當(dāng)前，隨著網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展以及當(dāng)代企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)的緊密結(jié)合，迫切要求防火墻產(chǎn)品能夠在應(yīng)用層上重新構(gòu)建安全體系，這種體系不是圍繞哪種具體應(yīng)用，而是針對(duì)所有應(yīng)用設(shè)計(jì)一個(gè)全新的安全管控框架;同時(shí)，網(wǎng)絡(luò)威脅的發(fā)展趨勢(shì)對(duì)防火墻產(chǎn)品的惡意代碼識(shí)別提出了更高要求;加之越來越復(fù)雜的安全體系架構(gòu)亟需改進(jìn)，下一代防火墻在此背景下應(yīng)運(yùn)而生。

　　“下一代”安全本質(zhì)

　　對(duì)于下一代防火墻來說，與之對(duì)應(yīng)的下一代安全的本質(zhì)究竟是什么？一方面，在安全技術(shù)上，下一代防火墻的新建樹主要集中在多安全引擎集成分析和行為分析方面。但更重要的是，下一代防火墻改變了“安全”的管理方式，降低了安全的“門檻”，真正將安全技術(shù)變?yōu)橐环N人人都可以理解和掌握的技術(shù)。

　　更簡單的安全

　　下一代安全首先是更簡單的安全。下一代安全的一個(gè)基本特征就是所謂的“可視化”，意指對(duì)網(wǎng)絡(luò)信息進(jìn)行分析整理并以圖形的方式進(jìn)行直觀展現(xiàn)。這種產(chǎn)品設(shè)計(jì)給安全管理帶來的改變要比人們想象得還要深刻。

　　更完整的安全

　　其次，下一代防火墻還是更加完整的安全產(chǎn)品。對(duì)于中小企業(yè)來說，無論是從購置成本來考慮，還是從復(fù)雜的部署、管理、維護(hù)對(duì)人力成本的巨大要求來考慮，都不太可能部署所有的主流安全設(shè)備到網(wǎng)絡(luò)中。

　　而下一代防火墻一體化多威脅檢測引擎的產(chǎn)品設(shè)計(jì)，使得用戶可以擁有完整的安全能力，而且區(qū)別于UTM之處在于，下一代防火墻是圍繞應(yīng)用層重新構(gòu)建的安全架構(gòu)，多安全引擎通過應(yīng)用層進(jìn)行統(tǒng)一配置，安全日志通過應(yīng)用關(guān)聯(lián)進(jìn)行統(tǒng)一分析，讓管理人員能夠真正以管理一臺(tái)設(shè)備的方式工作，而不是像UTM那樣在一個(gè)界面中管理多臺(tái)無關(guān)設(shè)備。

　　下一代防火墻，如何選擇？

　　如果用戶希望選購下一代防火墻，那么在選型過程中應(yīng)該如何評(píng)估不同的產(chǎn)品呢？

　　應(yīng)用層吞吐

　　首先從性能方面來看，用戶一定要注意區(qū)分“網(wǎng)絡(luò)層性能”和“應(yīng)用層性能”以及“安全能力全開啟性能”這三個(gè)指標(biāo)的差異。

　　傳統(tǒng)防火墻往往會(huì)以網(wǎng)絡(luò)層性能作為參數(shù)。然而網(wǎng)絡(luò)層性能對(duì)于下一代防火墻而言基本沒有意義。因?yàn)橄乱淮阑饓κ窃趹?yīng)用層上工作的防火墻，因此，客戶應(yīng)該考察的是“應(yīng)用性能”，也就是在應(yīng)用識(shí)別能力開啟條件下的防火墻性能。

　　另外，下一代防火墻的核心特征之一就是多安全引擎開啟不會(huì)導(dǎo)致嚴(yán)重的性能下降情況。因此客戶還必須要考察在多安全引擎全部開啟的情況下，防火墻的性能表現(xiàn)。

　　應(yīng)用識(shí)別能力

　　其次是從應(yīng)用識(shí)別能力來考量。下一代防火墻是工作在應(yīng)用層基礎(chǔ)上的防火墻，因此應(yīng)用識(shí)別能力成為下一代防火墻的核心能力。首先要考察防火墻的應(yīng)用庫有多大，其次是應(yīng)用識(shí)別的細(xì)粒度，比如應(yīng)用是否有足夠多的分類，以便于客戶管理，平臺(tái)型應(yīng)用是否還支持子應(yīng)用識(shí)別等。另外，應(yīng)用庫的更新速度也很重要。

　　可視化能力

　　產(chǎn)品的可視化能力也是考量的重要指標(biāo)。可視化能力是決定下一代防火墻能否真正發(fā)揮作用的關(guān)鍵所在。當(dāng)然這一點(diǎn)很難量化衡量，需要用戶自己親自動(dòng)手比較才能得出結(jié)論。

　　安全能力

　　從安全的角度看，下一代防火墻的主要貢獻(xiàn)在于多安全引擎的深度整合。用戶首先可以考察產(chǎn)品中集成了哪些安全引擎，不同安全引擎的配置是一次完成還是分別完成？安全日志是分散的和一體的？日志數(shù)據(jù)是否支持相關(guān)性跳轉(zhuǎn)？這些問題都可以判斷是否是一款真正的下一代防火墻產(chǎn)品。