接口配置为桥模式，进行纯转发性能与带简单业务情况时的测试（NCPBench的功能介绍和使用方法见上一期连载内容）。对于NSP-1096来说，BEM-580-F4扩展模块在很大程度上左右着整机的处理能力，我们也对其进行了重点考察。考虑到是第一次在这样的配置场景中进行测试，每个项目在使用测试仪表进行测试后，都再使用NCPBench进行一次自测试。我们可以对比两组数据的差异，用以评估NCPBench测试结果的准确性。

从测试结果中可以看出，当NCPBench运行在纯转发模式时，BEM-580-F4扩展模块上的4个接口转发64Byte帧的速率超过4Mpps，其他帧长时均接近或达到线速。这个结果虽然出色，却使人略感遗憾。我们曾经在一台采用5520芯片组的硬件平台上，测得过82580的4个接口间所有帧长均线速转发的结果，也就是说瓶颈不在网络控制器。而对NSP-1096全部10个千兆接口的测试结果表明，该产品对64Byte帧的整机转发能力接近9Mpps，这又意味着，之前测试中的性能瓶颈也不应该在处理器。经过排除分析，我们推测问题很可能来自I/O方面，理论上G41与82580协商后只能使用PCIe v1.1规格进行连接，在传输速率和效率上都大打折扣。此外，硬件平台在缓存和内存等方面的差异，也可能会对数据包转发能力造成一定影响。不过总体来说，NSP-1096的设计已经最大地发挥了G41芯片组的潜能，表现出来的整体性能也超越预期，足以满足其目标市场的需求。

本次测试中，测试仪与NCPBench得到的两组结果保持高度一致，我们只在高负载情况下观察到pps统计数值略有不同，没有出现往常几个百分点级别的差异；加载简单业务后，性能数据也没有发生很大变化，只在使用128Byte帧长测试时有所降低。我们认为，造成这两种情况的主要原因是处理器本身有性能余量，接口带宽也限制了极限数据的出现。单就NCPBench来说，其自测试结果还是比较准确的，可以满足用户的常规测试需求。

表格：NSP-1096吞吐量测试结果（针对BEM-580-F4扩展模块）

分享

分享

x86网络通信硬件平台的迅猛发展，已经吸引了许多厂商、用户的关注。在进行评估测试时，如何才能准确、便捷地了解硬件平台的整体性能，是所有人都关心的问题。本期，就让我们聚焦于新兴的评估软件NCPBench，感受一下它诸多与众不同的特性。

在上一期连载中，我们介绍了与北京市某学校信息中心合作进行的一次硬件平台选型测试，并以此为依据，证实了x86平台在网络业务处理方面的潜力。随后一段时间内，我们收到了许多来自厂商、用户的咨询；个别用户甚至愿意提供更完善的环境，希望我们将这一系列测试长期进行下去，持续公开更详细的测试结果。对于来自读者的热情关注，我们表示感谢，并将在后续连载中安排更多平台的测试分析。同时，我们也在这里介绍一款经常使用的网络通信平台评估软件NCPBench，供读者进行独立的性能评估。

以互联网的名义

NCPBench是近期兴起的一款测试软件，用于评估x86硬件平台做网络业务处理时的性能。在我们看来，该软件融入了大量的互联网基因，与日常使用的诸多软硬件评估产品有着明显的不同。众所周知，用户参与是互联网产品成功的基本要素，NCPBench显然抓住了这个要点，在产品发展的方向性上与用户需求保持着高度一致。该软件采用了十分开放的构建模式，版本升级比较迅速。与之对应的，在主要功能保持稳定的情况下，再根据用户反馈需求的迫切性，逐步完善产品的细节功能。而互动的效果则取决于用户数量与质量，所以NCPBench本着“让更多人使用”的理念，采用了免费的许可授权模式，允许甚至鼓励被用于包括商业在内的各类评估环境。

NCPBench与其他软硬件评估产品的第二个不同，体现在操作的便捷性方面。一般来说，网络通信、信息安全等领域的测试解决方案都比较复杂，使用时需要较高的专业素养，配置过程也相对麻烦。NCPBench则很好地简化了用户端的工作，使用时只需对网络接口、业务模式等几个必要环节进行设置，即可进行性能测试。一键式安装也是非常实用的功能，我们拿到新的硬件平台，用几分钟时间就可以将NCPBench安装到本地或USB存储设备上，而不必经历从磁盘分区到编译的诸多步骤。该软件还内置了常见的硬件驱动，在多数平台上可以直接发挥出硬件的所有潜力。

利用NCPBench，我们可以评估任何x86平台的网络业务处理能力。现阶段该软件提供了“转发”与“业务”两种应用模型，前者不对数据包进行任何处理，考察的是硬件平台的数据包转发极限；后者将建立数据流的概念，其业务复杂度与NAT、状态检测引擎类似。通常，我们会测试x86硬件平台在两种模型下的吞吐量与延迟，当然这些结果都是理论值，仅供评估参考。根据经验来看，设备在真实流量下的综合效能，如果能达到模拟测试环境中的50%，就已经相当难得了。不过“转发”模型下的性能还是很重要的，毕竟对于没有任何加速逻辑的x86平台来说，数据包纯转发的性能是一个极限标杆。没有高性能转发做支撑，任何上层业务都将是纸上谈兵。

高性能的诱惑

众所周知，目前x86平台用做网络业务处理时，首先要解决的就是多个处理器内核间的调度与资源分配问题。如果使用传统的处理模型，很可能导致资源使用的不平衡，无法发挥出硬件平台的整体性能；而多核并行处理的模式，虽然在理论上可以提升性能，实际使用时的效果却大多难令人满意。NCPBench在这方面就显得非常灵活，用户可以人为设定用做转发及业务处理的内核数量，并且转发与业务在每个独立内核上也都是并行处理，系统呈纯SMP形态。该软件也不像某些同类产品那样必须人为地将网络接口与处理器内核进行绑定，而是根据硬件平台配备的接口种类及数量，自动建立关联关系。

经过多次测试，我们已经确认NCPBench在x86平台上可以做到非常强悍的数据包转发性能。现有测试数据中，64byte UDP数据包的最大转发速率接近30Mpps，是在英特尔Sandy Bridge搭配i82599万兆网卡的平台下测得。此时使用RFC 2544规定的7种帧长的数据包测试转发延迟，时间也均在10微秒以内。这意味着，x86平台用做20G/40G环境中的业务处理，并非是遥不可及的目标。需要注意的是，x86平台所能达到的的数据包转发能力与处理器、桥片、网卡芯片等都有很大关系，如果在硬件规格上无法很好地匹配，性能瓶颈就会过早地出现。我们发现，网络通信硬件平台大多经过有针对性的定制，硬件搭配相对合理；服务器的配置则大多是计算远强于网络，很可能要另行采用高性能网卡以达到更快的转发速度。

为了让用户更方便地了解x86硬件平台的网络处理性能，NCPBench还内置了一个自评估工具。该工具的使用极其简单，只需用网线将要测试的接口两两互联，就可以在环路内生成指定帧长、方向、强度的UDP测试流量，对硬件平台自身进行测试。我们注意到，在多数情况下，使用自评估工具得到的性能值都较测试仪得到的略低，但观察到的最大一次误差也仅在3%以内，还是具有比较强的参考价值。

分享

分享

弯曲评论现在的影响力很大，甚至能吸引到一些行业用户的关注（潜水居多）。本文就是《给力吧，x86（1）——11月10日测试记录》一文刊登后，用户直接与我们沟通进行的一次测试合作的副产品。这是一个良好的开端，后续还有与其他用户联合进行的更大、更深入、更给力的测试，敬请关注。

==============================================================

前两期连载中，我们简单回顾了x86平台在网络产品中的应用历程，又逐一分析了其面向不同用户群体的硬件供应模式。实践是检验真理的唯一标准，本期就让我们走进现实中，借助近期的一次测试，看看在网络技术及应用高速发展的今天，x86平台对业务的承载能力究竟如何。

虽然一些业内人士已经看到x86平台的发展，认为其将在网络领域有所斩获，但对于普通用户来说，再次接受x86平台有着很大的难度。一方面，这个曾经不太适合做网络业务处理的硬件平台为许多用户留下过不好的应用体验；另一方面，一些厂商长期对x86架构并不客观的宣导，也加深了其在用户心中的负面印象。

先入为主的误会

我们在之前的调研中发现，抱有这种看法的用户并不在少数。北京市某学校信息中心负责人李老师就是一个典型代表，虽然他在目前进行的流控产品选型中比较中意连续两年获得计算机世界年度产品奖的Panabit应用层流量管理系统，却因其运行在x86平台上而犹豫不决。

“我们一直用着一台x86架构的UTM产品，效果越来越不好。”李老师介绍说，“以前网络负载不大时，设备运行没有任何问题；现在越来越多的教学、科研任务要通过网络进行，学校网络出口的百兆带宽经常被占满，UTM运行也变得不稳定。”令人没有想到的是，他紧接着又说出一个令我们很难理解的结论，“看来，x86平台也就是这个样子了。”

x86架构与网络运行不稳定有直接关系？实验室工程师习惯以量化的数据去看待问题，自然无法认同李老师的推断。在他的协助下，我们走进该校信息中心，对网络运行情况进行了实地考察。经过分析，我们发现造成学校网络出口拥塞的主要原因大致有三：其一是在线课件播放系统产生的数据流量，由于学生分布在不同校区，远程教学会在上课时段对网络造成比较大的压力。其二是学校周边视频监控的数据上传流量，根据教委要求，为加强校园安全工作，各学校的视频监控数据需实时汇总到教委信息中心，以便对突发事件做到事前预警、事中监控及事后取证。李老师所在的学校需要实时上传4路监控视频，这也是该校网络上行带宽占用率居高不下的原因之一。其三则是P2P、在线视频等非业务应用产生的流量，此类应用会无限制地占用网络带宽，是每一个网络管理员都非常头疼的问题。我们在分析报表中看到，以迅雷为代表的下载应用在网络使用高峰期一度抢占了70%左右的带宽，严重影响了该校教学工作的正常开展。

根据分析得到的数据，我们建议李老师对UTM上的安全策略进行了调整，不再对远程教学与视频监控相关的流量进行应用层面的安全防护。由于它们都是可信流量，修改过的访问控制策略非但不会造成安全隐患，还能有效降低UTM的负载。很快，我们看到设备的CPU占用率显著下降，内网用户访问网络的延迟也回到相对合理的水平，x86“不行”的误会也就此得到解除。但对于非业务流量的控制需求，该校主出口使用的这台国外某品牌的UTM产品并没有足够的本土化保障，对国内主流应用的支持力度相对薄弱，无法进行有效的控制。可以说，流控产品的部署势在必行。

