下一代防火墙NGFW行业和市场分析（上）

1.什么是下一代防火墙NGFW？

2009年，著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。由于采用的是基于服务的架构与Web2.0使用的普及，更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行，这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统（IPS）可根据已知攻击对操作系统与漏失部署补丁的软件进行检查，但却不能有效的识别与阻止应用程序的滥用，更不用说对于应用程序中的具体特性的保护了。

Gartner将网络防火墙定义为在线安全控制措施，即：可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性，以应对业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。

下一代防火墙，即Next Generation Firewall，简称NG Firewall，是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW 能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

Gartner在最新版本的下一代防火墙魔力象限报告中指出，随着大量网络安全功能的内置和与其他安全产品的自动化集成，下一代防火墙正在朝着网络安全平台的方向进化。

随着云计算、SaaS应用程序、移动和物联网设备的采用，企业IT变得更加互联互通，也更容易受到网络攻击。将物联网设备连接到企业网络为黑客提供了更大的攻击面。

鉴于所有企业面临的网络攻击风险越来越大，智能化的下一代防火墙(NGFW)的责任也越来越大，对能力的要求也越来越高，以下是下一代防火墙需要解锁的七个关键能力：

能力1：管理

下一代防火墙(NGFW)的搜索始于统一的安全管理平台。NGFW需要出色的安全管理和高效的功能，以满足现代分布式企业(包括云、数据中心、移动、PC和IoT)的需求。

安全管理不仅仅是安全策略以及网络和设备配置，你还必须考虑易用性，更高的运营效率和统一的平台。其他关键功能包括能够扩展安全性以匹配IT网络的增长、自动化工作流以及在整个安全基础架构中维护一致的策略实施的能力。

能力2：威胁防御包括反网络钓鱼、反病毒和反机器人

下一代防火墙的核心威胁防御技术超越了传统的防火墙安全功能，基于云的分析和威胁情报可构筑进一步的威胁防御优势，包括自动更新恶意软件指标。

能力3：应用程序检查和控制

随着企业的发展和规模的增长，选择能够支持足够广泛的应用程序以及可以识别并匹配新的复杂应用程序的防火墙至关重要。随着时间的流逝，防火墙已经发展成为全面、深入、智能和动态的防火墙。

能力4：动态，基于身份的检查和控制

由于转向了动态寻址，云架构和基于组的策略，基于简单IP地址的传统防火墙规则正在发生变化。企业需要下一代防火墙可以支持基于第三方用户存储、公共和私有云对象、外部服务源(例如Office 365、AWS地理位置)以及新设备类(例如IoT)的策略。使用威胁情报和自动化来实现动态策略创建和实施也很重要。智能自动化将能够减少手动配置的人为错误，降低安全风险和成本。

能力5：支持混合云

为了满足云优先的企业的需求，您的下一个防火墙应该通过提供基于动态工作负载的可扩展性能以及用于经济高效部署的使用模型来拥抱云的自动化和编排。

能力6：具有高级安全功能和可扩展性

下一代防火墙将需要确保随需求增长而扩展性能的功能。重要的是，防火墙不应当有硬件限制，否则会阻碍组织部署最新的威胁防御技术和算法。与传统的硬件部署类似，防火墙的硬件限制可能会影响云的性能。超大规模网络安全技术可在内部实现云级安全性，并可根据吞吐量和安全性要求的变化来扩展性能。

能力7：加密流量的检测

根据谷歌的最新研究，最终用户Chrome浏览器活动产生的网络流量有90%以上都是被加密的流量。随着加密流量的增加以及网络威胁变得更加高级和更具破坏性，您的防火墙需要能够检查加密流量才能应用控制策略并激活威胁防护。

综上，下一代防火墙不仅仅是网络流量策略的实施要点，更是扮演着智能安全网关的角色，其中包括应用智能和多维威胁防护。

根据相关公开资料显示，2023年全球下一代防火墙NGFW行业产值预计将超过65亿美元，其中中国下一代防火墙NGFW行业产值预计突破10亿美元，且此后预计每年将以10%的增速增长。

2. 全球有哪些NGFW生产厂家呢？

2.1 Fortinet

Fortinet 总部位于加利福尼亚州桑尼维尔，在加利福尼亚州联合市拥有一个20 万平方英尺的制造组装和运营中心，并在全球各地设有办事处。Fortinet 由卓有远见的谢青先生于2000 年创立。谢青曾经是Netsreen 公司的创始人、总裁兼首席执行官。Fortinet 由一支在网络安全领域富有丰富经验的管理团队领导至今。

