下一代防火墙NGFW

自Gartner在2009年提出了下一代防火墙概念以来，众多国内外网络安全厂商都陆续推出了下一代防火墙产品。另据Gartner的研究报告显示，在2014年，60%的新购防火墙都将是下一代防火墙。可以看出，无论是企业用户还是厂商，都在顺应IT趋势的变革，也都看到了其中的机遇。

2012年，NGFW(Next generation firewall)即下一代防火墙已经成为业界的热点声音。云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用，Gartner于2009年定义NGFW时的认知已经明显不足。众网络安全厂商和相关机构，纷纷为此下“定义”，但至今争执不下，足见此概念的热度。

我们暂且这样陈述，下一代防火墙并不是简单的功能堆砌和性能叠加，下一代防火墙以全局的视角，从解决用户网络面临的实际问题出发来定义才更为妥当。下一代防火墙并不是凭空而出的产品，也不会是防火墙的终极形态。下一代防火墙需要安全厂商不断的关注IT环境和客户需求的变化、持续专注的技术积累及创新，而厚积薄发的产品成果。

业界的主流观点认为，下一代防火墙应该实实在在实现以下六大功能：

基于用户防护

传统防火墙策略都是依赖IP或MAC地址来区分数据流，不利于管理也很难完成对网络状况的清晰掌握和精确控制。下一代防火墙则具备用户身份管理系统，实现了分级、分组、权限、继承关系等功能，充分考虑到各种应用环境下不同的用户需求。此外还集成了安全准入控制功能，支持多种认证协议与认证方式，实现了基于用户的安全防护策略部署与可视化管控。

面向应用安全

在应用安全方面，下一代防火墙应该包括“智能流检测”和“虚拟化远程接入”两点。一方面可以做到对各种应用的深层次的识别;另外在解决数据安全性问题方面，通过将虚拟化技术与远程接入技术相结合，为远程接入终端提供虚拟应用发布与虚拟桌面功能，使其本地无需执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互，就可以实现了终端到业务系统的“无痕访问”，进而达到终端与业务分离的目的。