标前测试：大放异彩

虽然解决了UTM运行不稳定的问题，李老师所在的信息中心管理团队还是对x86架构产品存有疑虑，不愿直接将设备接入实际环境进行测试。这一点大家都能理解，毕竟学校网络承担着大量的教学、科研任务，万一出现意外，后果将不堪设想。在我们看来，李老师所在团队目前所需要的，是一次客观、严谨的标前测试。实际上，这一环节已经被国内越来越多的用户所认可，因为是否选购产品，或者是否再接入实际环境测试，都可以用标前测试得到的量化数据作为决策依据。

在实验室合作伙伴思博伦通信的支持下，我们与李老师所在团队合作，于近日测试了他们关注的Panabit应用层流量管理系统。该产品运行在x86平台上，拥有优秀的协议识别率及性能。商务模式方面，Panabit可以通过软件授权或服务的形式进行交付，给用户自行选择硬件的自由，还可以节省大量开支。李老师这次带来的硬件，就是供应商基于该校网络实际情况，推荐的一款带有6个千兆电口的基于Atom N270的x86网络通信硬件平台。

Atom N270？实验室工程师们感到难以置信。要知道，流控引擎是在DPI（Deep Packet Inspection，深度包检测）的基础上结合多种技术发展而来，属于处理模型相对复杂的一类业务应用，对硬件平台的计算能力有着相当高的要求。而Atom N270是什么级别的产品？放在上网本里也算是两代之前的配置了，它真能满足百兆级别应用层流量管理的需求？

诸多疑问化作动力，催使我们立即开始了测试。被测设备预装了Panabit 10.10专业版，开启了应用层流量分析，作用于4个千兆口绑定成的两组桥。根据联合制定的测试方案，我们首先对带业务情况下的吞吐量、延迟进行了测试。虽然常用的UDP测试流量对于IPS、WAF等应用层安全设备来说意义不大，对流控产品测试却有着十分现实的意义——据统计，目前互联网中占流量比例最大的是在线视频应用（在教育、网吧等行业中比例数字更为惊人），它们其中大多数都使用了UDP传输，且数据包偏小。测试结果令人震惊，当我们单独测试1组桥的性能时，该平台64Byte帧的吞吐量达到41%，也就是800多兆的处理能力。当帧长逐渐增加时，吞吐量也呈线性增长，并在1518Byte时达到线速。此时最大的平均延迟，也仅为68微秒。而在同时对2组桥的测试中，设备的整体吞吐量又有所增加，在256Byte时就已拥有接近2G的性能。我们也利用全部4个接口测试了该产品的链接处理能力，当链接的Timeout时间设为0时，Avalanche测得的稳定值在90000左右，峰值为90014CPS（HTTP）。这一次的数据体现出了设备的极限性能，根据以往经验，其表现完全可以胜任普通千兆接入环境中的应用。

有了这些测试数据，老师们基本放下心来，将设备接入实际环境中进行了长时间的测试。对于流控设备上线后的效果，李老师给予了充分的肯定：“业务流量控制住了，学校网络出口的流量也就下来了，UTM的负载就更小了。”而在稳定性方面，他也坦言没有遇到过任何异常情况，不过我们仍然建议做更长时间的测试，以便进一步考察x86网络通信硬件平台长期不间断运行的效果。

后记：广阔天地 大有作为

从测试结果中可以看出，x86平台的网络业务处理能力确实有了长足的进步。目前，在英特尔面向网络应用的嵌入式产品线中，Atom N270是最低端的一款产品，都有着如此强大的处理能力。随着网络通信和信息安全业务的关注点逐步向应用层迁移，x86平台的优势将会越来越明显。当然，现有基于x86架构的产品仍不足以在高端市场和基于专用网络通信处理平台的产品竞争，但在其他诸多领域内，x86已经表现出了一定的竞争力。对开源系统良好的支持、海量的软件资源、较低的开发难度、价格优势和易获取性，这些都是其取胜的砝码。是否有点眼熟？没错，如果哪天基于x86架构的网络通信和信息安全产品（至少是中低端）开始山寨化，大可不必感到奇怪。

分享

分享

上一期，我们系统地回顾了x86平台在网络产品中的应用历程，得出了其目前处于高速发展中的结论。越来越多的设备制造商也认识到这一点，开始在产品的研发中考虑x86平台。那么，自主研发硬件与定制网络通信硬件平台，究竟哪条路更适合设备制造商？x86服务器缘何又受到最终用户的青睐？

得不偿失的自主研发

自主研发是产品核心竞争力的基础，网络领域也不例外。对于网络设备的硬件部分来说，自主研发意味着差异化、定制化和成本的可控性。这既可以与业务高度匹配，又能取得技术、规格与价格上的优势，是每个厂商都梦寐以求的局面。

但真要做到全部自主研发，却也未必就是好的选择，甚至不太可能。自主研发需要投入大量人力物力，且有着相对较长的时间周期，这是大量初创企业乃至市场规模较小的安全厂商很难接受的。如果自主研发的硬件平台存在瑕疵，其代价将更为惨重，厂商损失的不再只是前期投入，而是转瞬即逝的市场机会。所以，通常只有通信行业的巨头才会去押宝硬件平台的自主研发，更多地体现技术上的壁垒，且在预研阶段不会拘泥于某种特定的方案。

此外，x86平台一些不可磨灭的消费类特性，也是阻碍网络设备制造商实现自主研发的关键因素。虽然嵌入式范畴内的x86平台也拥有了较长的生命周期，CPU、桥片、网络控制器的种类却偏多，更新换代的速度又比较快，且不同时代、不同桥片对应的CPU针脚都不是100%兼容。相信没有一个网络设备制造商可以跟得上这种更新速度，我们在长期的测试工作中，也确实没有见到过哪款通信或安全产品是采用自主研发的x86平台（少量定制型号与CheckPoint除外）。大家共同的选择，还是定制化服务器或由工控机衍生而来的x86网络通信硬件平台。

服务器：近水楼台先得月

既然x86平台以通用性为主打，那么注定其在市场等非技术层面更具竞争力。以服务器为例，采用x86体系架构的产品在价格、性能和易获取性方面都有着明显优势，占据了绝对主流的市场地位。近几年来，x86架构服务器在网络处理能力和I/O特性方面有着显著提升，标配4个千兆网口的产品也屡见不鲜。更有甚者，一贯拥有良好前瞻性的英特尔将于今年发布标配2个万兆网口的新服务器平台，会将网络应用效能提升到一个新的高度。

基于以上多种原因，越来越多具有一定研发能力的用户开始采用唾手可得的x86服务器来打造适合自身应用的网络设备。尤其在电信、金融、教育等行业，用户业务本身存在比较强的定制化需求，性能要求又相对较高，故此类情况时有发生。在我们的调研中，就出现了一些具有代表性的案例。上海交通大学网络信息中心的姜开达老师曾坦言，两年前该校在对校园网出口入侵检测系统的选型中，就遇到了市售产品难以满足需求的窘况。在充分分析了业务需求的前提下，姜老师选择了带领团队自行研发的方式，以多组x86服务器分布式处理的方式实现了对万兆链路的实时监测。这一举动，不仅构建了一个开放的、可以承载多业务的科研平台，更将科研成果转化为实际的安全服务，为校园网的稳定运行提供了保障。

许多数据都表明，面向网络应用的x86硬件平台的市场需求处于不断扩大的阶段，而服务器因其易获取性成为了用户的首选。网络产品本身也有着互联网化的倾向，以软件授权、服务为代表的商业模式剥离了传统软硬件一体化的产品形态，开始赋予用户自行选择硬件平台的权利。来自学术界的激进看法甚至认为，未来无论互联网还是数据中心，都将只由交换机和服务器两种硬件产品构成。

工控机的反击

x86服务器在网络领域的无心插柳，也刺激了传统的网络通信硬件平台提供商。他们开始推出有针对性的产品及商业模式，直接面向最终用户。我们在调研中发现，原本对新硬件方案不甚敏感的他们也逐步加速产品研发流程，主动接纳较新的x86平台，积极拓展产品线。对于用户在存储子系统方面比较普遍的应用需求，许多网络通信硬件平台提供商也开始在产品中增加硬盘位及相应的RAID特性。某些厂商还针对x86平台在硬件狗等方面的先天不足，以板载CPLD芯片等方式实现了强大的监控与联动能力。用户及设备制造商可以通过软件接口读取、调用这些功能，甚至基于CPLD自行开发其他监控手段，增强x86平台的可靠性。

与服务器相比，网络通信硬件平台有着一些无法被超越的优势。首先，它从内到外都可以由用户深度定制，无论是接口种类或数量，CPU、网络控制器的型号，还是PCB的板型及工艺，机箱规格及面板设计，都可以根据设备实现的业务进行最合理化的搭配。这种裁剪还降低了整机成本，也减小了系统功耗及散热难度。其次，可靠性在网络通信硬件平台的设计中至高无上，诸如网口的硬件Bypass等特性是绝大多数服务器产品无法提供的。而在元器件规格方面，多数网络通信硬件平台也都采用了比服务器更专业化、寿命更长、对工作环境要求更宽松的产品，使系统的稳定性有了更多的保障。虽然这一切都增加着硬件整体成本，所改善的却是网络产品必须具备的特性。所以，虽然销量巨大的服务器有着相对低廉的价格，但标准化的产品形态和对网络业务并不十分友好的支持，都使其在短时间内无法替代x86网络通信硬件平台。在网络通信硬件平台提供商逐步走向前端的今天，用户不妨在选型时也多给予一些关注。

分享

分享

曾经在弯曲上发过两篇关于x86硬件平台的性能测试报告，还煞有介事地起了个《给力吧，x86》的专题名。后来决定将此内容扩大化、正规化，便专注于平面媒体的发布。直至今日，本专题已陆续连载了9期，从产业、产品、应用等方面比较完整地介绍了x86平台的现状，现整理发布于弯曲评论。专题的制作过程中，得到了很多朋友、同事鼎力协助，在此一并表示感谢。未来希望还能有机会把专题延续下去。

本专题内容原文刊登于《计算机世界》。水平有限，文中定有偏颇之处，希望弯曲网友不吝赐教。

==============================================================

x86，通用市场的王者，却在网络产品领域背负着诸多骂名。在与厂商、用户的交流中，计算机世界实验室的工程师多次听到“落后的产品架构”、“性能方面有致命缺陷”之类的评语。这些说法有无偏颇？x86平台是否真的不堪一用？本期开始，我们将通过技术分析与实际测试的手段，以专题连载的形式对x86平台用做网络处理时的性能进行细致的评估，努力梳理出一个客观的结论。