Fortinet 是开发和构建定制安全处理单元(SPU)技术的唯一安全厂商，高性价比及安全性计算评级是其他软件方法的3 到47 倍。Fortinet FortiGuard 全球威胁研究与响应实验室每使用高效、可靠的人工智能（AI）和机器学习（ML）系统来处理和分析超过100 亿个事件，向公司的客户推送可执行的、实时的威胁情报。自研FortiOS 操作系统、专用SPU 技术和AI 驱动型威胁情报彰显了Fortinet 对网络安全创新与卓越的不懈追求。

Fortinet 旗舰企业防火墙平台FortiGate 具有广泛且齐备的产品线，能够满足各种环境需求，并提供了广泛的下一代安全和网络功能。Fortinet 的市场地位和解决方案有效性已得到全球行业分析师、独立测试实验室、商业组织和媒体的广泛认可。Fortinet 赢得了广泛的市场与广大客户的信任和满意，包括诸多全球500 强公司的认可。

根据相关资料，飞塔（Fortinet）的NGFW（下一代防火墙）设备：实际应用场景测试下，应用行为检测+入侵检测的性能表现，是业界同价位设备的5 倍。

1）Fortinet 的旗舰NGFW 设备，均搭载了FortiOS 操作系统，可实现：

极致的可视化与流量可控：自动关联网络应用与访问信息，快速解析威胁与网络问题。

网络应用行为感知，根据类别，随需设置管理动作。

深度安全优化，能够检查加密流量或SSL 通道内数据流量，有效防御数据泄露威胁。

可集成NSS Labs 推荐级高级威胁防御-沙盒系统。

2）Fortinet NGFW 集中优势：

5 倍于其他同价位产品的NGFW 性能

单窗口管理、可读性强的报告

千兆到万兆级下一代威胁防御

为企业网络管理者提供极佳的可视性与控制能力

高密度千兆、万兆接口

降低数据泄露与安全事故风险

Fortinet 下一代防火墙（NGFW）解决方案2020年收入约2亿美元，毛利率33%左右；2021年收入大概是2.2亿美元，毛利率超过36%。

2.2 Cisco

思科系统公司,简称思科, Cisco Systems, Inc.(NASDAQ:CSCO)成立于1984 年,总部位于美国加州圣何塞,是全球领先的网络解决方案供应商。

思科Cisco是互联网解决方案的领先提供者,其设备和软件产品主要用于连接计算机网络系统。Cisco Secure 防火墙为行业最完善和开放的安全平台提供基础支持。主要特点包括：

世界一流的安全控制

保护网络免受日益复杂的威胁入侵，需要业界领先的情报和始终如一、无处不在的保护。

一致的策略和可视性

随着网络互联程度的提高，实现全面的威胁可视性和一致的策略管理越发困难。简化安全管理，并获得跨分布式网络和混合网络的可视性。

集成网络和安全

Cisco Secure 防火墙为将强大的威胁防御功能集成到客户现有的网络基础设施中奠定了基础，使网络成为客户防火墙解决方案的逻辑扩展。

主要产品系列包括：

Firepower 1000 系列

适合中小型企业和分支机构环境。 思科防御协调器的简化管理可节省管理时间，使客户可以把更多的时间用在企业发展上。

Firepower 2100 系列

适合大型的企业分支机构、商业和企业。选择适合客户的环境和工作方式的管理选项。

Firepower 4100 系列

适合大型园区和数据中心，可创建部署灵活的虚拟防火墙，检查网络加密流量，防御 DDoS 攻击，群集设备以提升其性能并获得高可用性和可扩展的 VPN，阻止网络入侵，以及其他功能。

Firepower 9300

适合服务供应商和高性能数据中心，此运营商级的模块化平台可创建独立的虚拟防火墙和可扩展的 VPN，检查网络加密流量，防御 DDoS 攻击，群集设备以提升其性能并获得高可用性，阻止网络入侵，以及其他功能。

适用于私有云的虚拟防火墙

虚拟防火墙能保护客户的数据和应用，并利用一致的安全策略、深度可视性和集中控制，通过跨 VMware ESXi 、Microsoft Hyper-V 、KVM 环境添加高级威胁检测和保护来改善微分段。

适用于公共云的虚拟防火墙

轻松地将客户的数据中心扩展到公共云中，并利用一致的自动化安全策略、深度可视性和集中控制，为客户的数据和应用提供跨 Amazon Web Services (AWS) 和 Microsoft Azure 环境的保护。

思科Cisco下一代防火墙（NGFW）解决方案2020年收入约1.2亿美元，毛利率25%左右；2021年收入大概是2亿美元，毛利率超过35%。

思科Cisco 是全球网络解决方案的龙头供应商,在交换机、路由器、 防火墙 (硬防)领域拥有绝对的优势和不可撼动的地位。