下一代防火墙市场调查

『壹』 天融信防火墙和下一代防火墙市场份额如何

市场份额部分可以参考一下权威数据部门的分析报告，今年1月，IDC发布了2012年上半年中国网络安全市场分析报告。可以看到天融信公司（TopSec）在硬件防火墙市场领域以15.9%的份额再次排名第一，延续了此前连续10余年的传统。此外，在其他网络安全领域，也有不俗表现，如在入侵防御领域排名三甲之列。由于防火墙和入侵防御两大领域在整个网络安全市场中占据了半壁江山（49.9%），在这两个领域的优势，也让天融信在安全硬件厂商竞争力综合排名方面处于领先地位。

『贰』 下一代防火墙与传统防火墙有什么区别

著名市场分析咨询机构Gartner曾于2009年发表文章《定义下一代防火墙》，文章指出下一代防火墙在具有传统防火墙功能与特点的同时，还要具有“支持联动的集成化IPS”、“应用管控与可视化”以及“智能化联动”相关特性。
在云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用的今天，Gartner2009年定义NGFW时的认知已经明显不足。NGFW商标持有者，也是国内最知名的信息安全品牌TOPSEC(天融信)给出了下一代防火墙必须具备六大特质：基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。这也补充了Gartner2009年定义NGFW时，对于云计算、web2.0、移动互联等新技术的认知不足。

『叁』 下一代防火墙发展前景怎么样

下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报，如：使用Web邮件、anonymizer、端到端或计算机远程控制等。仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求。细粒度策略会要求仅阻止发向其它允许目的地的部分类型的应用通讯，并利用重新导向功能根据明确的黑名单规则使其无法实现该通讯。这就意味着，即使有些应用程序设计可避开检测或采用SSL加密，下一代防火墙依然可识别并阻止此类程序。而业务识别的另外一项优点还包括带宽控制，例：因为拒绝了无用或不允许进入的端到端流量，从而大幅降低了带宽的耗用。目前仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络的来临，下一代防火墙的应用已然是不可抗拒的趋势，目前国内最知名的信息安全企业天融信就推出了下一代防火墙产品，而且其还是NGFW（Next generation firewall即：下一代防火墙)商标的拥有者

『肆』 目前市场上最火的下一代防火墙有哪些

我知道的有天融信NGFW不错，我们公司的防火墙刚升级成天融信的下一代防火墙产品，就是用的天融信NGFW，感觉网速很流畅，资源占用率也很低，网络使用比原来的效率提高了好几倍。

『伍』 下一代防火墙是在什么样的情况下提出的，有什么优势呢

下一代防火墙概念的提出是在2009年，著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁，认为防火墙必需要再一次升级为下一代防火墙。原因是第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁，下一代防火墙主要是为了应对现在复杂的网络环境，也就是探测和防御应用。面对如此庞大的网络规模以及安全挑战，主流网络安全企业先后推出了下一代防火墙产品，除了传统防火墙功能外，下一代防火墙同时具备可与之联动的IPS、应用管控、可视化和智能化联动等。下一代的防火墙产品对各种安全功能进行重新组合和排列，并从配置上把这些功能进行很好的集成。像国内一些知名供应商，如网康、深信服等早已着手这方面了，据朋友的公司说网康的下一代防火墙还可以，综合性能比深信服烧好一些，主要操作也简单。