微博上流传着这样一则关于IT的冷笑话：“世界是你们的，也是我们的，但最终还是x86的。”的确，以英特尔、AMD为代表的x86阵营在通用市场长期占据着压倒性的优势，给许多用户留下了“电脑就是x86”的概念。而在相对封闭的网络产品领域，x86则远没有这么风光。此类设备要求硬件平台拥有高速I/O、对专有业务的加速能力和极高的可靠性，这些恰恰都不是x86的强项。所以，虽然x86平台在网络产品诞生之日起就在其中占据了一席之地，却一直处于非主流的地位。

不进则退

应该说，x86平台与网络产品结缘，开篇还是很美好的。在那个骨干网尚不如今天小区宽带接入速度快的时候，x86平台的网络处理能力完全可以满足要求。那个时候的x86 CPU和套片也没有如今恐怖的功耗和发热量，稳定性与PowerPC、MIPS架构的SoC平台在伯仲之间。真正有说服力的还是工业界对x86平台的广泛认同，作为当时的标志性产品，思科的PIX系列防火墙在网络安全发展史上有着很高的地位。即便是今天，在一些环境下依然能看到它的身影，可谓久经考验。

随着互联网技术的高速发展，网络产品很快遭遇性能瓶颈。不管是路由器还是防火墙，都面临着提升转发能力的迫切需求。恰恰在这个时候，x86开始了在通用领域的急速扩张，将性能改善的重点放在个人计算、企业计算乃至数字娱乐等方面，并不热衷于（也没有必要）对总线、I/O等方面进行有针对性的设计。在这种情况下，网络设备制造商开始尝试采用专用芯片对转发流程进行加速，通用处理器则只负责路由计算与查找、状态检测等计算密集型任务。这种做法虽然很好地解决了性能瓶颈，但在研发难度、制造成本方面的门槛却也相当高。为了满足市场需求，英特尔和IBM先后发布了被称为网络处理器（NP）的一系列产品。它们针对网络应用而设计，采用非x86内核+微引擎的设计思路，具有很高的转发性能和一定的编程能力，受到工业界的热捧。也正是因为它们的出现，使得孤木难支的x86平台与网络产品渐行渐远。

英特尔：史上最强亲友团

待到x86再次回归，已是近几年的事了。这次的需求主要来自信息安全领域，随着安全防护的重点由网络层向应用层迁移，硬件平台的计算能力逐渐成为网络设备制造商考量的关键因素。在计算机世界实验室测试过的非模块化安全产品中，只要涉及病毒过滤、入侵防护、协议识别等应用层功能特性，设备的整机处理能力一般都不会超过2Gbps。在巨大的计算压力面前，目前主流多核/众核网络处理器强大的I/O没有了用武之地。

英特尔显然也看到了未来网络产品乃至信息化的发展趋势，一直从系统体系结构、处理器结构（内存控制器、多核/多线程、专用加速指令/引擎）、总线类型（QPI、PCIe）、网络控制器（8257x/8258x/8259x）等方面加以改进，大力提升x86平台的网络业务处理能力。同时，该公司还重新着手完成网络领域的产业布局，让x86平台更具竞争力。英特尔长期对Linux的发展提供全方位的支持，去年又收购了在网络领域很有影响力的系统解决方案提供商Wind River，力图为x86打造足够完善的软件配套环境。这就像选秀节目一样，英特尔在x86平台参与的新一届网络产品选型大战中充分发挥了业界巨擘的实力与影响力，堪称史上最强亲友团。

从尾随到超车

目前来看，这个亲友团表现得相当有作为。主打中低端网络产品市场的Atom平台凭借不错的性价比，抢得了相当规模的市场份额。以国内首家推出Atom平台安全产品的网御神州为例，该公司2010年基于该平台产品的出货量就达5000台左右。另一方面，在Wind River Network Acceleration Platform等软件系统的支持下，高端x86平台的网络处理性能提升迅猛，国内也有多个研发团队实现了10Mpps以上的转发速度，在指标上已开始赶超同级别的多核/众核网络处理器。

解决了产品和配套方面的问题，并不意味着就万事大吉了。实际上，x86在网络领域，仍然面临着一定程度的产业生态环境不健全的问题。相传，华为当年历经千辛万苦，完成了基于英特尔奔腾处理器平台的路由器开发工作时，却被告知所采用的处理器即将停产退市，气得领导们发誓永不再采用x86平台进行开发。这个故事也许只是极端个例，但任何一个网络厂商，都不能容忍连产品备件都无法提供的供应链事故。那么，面向通用领域的x86平台更新速度越来越快，产品生命周期也越来越短，如何才能满足嵌入式形态的网络产品的供货要求？英特尔的解决办法是，在现有产品的基础上，针对嵌入式应用推出拥有长生命周期（7年）、工作环境适应能力更强的特殊版本，给设备制造商吃个定心丸。没有了后顾之忧，x86平台在与专用处理器的竞争中才有足够的资本。

分享

分享

这个题目是在暑假在北京时胡编的。当时，刚把略带黄色的Cache Coloring的文章写完。据说Cache Coloring的文章在江湖上还是受到一定的肯定。。。，特别是那些有过实战经验的同学。。。这种妈咪小姐的讲解体系结构高级话题的教学方式估计是大牌教授们或者CAP们无法达到的境界。。。

为什么想写这个《浅谈高端通信系统中的一些分布式理论基础》呢？

大概是这样的。

＊ 是一个交叉学科。通信的人对IP Header，Protocol比较熟悉一点。知识面相对而言，不太懂OS，System，和Distributed System。分布式系统的人对网络比较薄弱一些。对Queue的敏感度略微差。另外，分布式系统的人做通信的人比较少，去Lab，或者互联网公司比较多一些。单纯做分布式系统的人比较浮。单纯做网络的人比较扎实，但基础不够从而导致后劲不足。

＊现代通信系统，特别是高端通信系统，基本上是分布式通信系统的结构了。要把握好，必须具备一些基本的知识结构。

本文将会站在网络工程师的角度，来考察分布式系统。而非otherwise。

本文的读者应该是一些对通信系统有强烈兴趣的年轻人［学名：菜鸟］，而非那些已经在江湖上的碗儿。

什么是分布式通信系统？

如果用洋文来说：What the hell is Distributed Networking System？

与经典的Distributed System是一个什么关系？ 与Google，Facebook等大型Internet公司的分布式系统是什么概念上区别？

这貌似是个不容易的问题。

分享

分享

原文发于《计算机世界》。由于版面及内容形式等因素限制，文章在报纸上分3期共10个版进行连载。本文是在连载结束后，重新调整了内容框架，修正、更新了一部分文字而成，看起来更像是一个完整的内容专题。尤其是对13家厂商的采访部分，除了错别字和极个别不妥当的措辞或叙述外，未再做其他修改。

文章撰写过程中，得到了许多来自咨询机构、厂商、学术界的朋友的大力支持，在此表示感谢。同时也要感谢我的同事，是她们的努力使得专题内容得以按时发布。最后，我必须感谢一下我的太太，她为专题做了许多资料翻译工作，并在撰写过程中为我创造了良好的工作环境。

水平所限，文中多有待商榷之处，请不吝赐教。希望这一专题内容能抛砖引玉，引发更多有价值的讨论。

=====================================================================

自出现之日起，下一代防火墙（Next-Generation Firewall，以下简称NGFW）就一直在争议中前行。究其原因，还是概念提出得比较超前，产品跟进却相对缓慢。不久前，梭子鱼与深信服科技在国内先后发布了各自的NGFW产品，加上产品已经正式在售的SonicWALL、Check Point和Palo Alto，市场上俨然一副山雨欲来风满楼的景象。那么，NGFW究竟是如何定义的？它与传统防火墙、UTM又有哪些不同？其产品与市场前景究竟如何？用户部署NGFW又需从哪些角度考虑？请随我们一起走进NGFW的神奇世界，共同领略这类新产品的价值所在。

何谓NGFW

什么是下一代防火墙？这一代、上一代防火墙指的又是什么？在讨论NGFW之前，我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后，防火墙的概念正在变得模糊，在不同语境中有着不同的含义。在描述具体产品时，防火墙大部分指代的是采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的作用在2-4层的访问控制设备；而宏观意义上的防火墙，实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备（Gateway）。国内的厂商、用户习惯将前者称为“传统防火墙”，国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念，其包含了传统防火墙、IPS、UTM及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加，广义的防火墙必然将集成更多的安全特性，著名市场分析咨询机构Gartner所定义的NGFW就是很好的例证。

得益于许多厂商市场部门行之有效的推广工作，我们在市场上可以看到不少针对NGFW概念的宣导（即便其中可能存在着完全不同的理解）。而业内普遍认同的关于NGFW的定义，则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。该公司注意到，在应用模式、业务流程和安全威胁不断变化的今天，传统防火墙已经无法满足用户的需求。即便在此基础上再加入IPS，也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下，Gartner定义了NGFW这个术语来形容防火墙的必然发展阶段，以应对攻击行为和业务流程使用IT方式的变化。

在Gartner看来，NGFW应该是一个线速（wire-speed）网络安全处理平台，定位于企业网络防火墙（Enterprise Network Firewall，Firewall指宏观意义上的防火墙）市场。这里的企业指的是大型企业，国内很大一部分都归为行业用户范畴。NGFW在功能上至少应当具备以下几个属性：

• 传统防火墙：NGFW必须拥有传统防火墙所提供的所有功能，如基于连接状态的访问控制、NAT、VPN等等。虽然我们总是在说传统防火墙已经不能满足需求，但它仍然是一种无可替代的基础性访问控制手段。
• 支持与防火墙自动联动的集成化IPS：在同一硬件内集成IPS功能是必须的，但这不是Gartner想表达的重点。该公司认为NGFW内置的防火墙与IPS之间应该具有联动的功能，例如IPS检测到某个IP地址不断地发送恶意流量，可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的，而不再需要管理员介入。比起前些年流行的传统防火墙/IDS间的联动机制，这次升级并不是一个特别高深的技术进步，但我们必须承认它能让管理和安全业务处理变得更简单、高效。
• 应用识别、控制与可视化：NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化（俗称应用QoS）不是一个属于安全范畴的特性，但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
• 智能化联动：获取来自“防火墙外面”的信息，作出更合理的访问控制，例如从域控制器上获取用户身份信息，将权限与访问控制策略联系起来，或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡，而不再浪费IPS的资源去判定。我们理解这个“外面”也可以是NGFW本体内的其他安全业务，它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系，实现自动联动的效果（如思科的“云火墙”解决方案）。

