四年，从声名鹊起到走向成熟，从高高在上的企业级专属到日渐形成落户千万家之势，下一代防火墙(NGFW)伴随着争议成长，伴随着低价普及。

四年过去了，下一代防火墙已成大势，但市场中对其解读方式却越来越多，也愈发复杂。随着时间的流逝，越来越多的厂商举起了NGFW的大旗，也让这个市场变得更加混乱。而这些混乱，一方面源自产品质量的参差不齐，另一方面一个重要原因是对于Gartner经典定义的“发扬光大”。对于NGFW中应该包括和不该包括的功能，众厂商均持有不同意见。

今年又有几家国内厂商陆续发布了NGFW产品，至此国内网络安全厂商全面拥抱NGFW。而在之前发布NGFW的厂商，也不断向其产品中添加新的功能(比如定位僵尸主机或DLP相关)。且不论其是否符合NGFW的发展方向，至少在创新这一点上比拉大旗扯虎皮者强得多。

便宜没好货?未必!

下一代防火墙的价格目前还处于居高不下的阶段，主要是由于下一代防火墙的研发成本和硬件成本都较高，以某国际知名下一代防火墙提供商的产品为例，使用了Intel、FGPA和ASIC三种不同的硬件芯片来分摊业务处理压力，同时国内也有几家知名安全厂商采用了相似的Intel搭配MIPS的混合架构模式来提升NGFW产品的稳定性和处理能力，多芯片分布式处理的情况会在初期对产品价格有明显的提升。因为各家厂商的销量还不足以摊平其前期投入成本，因此现阶段无法提供亲民的价格也属情理之中。但是也有一些NGFW产品采用了最新的Intel DPDK架构。采用通用处理器的优势就在于在前期可以有效控制研发成本，从而降低前期产品售价。

诚然，部分下一代防火墙由于硬件成本的问题导致价格虚高，但是也有个别厂商在使用通用芯片架构配以服务模式来提升产品性价比，通过向用户收取整套服务费用的策略销售下一代防火墙，而不是将产品的初期高昂成本附加到用户头上，打破了传统“卖盒子”的模式，很大程度上降低了用户采购成本。

当然，在实际采购过程中，用户购买时更重要地还是看功能模块。因此，在NGFW的功能授权方面，虽然NGFW的应用识别是与防火墙深度集成，却不是所有的NGFW提供商在销售产品时都能将应用识别的授权向用户免费开放。因此，如果用户采购了需要单独付费的NGFW产品，那么无异于提升了其采购成本。笔者认为，应用感知和控制需要与防火墙固化，不应存在具有应用感知和不具备应用感知两种交付形态。对于NGFW来说，根本就不应该存在这个问题，但现实还是被厂商搞混淆了。采购时应注意应用感知和控制功能是否需要另付费，或是打包到其他功能模块中付费，以免产生不必要的投入。

Gartner定义的NGFW部署在对延迟敏感的大型企业网络环境中，这是区别于用在SMB的UTM的一个因素，但是却有个别厂商将NGFW产品主要定位于中小企业市场。笔者认为，若是能够做出性价比很高的产品，对于价格敏感的中小企业也是个福音，还能促使NGFW更加普及，使其成为防火墙的真正替代者，而不只是部分替代。其实不论是大企业还是中小企业，都是在乎TCO的。如果NGFW能够有效地降低部署成本，同时又可以提升安全性，那么何乐而不为呢?