『陆』 下一代防火墙的应用

下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报，如：使用Web邮件、anonymizer、端到端或计算机远程控制等。仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求。细粒度策略会要求仅阻止发向其它允许目的地的部分类型的应用通讯，并利用重新导向功能根据明确的黑名单规则使其无法实现该通讯。这就意味着，即使有些应用程序设计可避开检测或采用SSL加密，下一代防火墙依然可识别并阻止此类程序。而业务识别的另外一项优点还包括带宽控制，例：因为拒绝了无用或不允许进入的端到端流量，从而大幅降低了带宽的耗用。
仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络的来临，下一代防火墙的应用已然是不可抗拒的趋势，有理由相信到2014年年末使用这一产品进行保护的比例将上升至35%，同时，其中将有60%都为重新购买下一代防火墙。
大型企业都将随着正常的防火墙与IPS更新循环的到来逐渐采用下一代防火墙代替其现有的防火墙，或因带宽需求的增高或遭受了攻击而进行防火墙升级。许多防火墙与IPS供应商都已升级了其产品，以提供业务识别与部分下一代防火墙特性，且有许多新兴公司都十分关注下一代防火墙功能。Gartner的研究报告说明，认为随着威胁情况的变化以及业务与IT程序的改变都促使网络安全经理在其下一轮防火墙/IPS更新循环中寻求具有下一代防火墙功能的产品。而下一代防火墙的供应商们成功占有市场的关键则在于需要证明第一代防火墙与IPS特性既可与当前的第一代功能相匹配，又能同时兼具下一代防火墙功能，或具有一定价格优势。
复杂环境下网络安全管理的窘境
随着网络安全需求不断深入，大量政府、金融、大企业等用户将网络划分了更为细致的安全区域，并在各安全区域的边界处部署下一代防火墙设备。对于所有的网络管理者来说，安全设备数量的不断激增无疑增加了管理上的成本，甚至成为日常安全运维工作的负担，对网络安全管理起着消极的反作用。对于大型网络而言，网络管理者往往需要在每一台安全设备上逐一部署安全策略、安全防护规则等，并且在日常的维护中，还要逐一的对设备进行升级等操作，类似重复的工作将耗费大量的时间，同时大量人工操作势必将带来误配置的风险。
对于高风险、大流量、多业务的复杂网络环境而言，全网部署的下一代防火墙设备工作在不同的安全区域，各自为战，为了进行有效的安全管理，管理者往往要单独监控每一台设备的运行状态、流量情况以及威胁状况等，对于绝大多数人力资源并不充裕的信息部门，这无疑又是一项效率低、难度大的工作，监控到的信息往往由于实时性差，易疏漏等问题，对全网安全性的提升并无促进作用。
安全管理应面向风险而非单纯的安全事件响应，网络安全同样遵循这样的方向和趋势，而如何及时预见风险，以及在安全事件发生后如何快速溯源并采取响应措施，是摆在每一位网络管理者面前的难题。专家认为，基于大数据挖掘技术无疑可以帮助管理者更加快速的发现网络中的异常情况，进而尽早的确认威胁并采取干预措施，实现主动防御。而此方案实现的前提，则需具备对数据的收集集中能力以及智能分析能力。
为什么要识别应用
随着以WEB2.0为代表的社区化网络时代的到来，互联网进入了以论坛、博客、社交、视频、P2P分享等应用为代表的下一代互联网时代，用户不再是单向的信息接受者，更是以WEB应用为媒介的内容发布者和参与者，在这种趋势下，越来越多的应用呈现出WEB化，据调查显示超过90%的网络应用运行于HTTP协议的80和443端口，大量应用可以进行端口复用和IP地址修改。
然而，由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量，并执行相关的策略。所以对于WEB2.0应用来说，传统防火墙看到的所有基于浏览器的应用程序的网络流量是完全一样的，无法区分各种应用程序，更无法实施策略来区分哪些是不当的、不需要的或不适当的程序，或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议，会导致阻止所有基于web的流量，其中包括合法商业用途的内容和服务。即便是对授权通过的流量也会因为不能细粒度的准确分辨应用，而使针对应用的入侵攻击或病毒传播趁虚而入，使用户私有网络完全暴露于广域网威胁攻击之中。
综上所述，在新一代网络技术发展和新型应用威胁不断涌现的现有环境下，对网络流量进行全面、智能、多维的应用识别需求已迫在眉睫，也必将成为下一代防火墙所必须具备的基本和核心理念之一。