除此之外，文档中也提到了NGFW在部署、升级方面的一些规定，但并未做更多的强制性约束。正如文档作者、Gartner研究副总裁Greg Young在接受我们采访时强调的那样，集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。

发现用户需求及产品形态变化的并不只Gartner一家，国际著名第三方安全产品评测机构NSSLabs也在今年正式开始了NGFW产品的公开测试工作。从官方发布的信息来看，该机构基本认同Gartner对NGFW的定义，只是在智能化联动方面并未做过多的强制性要求，但突出了对用户/用户组的控制能力。从测试的角度出发，相信NSSLabs的工程师对产品配置的复杂度和易用性都有很深刻的了解，他们的观点可以代表许多用户。此外，该机构还认为企业并没有准备在数据中心中用任何方案替代掉独立的IPS设备，所以NGFW集成的IPS模块应该提供对客户端保护（主要在特征库方面体现）在内的完整方案，并且将针对于此的配置归纳到预定义策略模版中去。

NGFW与UTM：竞合或补充 但非竞争

需要注意的是，不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度，势必要根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异，同时更像一个大而全的集中化解决方案，给用户造成了很混乱的印象。我们在采访中听到用户最多也是最经典的反问就是：NGFW不就是一个加强型的UTM么？

实际上，这里提到的NGFW和UTM都是对厂商包装后的产品的认知，已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开，但是这些功能必须集成在一个硬件中。IDC对UTM的定义无疑是非常聪明的，它简单明了，让人易于接受并容易做出判断。“所有功能不一定要打开”这句话，除了说明安全业务要由用户需求决定外，也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化，也确实符合当时的市场需求。有了这样一个宽泛的准入条件，UTM的概念一经推出便受到厂商与用户到一致认同，市场份额迅速扩大，成长为目前安全市场上的主流产品。

与IDC的宽松态度不同，Gartner在其市场分析报告中对UTM产品形态则有着更为细致的描述。该机构在调研后认为，除了传统防火墙与IPS，UTM至少还应该具有VPN、URL过滤和内容过滤的能力，并且将网关防病毒的要求扩大至反恶意软件（包括病毒、木马、间谍软件等）范畴。另一方面，Gartner对UTM的用户群体有着自己的看法，认为该产品主要面对的是中小企业或分支机构（1000人以下，Gartner的划分方式）。这类用户通常对性能没有太高要求，看中的是产品的易用性和集成安全业务乃至网络特性（如无线规格、无线管理、广域网加速）的丰富度。实际上，Gartner之前一直使用SMB多功能防火墙（SMB Multifunction Firewalls，这里的Firewall也指宏观意义上的防火墙）来描述这类产品，只是因为UTM这个概念被市场普遍接受，才在2010年的分析报告中修改了称谓。该机构认为UTM与NGFW集成安全功能的差异主要体现在时延敏感性上——作为边缘网关，NGFW必须满足时延敏感型应用的需求，与之有悖的功能不适合出现在NGFW上。而从Gartner针对其他产品市场的分析报告中可以推断，安全Web网关（Secure Web Gateway）似乎是该机构认为的NGFW联合部署的理想对象，此外独立的WAF、反垃圾邮件产品也应被考虑。

通过上面的分析，我们可以得出明确的结论：至少在Gartner看来，UTM和NGFW只是针对不同级别用户的需求，对宏观意义上的防火墙的功能进行了更有针对性的归纳总结，是互为补充的关系。无论从产品与技术发展角度还是市场角度看，它们与IDC定义的UTM一样，都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述，其出发点就是用户需求变化产生的牵引力。对此，Fortinet创始人、首席技术长官、工程副总裁谢华在接受我们采访时有着非常精辟的总结：“UTM的概念在不断的进化，包含了越来越多的安全功能。但像500强那样的大企业对UTM的接纳相对保守，不过他们也开始从独立的安全设备开始转向集成化的道路，其关注重点就是Gartner定义的以传统防火墙与IPS为基础元素的NGFW——UTM进化中的一个细化分支。无论如何，我们将看见安全功能整合的革命将继续进行下去。”Fortinet提供的产品技术也已覆盖了网络，内容和应用三个层面，应用识别与控制就是其中的扩展模块之一，NGFW的定义在可扩展化的UTM系统中得到充分的体现。

应用识别与控制：全能杀手锏

对于NGFW这种新生的产品形态，市场上也不乏质疑声。在多功能安全网关领域，有XTM做前车之鉴，不少人认为NGFW也将是昙花一现的概念。不过UTM概念刚被提出时，市场上也有过类似的质疑声，但用户用实际行动表明了对这种功能丰富、性价比高的产品的认可，其市场份额长期保持乐观增长。IDC预计，国内UTM市场2011年增长率为38.2%，市场规模将达到1.741亿美金；2010到2015年的复合增长率为33.6%，市场规模在2015年将达到5.353亿美金。为什么UTM比XTM成功得多？我们认为关键在于前者在适当的时候集成了用户需求最迫切的功能，后者却试图引导用户，以一些相对小众的特性为卖点。而对于NGFW来说，其最大的亮点在于应用识别与控制功能，这恰恰也是目前用户最迫切需要的功能，有着很大的潜在用户群体。Gartner表示，目前只有不到1%的互联网连接采用NGFW来保护。而到2014年年底，这个比例会增加到现有用户总量的35%，并且新购买的防火墙中将有60%是NGFW。该机构还建议，无论用户现在使用的是防火墙、防火墙+IPS还是安全服务，都应在下一个更新周期来临时切换到NGFW。

作为NGFW定义中明确要求具备的特性，应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题，同时对业务流量进行优化，受到了所有受访用户的关注。而5家推出NGFW产品的厂商均表示，该功能已经成为各自产品中的标准配置，也就是说，即便用户在购买时不包含其他任何安全功能的使用许可，也会得到一个“应用防火墙”形态的产品，我们认为这也将成为未来NGFW产品商业模式方面的常态。但多数受访厂商也希望用户认识到，NGFW产品只能提供上网行为管理产品和专业流控产品中最基本的一部分功能，且应用场景和功能侧重都有很大差异，并不存在完全的取代关系。流控产品通常会被部署在行业用户或运营商网络的边缘，用于对应用层流量进行合理的整形与优化；上网行为管理产品则基本部署在企业网络中，在阻止网络滥用行为的同时提供更丰富的行为控制与审计能力。二者都是单一功能设备，与强调一体化接入安全的NGFW没有可比较的环境。NGFW的优势在于应用识别/控制与安全业务的无缝衔接，可以完成诸如“允许MSN传输文件并对文件进行病毒过滤，但不许使用语音视频聊天”这样的综合访问控制策略。

除了上网行为管理产品和流控产品，部分市售的UTM产品也带有应用识别与控制功能，令人感觉与NGFW十分相似。不过该功能大多以独立的功能模块形态存在，通常在策略配置、日志/报表乃至授权许可方面都不统一，应用体验与NGFW存在一定差距。此外，至少我们所测试过的集成应用识别与控制功能的UTM产品中，还没有任何一款在特征库中包含Web 2.0应用，显然不能满足互联网应用发展带来的新安全需求。最后也是最关键的一点，部分没有采用统一处理引擎的UTM产品在性能上的衰减也许是任何人都始料未及的。我们曾经测试过这样一款产品，只开启防火墙时可以达到几百兆的吞吐量（HTTP大页面，后同）；在此基础上开启IPS，吞吐量下降到一百多兆；如果再开启应用识别与控制，吞吐量则只有几十兆。而NGFW被Gartner定义为线速（wire-speed）网络安全处理平台，虽然在启用多种功能时性能也会有所降低，但从目前市场上销售的NGFW产品的规格指标来看，部分产品在开启应用识别与控制功能后，性能能够达到单独开启防火墙时的60%-80%；在此基础上再开启反恶意软件、IPS等功能，性能最高者可以达到单独开启防火墙时的50%。当然我们不能以偏概全，无论是UTM还是NGFW，在开启多功能部署前都应进行细致的测试工作。

在稍后的产品分析中可以看到，虽然Gartner在定义文档中将NGFW的用户群体圈定在大型企业和行业用户，但5家厂商都推出了全功能的中低端产品。实际上，中小企业对应用识别与控制功能的需求，要远远高于其他任何安全特性。自防火墙普及以来，大部分中小企业用户就把它当做一个接入设备而非访问控制设备来用。如今，他们面临最严重的问题不是安全问题，而是如何限制网络滥用行为，保证接入质量。微博上最近流传的笑话就很说明问题：某小公司内上网体验十分恶劣，经常连网页都无法完整打开，领导对此也无可奈何。唯有每月财务人员在公司QQ群内喊一句“都停下，我要发工资”，网络访问才会短暂地恢复正常。这个例子很生动地表明，目前许多中小企业用户面对网络滥用行为缺乏有效的技术管理手段，导致网络陷入完全失控的局面。

目前常见的解决方式是使用带应用控制功能的路由器或上网行为管理产品，前者价格低廉但功能简单，不少产品在应用识别与控制能力上仍待加强；后者虽然功能强大但价格昂贵，中小企业或许要为一些很少用到的功能买单。从市场角度看，两类产品在用户覆盖上造成一个断层，中间有大量用户的需求没有被满足。而中低端NGFW产品的出现，在功能、性能上满足了此类用户的需求（多数产品的基本配置都是带应用识别与控制功能的“应用防火墙”），又提供了安全业务的扩展能力，价格也基本维持在同规格UTM产品的水平，值得所有中小企业用户关注。

如何评估NGFW产品

NGFW属于新生产品，目前业界对其还没有一个公认的测试标准，甚至独立的测试报告都寥寥无几。NSSLabs曾经在几个月前发布了针对Check Point Power-1 11065的单品测试报告，这也是该机构第一次发布NGFW类别的测试报告。我们从中可以看出，NSSLabs针对NGFW产品的测试方法可以看作是在传统防火墙和IPS测试的基础上，补充了针对用户/应用的识别与控制能力的测试。不过，我们注意到应用识别与控制测试中使用的样本多为欧美地区流行的应用，国内用户应当重点考察NGFW产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。采访中有些用户就抱怨说，目前使用的国外某UTM产品在IPS模块中虽然也集成了对应用的识别控制功能，但扩充及更新速度太慢，以至于上线不久就失去了对迅雷等频繁更新应用的控制能力。

此外，应用对于网络的使用模型趋于多元化，NGFW产品在应用控制方面的细粒度也应被重点关注。对于传统的网络应用，以迅雷为例，可以考察产品是否能够在允许常规HTTP、FTP下载的前提下，屏蔽一切P2P或Cache加速下载行为或进行限速处理；而对于开心网这样的互联网/移动互联网应用来说，可以考察设备是否能够对基于Web 2.0平台的小应用（如开心农场、开心城市）进行单独的屏蔽。即便不能做到这一点，NGFW产品也应该能够通过URL-Filter特征库中的分类或手动设定策略的方式进行屏蔽。

