2012年11月20日，网络及内容安全产品提供商安信华科技在北京与媒体进行了NGFW下一代防火墙的新品沟通会。

　　来自多个企业级IT媒体的记者与安信华销售部总经理李松、总架构师贺纲、产品部总监郭旺成进行了深入的沟通。

　　图1 左一为安信华销售部总经理李松

　　一、与UTM的竞争

　　安信华本次会议的主题便是“升级你的UTM”。目标直指市场上尚在流行的UTM/USG系列安全网关。安信华销售部总经理李松表示：“从性价比来说，我们的下一代防火墙要远高于目前国内的UTM产品。而且我们NGFW中的单独一项功能，也能与国内其他厂商的单独一台设备匹敌。一些UTM功能虽然多，但却不敢把所有功能都打开，而我们的NGFW，却可以在功能全开的情况下接入用户的网络。”

　　而目前市场上的情况来看，不管是国内的山石网科UTM Plus，启明星辰/华为的USG、还是国外的飞塔UTM，SonicWall UTM……都还在用户中流行。安信华的NGFW能全面替代他们的产品吗？

　　对于这个问题，李松是这么回答的：“我们目前的NGFW版本，非常适应网络吞吐量是10兆到1G的用户，我们也非常建议这部分用户升级到安信华的NGFW。”

　　图2 安信华的NGFW产品外观图

　　二、与其他NGFW的最大不同之处

　　众所周知，很多网关设备(包括NGFW鼻祖Palo alto在内)在使用防毒功能时，都会采用基于数据流的病毒和间谍软件扫描。当收到组成的文件第一个数据包时便开始扫描，而不会等到整个文件缓冲到内存。这可以在保证吞吐量最大化的同时尽量减少延迟。

　　图3 某国外知名NGFW的产品说明书

　　但是，安信华的NGFW并没有采用流扫描的技术，而是采用了文件还原扫描的方式。采用这种方式后，扫描的速度必然会降低。安信华为何要采用文件还原扫描的方式呢？

　　李松表示：“基于流的扫描方式，病毒检出率并不高，而采用文件还原的扫描方式，则可以大幅提高病毒检出能力。而我们的NGFW在采用文件还原扫描方式后，性能并不会降低多少。我们会保证一个最终的(病毒检测)效果，在功能全部打开的情况下，满足客户的性能需求。”

　　图4

　　于是，安信华在经过再三考虑，还是采用了防护能力更强的文件还原扫描方式。

　　另外，为了应对移动设备所面临的威胁，安信华的NGFW也加入了移动设备病毒过滤的功能。

　　图5

　　三、产品技术与架构

　　安信华还将多核并行控制技术、非共享式TCP协议栈等多项技术有机的融合和运用到Anchiva OS专用操作系统中，打造了高性能的产品基础架构。

　　关于多核并行控制技术

　　自主开发的多核并行控制器用于处理核内、核间任务的分工与调度。来自网络层的数据包进入多核并行控制器后会被均衡的分配到各个不同的CPU，以便完成后续多颗CPU的并行事务处理。

　　关于非共享式TCP协议栈

　　在兼顾安全性的基础上，开发了横跨操作系统内核层和应用层的非共享式TCP 协议栈，同时将TCP 协议栈与应用代理相结合，打破了通用操作系统基于内核的TCP协议栈共享锁的限制，在转发层面和应用层面都做到完全的并行处理。

　　四、总结

　　Gartner预测，到2015年，中国传统防火墙和UTM市场40%的份额将会被下一代防火墙所替代。

　　目前，NGFW已经在国内呈百花齐放的姿态。不但有Palo alto、SonicWall、Checkpoint等国外厂商强势介入，国内的深信服、网康等厂商也都相继发布了自己的下一代防火墙。要在这个群雄并起的时刻闯出一条血路，没有自己的杀手锏，肯定是不行的。接下来的2013年，将是检验各家NGFW的真正价值的重要时刻，让我们拭目以待。