全面、多维的识别应用
每一种网络应用都应具备多方面的属性和特质，比如商业属性、风险属性、资源属性、技术属性等等，只有从各个角度多维、立体的去识别一个应用才会更加全面和准确。举例来说，从商业属性来讲，可以是ERP/CRM类、数据库类、办公自动化类或系统升级类应用;从风险属性来讲，可以是1至5级不等的风险级别分类，风险级别越高的应用(如QQ/MSN文件传输等)其可能带来的恶意软件入侵、资产泄密的可能性就越高;从资源属性来讲，可以是容易消耗带宽类、容易误操作类或易规避类的应用等;而从技术属性来讲，又可以是P2P类、客户端/服务器类或是基于浏览器类的应用等。
对应用的多维、立体识别不仅是下一代防火墙做到全面、准确识别应用的必须要求，更是辅助用户管理应用、制定应用相关的控制和安全策略的关键手段，从而将用户从晦涩难懂的技术语言抽离出来，转而采用用户更关心和可以理解的语言去分类和解释应用，方便其做出正确的控制和攻防决断。下一代防火墙必须也应该要做到这一点，一种重要的实现手段就是---应用过滤器。
应用过滤器的关键特点是提供给用户一种工具，让用户通过易于理解的属性语言去多维度的过滤和筛选应用，经过筛选过滤后得到的所有应用形成一个应用集，用户可以对此应用集针对性的进行统一的访问控制或安全管理。举例来说，作为边界安全设备，用户希望在允许内网用户与外网进行必要的邮件、IM即时通信、网络会议通信的同时，能够对其中的中、高级风险类应用进行安全扫描和防护，保证通信安全，杜绝威胁入侵。要做到这点用户只要通过应用过滤器，在商业属性维度给出选择，这里选择协作类应用(包括邮件、IM通信、网络会议、社交网络、论坛贴吧等应用)，再在风险属性维度给出选择，这里可选择3级以上风险等级，应用过滤器会根据选择过滤、筛选出符合维度要求的所有应用(这里包括雅虎mail、QQ邮箱、MSN聊天、WebEx会议、人人网论坛等几十个应用)，并以分类页表的形式呈现给用户，用户还可以通过点击应用名称查看每个应用的详细描述信息。接下来在一体化安全策略中，用户在指定好IP、安全区、时间、用户等基本控制条件，以及指定好IPS、防病毒、URL过滤、内容过滤等安全扫描条件后，只要选定刚才的应用过滤器，即可对所有内外网协作且高风险类应用进行全天24小时的安全扫描和防护，当发现攻击威胁时及时阻断并审计记录，保障用户的应用安全无忧。
识别未知应用
社区化网络的发展，缩短了世界各地用户经验交流和合作的时间与空间，应用数量和种类及相关的网络威胁都在日新月异的增长和发展着。面对来自世界各地、随时随地涌现的新类型、新应用，任何一个安全厂商或机构都无法第一时间毫无遗漏的全部涵盖和一网打尽，下一代防火墙必须提供一种机制，去第一时间识别和控制应用，保障用户网络每一秒都不会暴露在网络威胁之下。这就要求其必须要具备应用自定义的能力。
所谓应用自定义，就是以动态的方式允许用户对某种/某些非通用化、用户私有的无法识别的应用进行特征化的描述，系统学习并记忆这种描述，并在之后的网络通信中去智能的分析和匹配此种特征，从而将其识别出来，实现将应用由未知转化为已知。这种机制免去了传统以往为增加应用而重做的软件引擎、识别库版本开发、定制、上线、升级等大量工作，节省了大量宝贵时间，第一时间保障用户网络安全。
下一代防火墙的应用自定义应该包括维度归类和特征码指定两部分。维度归类将自定义出的应用如同其它已有应用一样从多维度进行分类划分，如该应用属于哪种商业类型、何种资源属性、怎样的风险级别等等，与应用过滤器形成完美配合。同时通过特征码，指定出应用在包长度、服务端口、连接方式、甚至于特征字符串/数字串等等方面的数据特征，多种方式灵活组合，并可依需要无限度扩展，涵盖了学习、辨识一个新应用的所有特征因素，从而第一时间让所有已有的或未来将有的未知应用无处遁形，完全掌握于控制之中。
全国人大代表、中国电子科技集团公司总经理熊群力向记者透露，我国自主开发的全新一代国产工业防火墙即将推出，将为国内工业用户提供工业控制信息安全“固、隔、监”的防护体系。
据熊群力介绍，作为功能全面、安全性高的网络安全系统，这套名为三零卫士工业防火墙的新一代国产工业防火墙，采用国际上最先进的网络安全技术，是针对工控网络安全的具体应用环境完全自主开发的安全产品。工控网络安全涉及国家关键基础设施信息系统如电力、轨道交通、石油、水务等的基础网络所面临的安全问题，此前在2013年，中国电科已率先研制了两款国内首创、拥有完全自主知识产权、基于专用硬件的工业控制系统信息安全产品。