除了应用特征库包含的协议种类与特征更新速度，管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是Gartner的NGFW定义中的强制功能，但我们发现目前市场上的产品都有提供，并且厂商纷纷在该领域做着更加深入的尝试。用户应当考察NGFW产品是否可以通过获取域控制器信息或Web认证等手段，做到IP与用户身份的绑定，再通过统一的策略框架进行更加直观、简单的权限定义，以达到“允许市场部门的所有员工从任何位置访问新浪微博“、“只允许IT部门员工从特定位置使用SSH、Telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的WebUI、报表系统、端点套件和集中管理系统。英文界面无疑会增加NGFW产品的配置管理难度，对IT管理效率造成不可忽视的影响。

性能测试方面，许多用户都知道针对传统防火墙有RFC2544、RFC3511、GB/T 20281-2006这样公认的测试规范。这类产品的业务模型比较单一，有经验的测试人员/管理员根据依照规范测得的结果，甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进DPI时代开始，实验室环境中进行的标准化测试就失去了普世的指导意义。即便是IPS，部署在数据中心出口时与部署在企业出口时的性能也会有很大差异。而NGFW产品在进行性能评估时会更复杂，用户必须根据自身的业务需求，抽象出与之吻合的流量模型，进行细致的、有针对性的测试工作，才能得到有价值的评估依据。并且在测试过程中，应时刻以“寻找最差性能”的目标，方可在未来的实际使用中规避性能瓶颈。

经历了实验室环境中的考验，用户也不应忽视产品在实际环境中的测试工作。比起UTM，功能更加丰富的NGFW产品需要更长的测试周期以证明设备的稳定性和在用户业务、管理方面的兼容性。同样要长期验证的还有身份（ID）的同步和策略执行的效果，安全部门在这一环节也许需要行政部门的配合（Gartner和NSSLabs都曾或多或少地提到过这个环节存在的难度，或者说是“管理矛盾”）。途牛旅游网的资深网络工程师吴康在采访中就谈到这样的体会：该公司在明确自身安全需求后，选择了NGFW产品取代UTM搭配上网行为管理的方案保护包括订单系统在内的在线OA平台。经过长达半年的上线测试，途牛旅游网的IT团队才以用户身份关联为基础逐步实现了策略的统一配置，验证了产品性能与稳定性，在满足需求的同时大幅提升了管理效率。由此可见，充分的测试是NGFW产品部署前必不可少的环节，鉴于大部分用户都会同时启用NGFW多种安全功能，我们建议无论是否进行实验室测试，都要在实际环境中进行至少3个月以上的、结合自身业务需求的测试，尽可能地与原有信息系统磨合，排除潜在隐患。

无论如何，用户未来在选购NGFW产品时肯定会感到更多的困惑（比如，许多用户在采访中都问到“哪个厂商的NGFW是目前市场上最好的产品”）。一方面，UTM和NGFW短期内不存在取代关系，经过包装推广的产品在形态上会越来越相似。另一方面，NGFW必然还会加入更多的安全特性，从著名信息安全培训机构SANS的专家结合现有产品和用户需求，给出的未来NGFW产品将需集成的功能列表来看，目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼，用户（尤其是中小企业用户）难免会像几年前刚接触UTM那样，产生一种不理智的选购心态。所以，用户在选型前必须先明确自己的需求是什么，再利用NGFW体系结构上的集成化优势对未来部署做出合理性的规划，避免造成过犹不及的负面效果。

NGFW产品现状

目前可以确定共有5个厂商在国内正式发售了NGFW产品，其中4个国外厂商均在Gartner最新一期的《企业网络防火墙魔力象限报告》（Magic Quadrant for Enterprise Network Firewalls，2010）中占有一席之地；深信服科技是唯一发布了NGFW产品的本土厂商，我们相信会有越来越多的本土厂商杀入这一领域。

理论上的定义总是滞后于用户需求和技术发展，从市场上可以购买到的实际产品来看，它们集成的安全功能已经远远超过了咨询机构给出的基本定义。虽然不同厂商在功能提供上还存在差异，但大家的目标都是一样的，那就是在产品上集成尽量多的功能，规格上覆盖低端到高端，与Gartner细分功能、用户群体的追求有很大出入。厂商这样做无可厚非，只有功能模块化加系统平台化的方式才能做到成本最小化与利润最大化。

在资料收集的过程中，我们还发现了一个很有意思的现象：之前无UTM产品的厂商为我们提供的文档中，都统一使用了NGFW的概念与宣传口径，且官方网站上的资料也是如此；而之前有UTM产品的厂商虽然宣称拥有NGFW产品线，却暂时没能提供与之相关的资料，在产品归属的态度上显得十分模糊。我们感觉前者的意图很明显，就是要避开竞争激烈的防火墙/UTM市场，抢占新的蓝海；后者大多拥有一定的资本和技术积累，为稳固市场地位需要拉动产业升级，却担心在市场上面临“自己打自己”的窘境。无论如何，随着NGFW概念逐步被用户理解、接受，目前市场上的混乱局面必将变得明朗，其市场前景值得看好。

• Palo Alto

Palo Alto是近几年发展非常迅猛的一家安全企业，在圈内负有盛名。该公司旗下有且仅拥有NGFW一类产品，被看做NGFW时代的先行者。经过充分的准备，Palo Alto于2011年初在国内设立了办事处。据了解，诸如应用特征库、WebUI和报表管理系统的本土化工作已在进行中。

Palo Alto将用户识别、应用识别和内容识别并列为产品的3大核心功能，使用户权限和策略设定变得像自然语言般简单易懂，同时让报表的可读性更强。内容识别基于防火墙、IPS、反恶意软件、URL过滤乃至DLP等多种安全功能，可以为用户提供全面的安全保障。在业务处理方面，其产品采用了单数据流并行处理体系结构，保证了高性能、低延迟。有业内人士认为，Palo Alto产品中关于一体化的处理引擎和一体化的策略框架是最关键的设计理念，在保证了高性能的同时提高了易用性。

产品规格方面，Palo Alto面向不同规模用户推出了从最低端的PA-500到最高端的PA-5060在内的多款产品。其最低端产品PA-500拥有250Mbps的防火墙处理能力、100Mbps的攻击防护能力和50Mbps的IPSec VPN性能，最高端的PA-5060则将这3个指标推向20Gbps/10Gbps/4Gbps。Palo Alto公司创始人、首席架构师毛宇明在接受我们采访时特别指出，该公司在官方网站公布了所有产品的性能指标，其中攻击防护能力一项均为开启应用识别及所有安全模块后的数据。并且即便用户没有选购任何安全功能的许可，也可以使用不受任何限制的应用识别与控制功能。

Palo Alto在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“有远见者”（visionaries）象限，并且在前瞻性（completeness of vision）坐标中处于最领先的位置。就目前的情况看，我们认为该公司在未来报告中的排名会继续进步。

• SonicWALL

做为资深的信息安全解决方案提供商，SonicWALL在国内外市场都有着不小的知名度。该公司在上海设有规模庞大的研发中心，负责核心产品的研发和部分本土化工作。SonicWALL中国研发中心总经理陈中在接受采访时就提别，目前该公司产品每次系统版本更新后1~2个月内即可提供中文版，并且有专人负责国内应用特征的添加与维护，达到平时每周1次、紧急情况下1天响应的更新频率。

SonicWALL对NGFW概念的跟进非常迅速，旗下已有SuperMassive E10000、E-Class NSA、NSA以及TZ210四大系列多款产品。实际上，得益于比较完备的软件平台和模块化的安全业务部署模式，该公司的NGFW产品和UTM产品使用了基本一致的软硬件平台，只在功能模块的配置上有所区别。在交付时，可以根据用户需求进行相应的授权，灵活满足NGFW或UTM的功能侧重。SonicWALL一直在为其NGFW产品增加更多的功能特性，该公司在一周前刚刚宣布将广域网加速功能集成到NGFW，为用户提供更好的网络使用效率。

SonicWALL旗下NGFW产品规格非常丰富，最低端的TZ210拥有200Mbps的防火墙处理能力、50Mbps的UTM处理能力和75Mbps的IPSec VPN性能，此外还可以提供3G/802.11n无线接入特性。在最高端，SuperMassive E10000系列使用了多节点业务智能分摊的设计理念，最多可支持8个业务节点共96个处理器内核同时工作，提供最大30Gbps的应用识别与控制能力、30Gbps的IPS处理能力、12Gbps的反恶意软件处理能力和20Gbps的IPSec VPN性能，无愧于当今顶级NGFW产品的称号。

SonicWALL在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”（niche players）象限。不过在Gartner同期的《UTM魔力象限报告》（Magic Quadrant for Unified Threat Management）中，该公司则处于“领导者”象限，综合排名仅次于Fortinet。

• Check Point

Check Point是历史最悠久的信息安全解决方案提供商，也是最早一批进入国内市场的安全厂商。该公司的防火墙产品在业内拥有极高的知名度，并且始终处于技术发展的最前沿。Check Point首创了软件刀片的概念，通过在统一的系统平台上部署不同功能的软件刀片来实现多种安全业务。在得到了NOKIA的硬件产品线后，该公司拥有了堪称业界最全面的硬件平台方案，具备了多种形态的交付能力。

有了这样的支撑，Check Point发布NGFW产品可谓水到渠成。据中国区技术经理刘刚介绍，该公司在2010年推出了可以对应用进行识别、控制的应用控制刀片，并整合了允许员工参与到决策进程的UserCheck技术。Check Point还利用独有的应用程序库AppWiki为用户提供更深入的可视性，该程序库内置了5万多种Web 2.0专用界面工具信息和包含社交应用、即时通讯和流媒体在内的4500多种互联网应用特征。，

虽然不是最早发布NGFW产品的厂商，Check Point却在NSSLabs进行的业界第一次NGFW产品测试中拔得头筹，成为业界首个获得NGFW产品“推荐”级别的厂商。我们在官方测试报告中看到，该公司送测的次高端产品Check Point Power-1 11065在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率，IPS功能的成功拦截率也达到97.3%；性能方面，该产品在混合多种协议的“真实流量”（Real World）测试中达到最高3800Mbps的处理能力，在传统的UDP性能测试中则有着12050Mbps的最大吞吐量。

Check Point在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“领导者”（leaders）象限，并且在前瞻性（completeness of vision）、执行力（ability to execute）坐标中均处于第二名的位置。在Gartner同期的《UTM魔力象限报告》中，该公司也处于“领导者”象限，综合排名第三位。

