有人說，下一代防火墻是個噱頭；有人說，下一代防火墻是加強版UTM；還有人說，下一代防火墻是傳統防火墻整合入侵防御IPS的產物。

　　這些說法都暴露出一個共同的問題，那就是沒有真的了解什么是下一代防火墻。

　　下一代防火墻應根據用戶需求定義

　　如果傳統防火墻擁有了“支持聯動的集成化IPS”、“應用管控與可視化”以及“智能化聯動”相關特性就是下一代防火墻嗎？顯然不是。在“云計算”、“WEB2.0”及“移動互聯”等一系列新應用技術日新月異的今天，僅僅單純從功能，或者是性能方面，改善傳統防火墻技術缺陷，補充傳統防火墻不足的角度去定義下一代防火墻產品顯得過于片面。下一代防火墻也并不是簡單的功能堆砌和性能疊加，下一代防火墻應該站上更高的山峰，以全局的視角，從解決用戶網絡面臨的實際問題出發來定義才更為妥當。而且可以肯定的是，在未來，下一代防火墻還會有“下一代”，那將是性能更強，功能更加貼合網絡環境與用戶需求的產品，“下一代”也將會無窮盡也。所以我們不該把目光放到一個名字上，而是真正去關心一下，下一代防火墻所能解決的問題。

　　那么什么防火墻才可以真正稱為下一代防火墻呢？我們可以從用戶網絡環境變化和需求的角度出發，用實實在在的六大特質來詮釋，即：基于用戶防護、面向應用安全、高效轉發平臺、多層級冗余架構、全方位可視化、安全技術融合。這六大特質，顯然靠噱頭、靠加強UTM、靠整合IPS是得不來的。可以說，只有具備這六大特質，才讓下一代防火墻產品更加“有血有肉”，真實而生動了起來，才是從底層核心到架構平臺再到操作系統全面塑造的全新產品，才可以讓用戶更加真實的了解下一代防火墻所要解決的是哪些問題。所以，我們說下一代防火墻就好比是武林中身懷絕技的高手，表面看似平常，實則內力渾厚。

　　目前國內推出下一代防火墻的廠商寥寥無幾。畢竟，下一代防火墻產品是在全面了解用戶需求的情況下，重新開發的滿足當前網絡應用環境的高性能防火墻產品，是與傳統防火墻應用有所區別的，既要有強大的技術研發實力做后盾，又要足夠了解用戶應用環境的變遷，而且還要擁有強大的產品服務團隊，在后期的服務上能為用戶提供更細致的幫助。下面我們就來具體看看下一代防火墻的六大特質。

　　下一代防火墻六招御敵

　　下一代防火墻實實在在的六大功能告訴了人們“我不是加強版和附屬品，我是獨立的，完全自我的網關安全產品，有獨特的特性和氣質。”

　　基于用戶防護 傳統防火墻策略都是依賴IP或MAC地址來區分數據流，不利于管理也很難完成對網絡狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統，實現了分級、分組、權限、繼承關系等功能，充分考慮到各種應用環境下不同的用戶需求。此外還集成了安全準入控制功能，支持多種認證協議與認證方式，實現了基于用戶的安全防護策略部署與可視化管控。

　　面向應用安全：在應用安全方面，下一代防火墻應該包括“智能流檢測”和“虛擬化遠程接入”兩點。一方面可以做到對各種應用的深層次的識別;另外在解決數據安全性問題方面，通過將虛擬化技術與遠程接入技術相結合，為遠程接入終端提供虛擬應用發布與虛擬桌面功能，使其本地無需執行任何應用系統客戶端程序的情況下完成與內網服務器端的數據交互，就可以實現了終端到業務系統的“無痕訪問”，進而達到終端與業務分離的目的。

　　高效轉發平臺：為了突破傳統網關設備的性能瓶頸，下一代防火墻可以通過整機的并行多級硬件架構設計，將NSE(網絡服務引擎)與SE(安全引擎)獨立部署。網絡服務引擎完成底層路由/交換轉發，并對整機各模塊進行管理與狀態監控;而安全引擎負責將數據流進行網絡層安全處理與應用層安全處理。通過部署多安全引擎與多網絡服務引擎的方式來實現整機流量的分布式并行處理與故障切換功能。

　　多層級冗余架構：下一代防火墻設備自身要有一套完善的業務連續性保障方案。針對這一需求，必須采用多層級冗余化設計。在設計中，通過板卡冗余、模塊冗余以及鏈路冗余來構建底層物理級冗余;使用雙操作系統來提供系統級冗余;而采用多機冗余及負載均衡進行設備部署實現了方案級冗余。由物理級、系統級與方案級共同構成了多層級的冗余化架構體系。

　　全方位可視化：下一代防火墻還要注意“眼球經濟”，必須提供豐富的展示方式，從應用和用戶視角多層面的將網絡應用的狀態展現出來，包括對歷史的精確還原和對各種數據的智能統計分析，使管理者清晰的認知網絡運行狀態。實施可視化所要達到的效果是，對于管理范圍內任意一臺主機的網絡應用情況及安全事件信息可以進行準確的定位與實時跟蹤;對于全網產生的海量安全事件信息，通過深入的數據挖掘能夠形成安全趨勢分析，以及各類圖形化的統計分析報告。

　　安全技術融合：動態云防護和全網威脅聯防是技術融合的典范。下一代防火墻的整套安全防御體系都應該是基于動態云防護設計的。一方面可以通過“云”來收集安全威脅信息并快速尋找解決方案，及時更新攻擊防護規則庫并以動態的方式實時部署到各用戶設備中，保證用戶的安全防護策略得到及時、準確的動態更新;另一方面，通過“云”，使得策略管理體系的安全策略漂移機制能夠實現物理網絡基于“人”、虛擬計算環境基于“VM”(虛擬機)的安全策略動態部署。

　　目前，國內如天融信等一線安全廠商通過歷史的經驗積累和強大的研發實力，已經在下一代防火墻產品方面有所建樹，性能也達到了320G。除了以上六大特點之外，天融信下一代防火墻NGFW還通過多核硬件架構，數據與應用雙引擎組，TopTurbo數據層高速處理技術，八元組高級訪問控制設計等，充分體現了下一代防火墻“基于用戶防護”與“面向應用安全”的設計理念，是一款真正意義上的“下一代”防火墻。