『柒』 如何比较和选择下一代防火墙

下面详细地看看下一代防火墙的这些特性：
1.应用程序感知
传统防火墙与下一代防火墙的最大不同是：下一代防火墙可以感知应用程序。传统的防火墙依赖常见的应用程序端口来决定正在运行的应用程序以及攻击类型。而下一代防火墙设备并不是认为特定的应用程序运行在特定的端口上。防火墙必须能够在第二层到第七层上监视通信，并且决定发送和接收哪类通信。
最常见的例子是当前对HTTP和80号端口的使用。传统上，这个端口仅用于HTTP的通信，但如今的情况不同了，而且有大量的不同应用程序都使用这个端口在终端设备和中央服务器之间传送通信。常见端口用于不同类型通信的方法有很多种，其中最常见的方法之一就是隧道技术。借助于隧道技术，通信在传统的 HTTP数据字段内部建立隧道，并在目的结点解开封装。从传统的防火墙的观点看，这看起来就是简单的HTTP Web通信，但对于下一代防火墙来说，它真正的目的在其能够到达目的结点之前就在防火墙上被发现了。如果这种通信是由下一代防火墙的策略所允许的，就放行;否则，防火墙将阻止通信。
2.身份感知
传统防火墙和下一代防火墙之间的另一个很大的不同点是，后者能够跟踪本地通信设备和用户的身份，它一般使用的是现有的企业认证系统(即活动目录、轻量目录访问协议，等)。信息安全人员通过这种方法就不仅能够控制允许进出网络的通信类型，还可以控制哪个特定用户可以发送和接收数据。
3.状态检测
虽然从状态检测的一般定义上来看，下一代防火墙并无不同，但它不是仅跟踪第二层到第四层的通信状态，而是要能够跟踪第二层到第七层的通信状态。这种不同可以使安全人员实施更多控制，而且可以使管理员能够制定更精细的策略。
4.集成IPS
入侵防御系统(IPS)能够根据几种不同的技术来检测攻击，其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等。
在部署了传统防火墙的环境中，入侵检测系统或入侵防御系统是经常部署的设备。通常，这种设备的部署是通过独立的设备部署的，或是通过一个设备内部在逻辑上独立的设备来部署的。而在下一代防火墙中，入侵防御或入侵检测设备应当完全地集成。入侵防御系统本身的功能与其在独立部署时并无不同，下一代防火墙中此功能的主要不同在于性能，以及通信的所有层如何实现对信息的访问。
5.桥接和路由模式
桥接或路由模式虽不是全新的特征，但下一代防火墙的这种功能仍很重要。在当今的网络中部署了许多传统的防火墙，但其中的多数并非下一代防火墙。为更容易地过渡下一代防火墙，下一代防火墙必须能够以桥接模式(也称为透明模式)连接，设备本身并不显示为路由路径的一部分。对任何一家特定的企业来说，在合适的时间，下一代防火墙应逐渐地替换传统防火墙，从而使用路由模式。
比较下一代防火墙
如今的市场上有不少信息安全方案都宣称自己是下一代防火墙。如何发现其差异并?下面谈几个审查和比较下一代防火墙的标准：
1.下一代防火墙是否可以防御针对服务器应用和客户端应用的攻击?其防御程度如何?
2.是否能被规避或逃脱?
3.它是否稳定和可靠?
4.该方案是否能够强化入站和出站的应用策略?
5.该方案是否能够强化入站和出站的身份策略?
6.其性能如何?
进一步讲，企业选择部署哪种防火墙设备取决于几个有限的因素。这是因为多数设备都满足下一代防火墙的范畴，并能执行同样的任务。所以，为什么要选择这个而不选那个?安全管理者最初可能是凭个人的喜爱和直觉来选择，有时是根据一些事实或道听途说的证据，但这些毕竟已经成为选择标准的一部分。
在选择具体的方案时，我们应考虑设备的功效问题。其中一个主要方面在发生了针对服务器和客户端应用的攻击时，具体的方案可以阻止攻击的比例有多大。虽然不同的方案之间的差异可能很小，但正是这小小的不同就可能成为发生严重安全事件和挫败攻击的分水岭。
另一个需要考虑的因素是可通过设备的总吞吐量。由于这些设备在总吞吐量方面并不能直接比较，那如何更好地使用此标准呢?方法之一就是衡量每个受保护的比特所花费的成本。如果企业没有经过审查而优先选择了一家厂商，那么机会成本是什么呢?那就是还有一个更小巧或更强大的版本满足企业环境的要求。
企业需要考虑的最后一个因素是该方案利用的电能和空间。还是那个问题，不同的设备并不能直接比较，一个简单的比较和决定方法是，将设备的消耗量除以设备的规模(或除以设备的总吞吐量)，并比较不同设备的计算结果。