• 梭子鱼

梭子鱼是近年来表现比较活跃的信息安全解决方案提供商，目前已有超过10款不同类型的产品在国内市场进行销售。该公司十分善于整合吸收外来的产品技术，在国际范围内有多次成功的并购案例。梭子鱼现有的NGFW产品线来自于2009年收购的安全厂商phion，其产品在欧洲地区已经有许多大规模部署的案例。

也许是因为之前旗下没有防火墙/UTM产品线，梭子鱼坚定地成为NGFW时代的先行者之一。该公司在产品上以应用与身份控制、内容安全和网络层安全为核心，在满足NGFW定义要求的基础上提供了比较全面的安全特性。目前，梭子鱼仍在致力于管理特性、其他安全特性的开发和更为彻底的本土化整合工作，该公司中国区技术总监谷新在接受采访时特别提到，NGFW产品的集中管理平台目前已经可以管理维护多达数千台设备，并有实际部署案例。该平台还结合图形化管理维护技术，利用业界独特的“梭子鱼NG地球”特性，使分布网络的管理变得简单高效。

产品规格方面，梭子鱼也针对不同层面用户的需求提供了覆盖高中低端的全系列产品，其中多款具有WiFi及3G接入的能力。根据该公司公布的数据，其最低端的F10拥有150Mbps的防火墙处理能力和85Mbps的VPN性能，最高端的F900则将这2个指标推向21Gbps和3.78Gbps。而该公司提供的另一份文档也表明，梭子鱼的NGFW产品可在开启所有安全功能后达到8~10Gbps的最高性能。我们还注意到，梭子鱼在产品线中提供了目前唯一的虚拟环境部署方案，对有类似需求的用户来说无疑是很好的选择。

phion在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”（niche players）象限。有了梭子鱼丰富的产品线及全球化的销售/维护体系做为支撑，该产品的未来值得看好。

• 深信服科技

做为近年来崛起势头最为迅猛的本土信息安全解决方案提供商，深信服科技长期坚持专攻应用与内容安全领域的发展策略，在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际，该公司于近期发布了NGAF系列下一代防火墙，成为国内首家推出NGFW产品的厂商。

深信服NGAF系列下一代防火墙提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能，覆盖了NGFW定义中要求必备的所有特性。有国内市场上最成功的上网行为管理产品为基础，深信服科技的NGFW产品在应用识别与控制能力方面显然有着先天优势，其识别引擎已经能够辨析600多种应用，以满足不同部署场景的要求。该公司还将WAF产品的主要功能集成到NGFW产品中，结合应用识别与控制功能，为数据中心用户提供了新的安全防护接入思路。

对于我们问到的“之前没有防火墙/UTM产品，在状态检测技术和入侵防御技术方面是否有足够积累”的问题，深信服科技市场行销部技术总监殷浩也没有回避。据介绍，该公司在保持应用与内容安全领域技术领先的同时，也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴，可以第一时间获得漏洞资料，提高IPS的防护效果和响应速度。NGFW产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护，正是技术积累的一次集中体现。

产品规格方面，深信服科技的NGFW产品线中包含了多达11款产品，覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供200Mbps的防火墙处理能力（按照深信服对产品的定义，应用识别与控制功能都默认开启。后同。），最高端的AF-8000系列则将该指标推向10Gbps。由于深信服科技NGAF系列产品刚推出不久，我们还未能拿到更多的性能参数。但从厂商测试中得到的最新数据来看，其中端AF-1700系列产品的防火墙吞吐量达到600Mbps；在此基础上开启IPS和WAF功能，依然可以达到520Mbps的处理能力。

百舸争流NGFW

Gartner研究副总裁Greg Young在接受我们采访时提到，NGFW对于国内活跃的网络安全市场上的诸多厂商来说，都是一个未来的机遇。而这类产品能否顺利发展，很大程度上也取决于来自行业内的态度。所以除了之前提到的5个已经正式发售NGFW产品的厂商，我们还对另外14个厂商提出采访邀请，希望了解大家对这个新产品形态的看法。他们都有防火墙或/及UTM产品进行销售，并长期在国内安全市场有着活跃表现。经过长时间的沟通，我们最终收到了13份正式答复。业界巨擘思科成为唯一没有接受采访的厂商，我们对此深表遗憾。

我们对每个厂商的采访都围绕着NGFW的产品形态和市场前景两大主题来进行。从13份答卷中可以看出，绝大多数厂商都对Gartner所定义的NGFW产品形态表示充分认同，虽然也有厂商表示个别细节值得商榷，但终归没有明确的反对意见出现。可以认为，Gartner所定义的NGFW标准是对用户需求的高度抽象，是防火墙发展到一个历史阶段的自然产物。除了定义中明确所必须具有的基础特性，各厂商基本是根据自身所擅长的技术领域，以及目标客户需求的视角来定义NGFW应具有的其他功能。例如有独立组网能力的H3C与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗DDoS等特性，而传统意义上的安全厂商则更关注的网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。

对于NGFW产品在国内的市场前景，受访厂商也普遍表示看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争，但必将逐渐替代防火墙、IPS、UTM，成为阶段性的终结者。启明星辰还提到了上网行为管理产品，认为NGFW的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加细致，该公司认为NGFW短期内不会有独立市场，中期来看将从行业用户处开始普及，最终会成为综合网关市场的核心产品。而来自华为赛门铁克的观点则与之前我们的分析不谋而合，认为有中国特色的NGFW必将成为市场的宠儿。

可以看出，业界对NGFW的产品形态和市场前景都趋于认同。也正基于此，13个受访厂商中的5家已明确表示有NGFW产品研发计划，今明两年内我们很可能将看到至少4款来自不同厂商的产品出现在市场上。迪普科技、山石网科则表示现有产品已符合NGFW标准规范，只是未进行过有针对性的包装推广。瞻博网络则声称2008年发布的SRX系列防火墙是NGFW的代表作，但我们在该公司官方网站及互联网上暂时没有找到相关信息。

绿盟科技产品管理中心总监 王伟

绿盟科技认为Gartner定义的NGFW标准主要强调以下4点：

• 性能：Gartner把性能作为NGFW区分于UTM最重要的指标之一；
• 集成IPS：Gartner认为NGFW需要集成IPS功能，但不是像UTM那样做简单叠加，而是要将IPS的功能实现无缝融合入NGFW产品中去；
• 应用可视：主要强调NGFW对Web 2.0应用的识别和管理能力；
• 用户集成：强调用户身份与NGFW策略的一体化整合。

以上4点是针对UTM存在的短板进行的改进，应该是未来NGFW产品功能的最小集合。随着NGFW产品及市场的不断成熟及用户认可度的增强，NGFW产品还将融合更多、更丰富的功能（如虚拟化、Web信誉等）。另外为了应对云计算这个大的技术趋势，NGFW在产品硬件形态上将变得更加弹性以及多样化。无论如何，结合目前最新的安全发展趋势来看，Gartner对NGFW的定义代表了综合安全网关产品未来的发展方向。

短期内，NGFW在国内不会形成独立的市场，将依然会与传统的防火墙、UTM、IPS、上网行为管理等产品形成直接竞争。中期内，由于国内各类用户对新产品的认可度不同，NGFW产品将首先会在大型企业、金融、电信等中高端领域逐渐被用户接受。长期来看，由于NGFW代表了未来综合安全网关的发展方向，国内厂商应当会逐渐改进现有产品线，以符合NGFW的发展方向。最终，NGFW会成为综合安全网关市场最核心的产品形态。

山石网科技术市场经理 任磊

从字面上看，NGFW不像“入侵防御系统”、“上网行为管理”那样直观表现产品形态，转而突出传统防火墙基础之上的概念升级。在山石网科看来，NGFW代表着用户对防火墙产品提出的更高要求，他们期待防火墙能够脱胎换骨，满足当前和未来存在的安全需求。同样是防火墙概念升级的UTM也曾是一个时代的宠儿，但当用户发现其仅是单纯的安全功能叠加，且在多功能开启后性能会急剧下降的时候，此类产品就逐渐归入了中小企业解决方案的范畴。而实际上，无论是UTM还是NGFW，都应该是通用环境下的产品，而不受行业或网络规模的限制。

NGFW产品应打破传统的单一功能叠加模式，实现基于应用的综合控制，其中单引擎与并行处理是关键。在应用识别的基础上，NGFW应能够对协议中的行为做深层次的可视、管理和安全控制。此外，在网络技术快速发展的今天，应用的变化不仅使得数据流量增加，更高的并发连接和更多的会话处理也对设备造成了很大的压力，用户需要改变传统思想中仅靠吞吐量去衡量产品的思路。当多种安全业务集中在一台设备上的时候，软硬件的高可靠性就变得至关重要。软件方面，AA、集群等特性可以实现多台设备之间的互备；硬件方面，多控制器、多处理模块、多电源等模块间的冗余设计也是提高设备稳定性的必要方法。

NGFW代表着防火墙产品的一种发展趋势，其核心诉求是数据处理模式和效率方面的根本提升。这种提升已经与国内网络发展造成的安全需求相匹配，理应成为未来用户解决网络安全问题的主流选择。随着云计算环境下安全需求的变化和虚拟化技术的不断普及，用户在针对应用的高性能、深层次防护领域将出现井喷性需求，市场潜力是巨大的。

从功能特性角度看，山石网科的产品早在2008年就具备了Gartner定义的NGFW特征，包括传统防火墙的全部功能、应用流量的识别与优化、用户身份和内容的识别与管理、入侵防御和病毒防护能力等。我们并不在意安全产品的名称，而是希望凭借山石网科多年来对市场的认识、对行业的理解，做出更贴近用户需求的新一代安全产品。

迪普科技产品部副部长 孙晓明

Gartner定义的NGFW确实为集成化的安全网关类产品指出了一个发展方向，这是值得肯定的。在此基础上，我公司更加重视客户关注以及所需要的功能，产品设计的出发点也是为客户提供一个功能完善、高效可靠、部署简单的产品解决方案。实际上，如果按照NGFW的定义，我们的FW1000应用防火墙产品和UTM2000的UTM产品都符合规范定义的形态。FW1000应用防火墙除具有基本防火墙功能以外，还具有对四层攻击、拒绝服务攻击的抵御能力，并且可以对P2P、网络游戏、炒股软件等各种应用协议进行识别并进行限流或者阻断。同时，设备自带千万条级别的URL库，可以实现URL过滤等功能，为业务流量优化和安全防护提供良好的辅助。而UTM2000系列产品则在FW1000应用防火墙产品的基础上，增加了IPS、防病毒、应用控制、关键字过滤、行为审计等功能。

