當前，隨著網絡應用的爆炸式發展以及當代企業業務與互聯網的緊密結合，迫切要求防火墻產品能夠在應用層上重新構建安全體系，這種體系不是圍繞哪種具體應用，而是針對所有應用設計一個全新的安全管控框架;同時，網絡威脅的發展趨勢對防火墻產品的惡意代碼識別提出了更高要求;加之越來越復雜的安全體系架構亟需改進，下一代防火墻在此背景下應運而生。

　　“下一代”安全本質

　　對于下一代防火墻來說，與之對應的下一代安全的本質究竟是什么？一方面，在安全技術上，下一代防火墻的新建樹主要集中在多安全引擎集成分析和行為分析方面。但更重要的是，下一代防火墻改變了“安全”的管理方式，降低了安全的“門檻”，真正將安全技術變為一種人人都可以理解和掌握的技術。

　　更簡單的安全

　　下一代安全首先是更簡單的安全。下一代安全的一個基本特征就是所謂的“可視化”，意指對網絡信息進行分析整理并以圖形的方式進行直觀展現。這種產品設計給安全管理帶來的改變要比人們想象得還要深刻。

　　更完整的安全

　　其次，下一代防火墻還是更加完整的安全產品。對于中小企業來說，無論是從購置成本來考慮，還是從復雜的部署、管理、維護對人力成本的巨大要求來考慮，都不太可能部署所有的主流安全設備到網絡中。

　　而下一代防火墻一體化多威脅檢測引擎的產品設計，使得用戶可以擁有完整的安全能力，而且區別于UTM之處在于，下一代防火墻是圍繞應用層重新構建的安全架構，多安全引擎通過應用層進行統一配置，安全日志通過應用關聯進行統一分析，讓管理人員能夠真正以管理一臺設備的方式工作，而不是像UTM那樣在一個界面中管理多臺無關設備。

　　下一代防火墻，如何選擇？

　　如果用戶希望選購下一代防火墻，那么在選型過程中應該如何評估不同的產品呢？

　　應用層吞吐

　　首先從性能方面來看，用戶一定要注意區分“網絡層性能”和“應用層性能”以及“安全能力全開啟性能”這三個指標的差異。

　　傳統防火墻往往會以網絡層性能作為參數。然而網絡層性能對于下一代防火墻而言基本沒有意義。因為下一代防火墻是在應用層上工作的防火墻，因此，客戶應該考察的是“應用性能”，也就是在應用識別能力開啟條件下的防火墻性能。

　　另外，下一代防火墻的核心特征之一就是多安全引擎開啟不會導致嚴重的性能下降情況。因此客戶還必須要考察在多安全引擎全部開啟的情況下，防火墻的性能表現。

　　應用識別能力

　　其次是從應用識別能力來考量。下一代防火墻是工作在應用層基礎上的防火墻，因此應用識別能力成為下一代防火墻的核心能力。首先要考察防火墻的應用庫有多大，其次是應用識別的細粒度，比如應用是否有足夠多的分類，以便于客戶管理，平臺型應用是否還支持子應用識別等。另外，應用庫的更新速度也很重要。

　　可視化能力

　　產品的可視化能力也是考量的重要指標。可視化能力是決定下一代防火墻能否真正發揮作用的關鍵所在。當然這一點很難量化衡量，需要用戶自己親自動手比較才能得出結論。

　　安全能力

　　從安全的角度看，下一代防火墻的主要貢獻在于多安全引擎的深度整合。用戶首先可以考察產品中集成了哪些安全引擎，不同安全引擎的配置是一次完成還是分別完成？安全日志是分散的和一體的？日志數據是否支持相關性跳轉？這些問題都可以判斷是否是一款真正的下一代防火墻產品。