『捌』 如何全面评估下一代防火墙

要对下一代防火墙（即Next Generation Firewall，简称NG Firewall）进行全面评估，我们需要从功能与特性这两个方面进行深入研究——而这也正是我们今天的核心议题。
下一代防火墙的概念出现并确立于2009年，但其普及速度却明显缓慢得多。截至2015年底，Gartner公司发现只有不到40%的企业利用下一代防火墙进行互联网连接保护。
Gartner公司预计，未来几年中市场对下一代防火墙的需求将呈现出爆发式增长，这也意味着企业需要积极为其网络需求更理想的保护手段。估计至2018年年底，互联网连接中的85%将由下一代防火墙负责保护，而其中90%属于下一代防火墙的新增客户。
传统防火墙 VS 下一代防火墙

传统防火墙通过对端口及协议执行检查与防护，以实现企业网络安全保障。传统防火墙可以分为四种类型：包过滤、应用级网关、代理服务器和状态检测。但由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方，如：传统防火墙不能防范不经由防火墙的攻击、传统防火墙不能防止感染了病毒的软件或文件的传输等等。
下 一代防火墙则完全不担心这类问题，它可以网络中的数据包执行深度检测，也就是将数据包解封到应用层。通过这种方式，它能确保数据包的各个组成部分被完整的 检测，以识别畸形包、错误、已知攻击和其他异常数据。还能够快速识别并阻止木马、病毒、垃圾邮件、入侵行为，以及其他违反正常通信协议的行为。数据包分析 通过各种方法实施，包括基于数据流的检测，漏洞特征、策略配置、协议识别、数据标准化，以及明文HTTP和加密HTTPS连接。
下一代防火墙的核心特性