无论是NGFW1000还是UTM2000，都采用了“一次解析、多次匹配”的业务处理模式，即单引擎+整合特征库（协议库、漏洞库、病毒库），使得产品在设计上具有了非常好的伸缩性。同时，单引擎相对多引擎在处理模型上有了优化进步，是高性能的保证。

无论UTM也好、NGFW也好，本质上都是对传统防火墙功能的提升和扩展，在价格被用户接受的情况下，对传统防火墙实现替代是必然的。NGFW和UTM之争，以及NGFW需要具备的功能讨论，在我们看来对用户的实际意义不大。用户需要的功能就是产品必备的功能，迪普科技不以License来控制功能模块的启用与否，交付给用户的本身就是具有多种安全功能的产品，用户可以根据需求选择自己需要的业务。

启明星辰产品管理中心产品部副经理 任平

启明星辰认为，NGFW的发展诉求应该是把传统防火墙将访问控制对象从网络层、传输层调整为应用层协议。因此，其产品实现基础不再是多模块协同工作，而是依托于网络应用的识别能力来实施安全访问控制。虽然技术方面存在相通性，但由于访问控制对象不同，NGFW与UTM在系统设计方面会存在本质差异

简单来说，NGFW在功能上偏重于网络应用安全，而UTM更侧重于网络内容安全。NGFW更强调应用识别能力、用户行为管理和应用安全，提供面向应用控制的网关安全防护；UTM针对内网强调全方位的安全能力，提供比较适中的、具有更高性价比的网关安全防护。UTM与NGFW相比，还可提供VPN、反垃圾邮件、反恶意软件、防攻击、内网管理等针对于内网的安全防护能力。

在功能模块组成上，Gartner并未明确规定NGFW功能的细节组成，定义的功能覆盖比较合理。但NGFW作为安全类产品，在应用识别的基础上，需要增强应用安全的检测控制能力，同时在保证效率的前提下，增强基于流的防病毒能力会更有利于NGFW实现针对应用安全的目标。从目前来看，还没有一个厂商可以实现UTM、NGFW特性高效融合的案例，更多还是在应用、安全各自见长。NGFW在安全特性上和UTM在应用控制上，是否符合用户预期的商用效率，与软硬件技术的发展也有着很大关系。

在应用为王的网络世界中，NGFW的出现是紧跟应用安全需求发展的产物，市场前景相对乐观。在国内市场，它将对传统防火墙、UTM、上网行为管理和IPS细分市场造成冲击。国内各传统安全设备厂商会对此不断调整自身产品形态，一定程度上影响国内安全网关市场的调整与分布。NGFW在国内可能首先冲击上网行为管理市场，最终替代上网行为管理产品，与防火墙、UTM和IPS产品形成新的市场布局，长期处于竞争态势。NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求，国内安全厂商对专用硬件平台的驾驭能力会在一定程度上影响NGFW产品在国内的发展。在没有颠覆性软硬件技术革新的前提下，UTM、NGFW之间还难以形成替代关系。而二者差异的存在，使其在部署上反而会存在一定的互补性，在网络边界发挥各自优势，满足用户的多维度需求。

今年年初，启明星辰已经展开NGFW产品技术和市场空间方面的研究，考虑在合适的时机推出有特色的NGFW产品。

H3C安全产品部部长 马前祖

Gartner所提倡的下一代防火墙产品，很类似于UTM，都是尽可能将传统的单一防火墙功能扩充到多种安全业务的集合形态。基于应用的流量识别与控制，给客户带来投资减少和管理方便是显而易见的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业程度限制，NGFW产品形态缺乏标准，指标也比较随意。与部分厂商将它解读为所有的安全功能尽量集中于一体不同，H3C公司在网络安全方面的理解，更注重是从网络安全整体的角度看安全产品，提倡系统化安全，而Gartner提倡的解决方案是从纯安全的角度去看安全产品。我们不仅要把防火墙和IPS做成高性能或者互动，同时我们还要把交换机、路由器与管理中心、桌面控制平台联合到一起。

具备多种安全防护功能是下一代防火墙需具备的特点之一，从当前市场需求了解来看，NGFW需求集中于中小企业，类似于UTM，为一些中小企业在部署及管理维护带来一定的成本优势。但放眼未来，随着市场的发展逐步规范，NGFW产品自身在性能上得到提升，势必会在更大的领域获得广泛应用。但我们也注意到目前IT行业两大发展趋势，一是带宽越来越宽，以太网标准开始由万兆向40G、100G迈进；二是云计算风生水起，已成为众多企业CIO关注焦点。NGFW要跻身这个市场，在具有融合的安全防护功能的同时，还必须满足高吞吐和高并发的性能弹性匹配、云计算环境中虚拟化技术带来的安全虚拟化这两个基本需求。

未来防火墙产品发展方向上，H3C比较关注数据中心和云计算趋势。数据中心集成了网络、计算、存储功能，安全需要到与网络设计及管理维护高度融合，且性能和功能可以弹性扩展。在不久的将来，H3C将推出一系列具有业界顶级性能的安全防护产品，例如将于明年初正式推出的H3C SecBlade III第三代防火墙业务板卡，该产品将可以在S12500和S10500系列高端交换机上使用，不仅自身具有高性能，更可通过IRF扩展，实现远超于现有任何安全设备的强大性能，IPS、应用控制功能等也依据此架构提供的弹性硬件方式扩展，届时将再次刷新业界安全设备性能峰值。

网御星云副总裁、首席技术长官 毕学尧

对于Gartner提出的NGFW概念，网御星云部分赞同。但我们也认为有以下几点需要补充：

• NGFW自身集成的抗攻击特性需要加强，除抗DoS/DDoS攻击外，还应有抗CC、ARP以及DNS攻击的能力；
• NGFW是面向未来业务发展趋势的产物，厂商应为用户提供各类安全云与NGFW产品搭配的整体解决方案，而不仅仅是个单独的设备；
• 多核多线程并行处理技术应是NGFW在软硬件系统平台方面的标配，以保障高性能与高稳定性。

这其中，NGFW最应具备的还是稳定可靠的基于云安全的防御特性。云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息与特征，传送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端，实现立体全面的防护。

国内安全市场竞争激烈，NGFW的市场前景会进一步扩大化，不同品牌产品间在细节方面的表现将成为最关键的因素。网御星云早在2010年初就已立项启动下一代智能感控防火墙的研发，当前已处于测试阶段。功能方面，我公司产品包括了所有NGFW应具备的特性，同时融合了网御星云的云防御理念。该产品预计在2011年下半年上市。

华为赛门铁克安全市场与产品行销部部长 武鹏

Gartner对于安全威胁的发展趋势和用户业务安全需求发展趋势的判断是准确的，传统防火墙从防御范围和理念上，已经越来越难以满足用户需求。华赛认为，下一代的网络安全产品都应具备对用户的业务环境进行感知的能力，即能够识别和用户身份、网络特征、具体应用及内容数据相关的各种属性，并帮助客户实现面向具体业务制定一体化的安全策略，同时提供细粒度的控制能力，从而帮助用户真正实现全面的威胁管理和安全管控。

NGFW应具有较强的应用协议识别能力、应用层威胁识别能力、强大的IPS引擎和强大的反恶意软件引擎，同时具备智能的用户身份识别和管理能力。除此之外，既然该类产品已经定位于内容级，用户会更关注合规方面的功能，因此NGFW应该具备敏感信息过滤、定制合规策略并输出相关报告等相关能力。最后，考虑到NGFW所处的防御位置和攻击形态的发展趋势，完善的DDoS防护能力也是NGFW应具备的重要特性。

随着欧美的几个厂商开始在中国市场宣传NGFW，用户和媒体开始关注这种新产品。但目前由于NGFW的标准还不明确，国内第三方测评机构也暂不具备评估的能力，厂商的宣传还暂时无法带来规模的采购效应。但是，从近几年火爆的上网行为管理市场可以看出，中国市场有独特的对于合规和内容管理的需求，其真实存在是NGFW得以在未来有很好发展的基础。我们相信，只有切实把握国内用户的需求，对本土化的应用和威胁有深入研究的公司必然会推出具有中国特色的NGFW产品。审计、应用管理、威胁管理、用户管理、高性能、统一融合，这些都是国内客户的核心诉求点。目前已经进入国内市场并推广NGFW产品的企业，需要经历对市场的一个熟悉和磨练的阶段。

在国内市场和安全技术领域多年积累的基础上，我们相比其他厂商具有更多的优势，例如在应用识别、威胁识别、用户管理这些领域。华赛早就开始研究下一代网络安全产品技术，积累了大量的经验。今年，我们全面整合资源，开始了对下一代网络安全产品的研发，目前的挑战是如何设计一个高效率的新的体系架构。无论如何，华赛全系列的产品都将向下一代演进，这对用户是个很好的消息。

安氏领信研发总监 杜永峰

尽管目前业界关于下一代防火墙的定义仍然不统一，但这并不会影响用户对其的需求。用户关心的不是“什么是下一代防火墙”，而是“什么产品能帮助他们解决日益复杂的网络安全隐患”。随着面向服务应用架构的激增，更多网络上的应用流量往往通过少数的公开端口进行传输，要甄别这些应用以及如何控制应用流量中隐藏的威胁，基于IP、端口进行访问控制的传统防火墙已经显得力不从心。Gartner对NGFW的定义基本解决了用户迫切关注的问题，在传统的防火墙基础上增加对应用层协议细粒度的识别控制能力以及流量可视化能力、并能在深度解析应用协议的基础上对网络威胁进行防护。所以在产品与技术层面，我公司基本认同Gartner定义的NGFW标准。

安氏领信认为，Gartner的NGFW定义中对威胁的关注点是由外向内（或称之为攻击），对内部的数据安全考虑较少。面对日益严重的数据泄漏问题，有必要在网络边界处增加对内部“数据安全”的解决方案。此外，以“用户”为访问控制元素的策略上，需要考虑终端与边界防护的立体解决方案，在终端的接入上进行必要的控制。

我公司预计会在下半年推出NGFW产品，我们会在UTM技术积累的基础上，以一种全新的视角进行重构，重点在企业应用层协议控制、网络攻击防护的功能点上进行挖掘。尽管目前NGFW在市场上的整体占有率不足1%，但我公司对其未来的发展充满信心，尤其是在中小型企业。很多人都会拿UTM来与NGFW进行比较，权且不论国际市场如何，就国内来看UTM大而全、性能低下、没有整体防御逻辑的诟病较难被国内用户接受，NGFW的全新的产品理念在迎合企业管理需求上能很好弥补UTM的不足，市场前景值得看好。

东软网络安全产品营销中心产品策划部部长 王军民

Gertner对NGFW的定义是很周全并值得认可的，应用识别是防火墙未来发展的重要技术方向，基于应用的攻击的不断变化也要求防御技术必须有所提升。对于这样的变化，传统防火墙只能望而兴叹，因为它在应用层的检测能力几乎为零，无法起到良好的防御效果；而IPS仅关注应用层检测，防火墙功能极弱甚至没有，这也是有些用户把IPS当做IDS使用的一个原因；UTM则是一个集大成的产品，能够很好的融合各种安全技术，但一个缺乏统一指挥、统一资源调配的庞大团队，其效率低下是无法避免的。NGFW的使命，就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃，满足用户新的防御和管理需求。

NGFW集成了多种安全业务特性，在功能上很强大。但是网关类产品在网络中布署时，会面临各种兼容性方面的问题，所以良好的兼容性、可扩展性是这类产品的必备特性。在开发NGFW产品的时候，这些方面必须优先考虑，不能因为功能的扩展影响了系统整体的运行效率。

技术是没有国界的，NGFW在国外发展得很好，相信在国内也会有光明的市场前景。从目前情况看，未来两年将是NGFW产品高速发展的一段时间，相信它会成为是防火墙、IPS的阶段性终结者。

对于新技术和新的产品形态，我公司历来都非常关注。但产品化进程要看市场的成熟度，产品上市太早的话，销量受影响，资金压力会很大；而上市时间太晚，又会失去很多市场机会。如何拿捏好产品研发和推广的时机，需要进行周密的考虑。

汉柏科技战略产品中心总经理 时培新

防火墙的核心目的是根据准确的判定条件来提供周密的访问控制策略，而根据Gartner的定义，NGFW并不是UTM和现有防火墙的简单升级，它提供了更全面的应用、用户识别机制，更灵活的控制机制，以及更全面的安全防御。

汉柏科技认为NGFW主要在以下几方面进行了大的改进：

• What：越来越多的应用和威胁，采用了嵌入Web和常规协议的方式。基于端口检测的UTM只能将其全部认为是合法的应用，而无法逐一识别出来。NGFW采用基于DPI/DFI技术的检测，能够深入到应用层报文，通过签名、行为特征识别技术，将这些应用或者威胁进一步区分出来，以便制定不同的控制策略。对于一些关键字、URL和敏感信息，NGFW也可以识别；
• Who：NGFW改变了传统防火墙/UTM依赖于物理设备地址(MAC/IP)和用户身份对应的方式，进而采用结合身份认证和深度挖掘的机制，去更主动、精准地关联用户的实际身份（邮件地址、用户帐号、手机号码等）；
• Where：在一些应用场合，特别是远程接入等场景下，NGFW还可以准确判定用户的位置；
• How：在丰富的判别条件基础上，NGFW提供了传统防火墙之外更多的控制机制，例如针对应用或用户的限速、限额、限连接数、QoS等级等控制策略。针对各种网络和应用层攻击，以及各种敏感信息，NGFW在同一引擎实现高性能的IPS基础上，应提供包括主动关联、DLP以及SSL Proxy等在内的多种安全业务。同时，从应用和用户视角提供Drill-Down的呈现方式，能够将精细到每个用户的每种应用的每个连接呈现出来。

从内部实现机制上来说，NGFW应当是以高性能为前提的。而复杂的识别技术（状态检测、深度报文判别、模式识别、行为分析等）替代了传统的基于端口检测的方法，需要更多的开销。要在高性能的前提下提供更全面的功能，对各种实现机制，如应用协议库的组织、多条流关联识别、检测和分析引擎的一致性乃至同系统底层和硬件平台的配合设计上，都提出了全新的考验。从用户角度来说，NGFW更多体现的是从实际使用者（比如人力资源）角度的设计，而不再用实际使用者完全看不懂的术语（例如“五元组”）去设定相关的安全策略。同时，功能将更多地基于一体化引擎，而不再简单堆砌，使用起来更流畅、易用。

汉柏科技已经在对NGFW进行缜密的产品规划，预计会在明年上半年推出PowerAegis系列NGFW产品。

天融信总工程师 吴亚飙

随着业务、应用、需求的不断变化，防火墙的定义和功能也在一直在演进之中。但无论是功能从单一到复杂，还是访问控制的粒度从粗到细，其总体趋势仍然是追求更加丰富的功能和更高的性能。从IDC定义UTM，到Gartner定义NGFW，都在一定程度上反映了产业发展的状况。但我们也应看出定义存在的一些不足，导致业界各厂商有各自不同的理解。这些定义还没有上升到权威机构（如IEEE或ITU等组织）主导的层面，也就天生缺乏广泛性和权威性。由于对当前防火墙发展存在片面理解，Gartner定义的NGFW比较适合企业用户实现对应用的控制，而不适合大型IDC、数据中心进行部署。

天融信防火墙的许多设计方向都与NGFW不谋而合。由于传统防火墙基于五元组的访问控制机制无法应对各种复杂的网络应用，天融信很早就将入侵防御等5大类型的防御机制加入到防火墙产品中。经过几年的磨合，这些防御机制已经实现单一引擎处理和联动，例如入侵防御功能侦测到的威胁可以自动加载到防火墙规则内，在网络层就能提前阻断。它们之间已经不仅仅再是互动关系，而是一个整体。

在应用感知方面，天融信防火墙可以做到对各种应用的精准识别，例如可以在识别出用户使用的即时通讯软件是MSN、QQ、Yahoo! Messenger还是网易泡泡等客户端的基础上，准确捕捉到用户正在进行的是文字通讯、语音视频、文件传输还是音乐播放等行为，从而有目的、有针对性地加以拦截和限制。

天融信防火墙还可以在多种环境下灵活定义以适应需要。在控制对象上，我们更强调将虚拟世界与现实主体结合在一起的行为控制。虽然Gartner在定义中强调了更细粒度的应用意识，但在应用支撑上关注不够，天融信防火墙不仅仅强调应用意识，还开发了丰富的应用支撑功能，如SSL业务的支持，业务通道的流量优化等。未来大家还会看到更丰富的应用保障功能，将颠覆目前的防火墙概念。

网御神州副总裁 王刚

当前国内防火墙厂家和产品很多，各家产品在追求差异化的过程中创造了种种概念，相似的功能也往往采用不同的表现形式。这一方面激发了厂家的创造性，一方面也对用户理解产品、选择产品造成了一定的困扰。Gartner作为专业的咨询机构，牵头定义NGFW概念是值得欢迎的，对规范行业内产品形态、引导市场方向来说能起到很好的促进作用。但也应该认识到，NGFW是传统防火墙产品技术的发展延伸，而不是对其的否定，两者不能切割、对立起来。另外，NGFW标准也不会是一成不变的，随着市场需求和技术的不断发展，它也需要做相应的调整，因为只有真正符合用户需求的产品才是合适的产品。

在现有标准之外，NGFW应考虑加入基于权限及身份认证的安全接入控制和用户上网行为监控特性。此外，不同的用户群体有不同的需求侧重，如运营商就在BGP、MPLS、IPv6等方面有着更高要求。还有一个容易被大家忽视的是智能化可视报表及人机交互系统的易用性，这也是NGFW在传统防火墙基础上需要改进的。

防火墙做为边界安全第一道防线，仍是安全市场需求热点，且仍会占据最大的市场份额；NGFW作为防火墙产品中的一员，也会在这个市场中占有一席之地。短期来看，用户接受NGFW还需要一个过程；长期来看，NGFW肯定能更好地解决部分现有防火墙难以解决的问题，市场增长速度会超过防火墙整体市场的增长速度。当国内厂商积极引导、顺应客户需求的、纷纷推出NGFW产品时，会掀起市场的热潮，甚至带动防火墙整体市场取得更大的突破。对于网御神州来说，NGFW已纳入公司产品规划，计划在明年第三季度推出一系列不同规格的NGFW产品，以满足不同用户的需求。同时，NGFW的部分理念也已融合在现有的产品中。

瞻博网络系统工程师 候志昂

Gartner定义的NGFW标准主要强调了在应用层抗攻击的重要性。从技术层面上看，我公司认为NGFW需要在应用层实现丰富的审查与控制功能，例如应用层的流量分析与过滤、应用层QoS、对应用层DDoS攻击的防护都是NGFW的重要特性。在产品层面，NGFW产品需要在高可扩展性方面做出更多革新，通过在软件和硬件层面的模块化设计，实现功能、接口数量、处理能力的即插即用式升级，才能够使产品具有更长的生命周期。具有长远的技术前瞻性、架构设计优秀的产品才能够作为NGFW的代表。

产品设计方面，NGFW应该实现控制、转发、抗攻击三平面的硬件模块化分离。由于下一代防火墙需要在高性能网络中承担应用层审查和攻击抵御的任务，其转发平面势必面临比传统防火墙更为繁重的压力。如何在繁重的压力下保证防火墙的可管理性是未来必然面临的问题。因此，把控制层面独立出来，在高速安全处理的同时保证管理层面的畅通无阻，是提升防火墙稳定可靠的决定性因素。此外，针对DoS攻击等恶意流量，通过独立的抗攻击硬件层面进行处理也能够从根本上保障正常数据流不会被攻击流量所干扰，确保业务的健康运行。

一款产品的架构设计决定了其生命周期的长度。下一代防火墙中，在高端产品线引入交换矩阵是非常重要的。只有通过交换矩阵才能突破跨板卡流量性能的瓶颈，真正实现无阻塞转发。同时为了适应业务的增长需求，是否能真正做到可灵活扩展也是非常重要的因素，下一代防火墙需要能够实现性能、接口的零配置平滑升级，而决不能是简单的多台独立防火墙堆砌式升级。只有这样，才能实现可远期规划的网络架构，也可以节省投资、机房空间与能耗。

另外，防火墙的高可管理性也是下一代防火墙必须实现的目标。除了丰富的统计、日志以及友好的界面外，NGFW产品还应提供一个具有开放性的平台和丰富的接口，支持自编程脚本在设备上的运行，才能满足不同行业用户越来越多的个性化需求。

国内用户正在从扩张网络规模的建设阶段向建立追求高质量的、以数据模型为核心的网络为目标进行演进。在这个过程中，NGFW产品将成为网络安全层面不可或缺的角色。瞻博网络在2008年就已推出了NGFW的代表作SRX系列防火墙，该产品在传统防火墙的基础上灵活集成了攻击代码检测与防护、应用层识别与防护、应用层DoS攻击防御等功能。目前，SRX系列防火墙已经在国内的运营商、金融、能源、教育等行业用户的网络中大规模部署。

分享