Gartner 在题为《Defining the Next-Generation Firewall》的报告中指出：“不断变化的业务流程、IT技术和网络威胁，正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化，网络 攻击的目标由单纯的破坏演变为恶意软件植入。在这种环境中，试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性，传统防火墙必须演进为下 一代防火墙。
由此可以总结出下一代防火墙拥有两大核心特性：应用识别与控制以及身份感知。
应 用识别与控制允许大家对自身网络内的应用进行审查，同时控制相关应用的使用情况。通过识别应用程序并在应用层内强制执行网络安全策略——独立于端口与协议 之外——大家可以实现应用程序黑名单或者白名单;允许微信但屏蔽《开心消消乐》等其它应用;允许QQ进行聊天但禁止其执行文件共享等细化控制能力。
买家提示：在挑选下一代防火墙时，大家需要考虑其策略设置是否与最为重要的业务应用相契合。E安全认为，下一代防火墙应当有能力对数十款最常用最具价值的应用程序进行细化管理，而无需单纯关注支持成百上千大家可能根本用不到的冷门应用。
应用控制无疑是一项利器，其能够阻止或者允许特定类型的应用使用方式。而身份感知则将这种控制能力同Active Directory等业务目录加以整合，从而帮助我们更精确地应用防火墙规则，甚至对部门及个人用户加以管控。
举例来说，大家可以创建规则以允许销售及营销人员利用特定社交媒体应用，同时允许外包商或者临时工作人员访问其中一部分内容，而董事会成员则可以不受限制任意接入互联网。
买家提示:身份感知功能往往被各类下一代防火墙厂商所反复强调，但在实践过程中，这种控制用户或者立足于群组层级实施保护的能力还没有得到广泛采用。除非大家拥有非常明确的身份感知需求，否则这部分功能在评价相关方案时不必太过强调。
下一代防火墙的其它重要特性
入侵防御系统(简称IPS)
下一代防火墙供应商正将越来越多IPS功能添加至产品当中。不过需要强调的是，初期的IPS能力往往并不成熟，但如今其不仅更加强大、还与下一代防火墙的其它能力紧密对接。在不少下一代防火墙中，内置IPS甚至足以挑战独立的IPS方案。
买家提示：入 侵防御系统属于企业防御体系中的重要组成部分，因此我们必须考虑自己选定的下一代防火墙是否具备IPS功能，或者有必要选择独立的优秀IPS产品。如果大 家需要将IPS与下一代防火墙相结合，Gartner建议我们通过现实威胁与网络负载环境利用第三方测试评估IPS方案的有效性。
网络沙箱
网络沙箱能够提供保护以抵御恶意软件，具体方式包括将可疑文件发送到云环境中的受隔离沙箱当中。在这里，各文件能够加以运行，且执行结果将经过检测以判断其是否属于恶意性质。
网络沙箱往往被下一代防火墙供应商或者合作伙伴以订阅服务的形式推出。2014年全球网络沙箱市场总价值超过5亿美元，而这一数字预计将在2019年增长至35亿美元。
买家提示：网络沙箱正迅速成为一项主流功能，所以我们在考量供应商时必须要求其当前或者有计划在不久的未来提供相关解决方案。
威胁情报供给
威胁情报供给旨在交付一套包含恶意IP地址、恶意签名以及其它恶意指标的清单，帮助防火墙与IPS方案检测威胁并预防攻击。
买家提示：检查下一代防火墙方案是否只能接收自家威胁情报供给，或者可以对接多种数据源。
需要向下一代防火墙安全厂商提出的问题

关于性能：
当全部安全功能都被禁用时，防火墙的峰值流量吞吐能力可达到怎样的水平？
当全部必要安全功能都被启用时，防火墙的峰值流量吞吐能力可达到怎样的水平？
关于成本：
该设备的基础成本是多少？
能够实现我们安全要求的设备成本是多少？
年度维护与更新成本是多少？
年度订阅成本是多少（包括情报供给以及网络沙箱等等）？
容量与安全功能可否根据需求进行调整，此类调整又会给成本带来怎样的影响？
关于配置：
对防火墙及安全容量进行配置需要怎样的专业知识水平？
设备需要怎样配置，其界面是否易于使用？
设备是否能够轻松支持IPv6？
关于安全功能：
该防火墙能够识别哪些应用程序，其能否为定制化应用程序建立识别能力？
其应用程序列表的更新频率如何？
其能够提供哪些类型的报告以帮助我们了解应用程序使用情况以及用户行为？
其身份感知控制的细化程度如何？
其还能提供那些额外安全功能？
其IPS功能的有效性在基于现实威胁与网络负载场景时的第三方测试结果如何？
其支持哪些威胁情报供给来源？
反恶意软件扫描等功能的更新交付方式是怎样的？频率又如何？由谁交付这些更新？是否允许客户进行内部安全研究？
如果不提供网络沙箱功能，其是否已经被纳入了短期发展路线图？
该设备符合哪些安全认证？
E安全/文

『玖』 下一代防火墙的特点是什么

国内最知名信息安全品牌TOPSEC(天融信)给出下一代防火墙的六大特质：
一、基于用户防护传统防火墙策略都是依赖IP或MAC地址来区分数据流.二、面向应用安全 三、高效转发平台 四、多层级冗余架构 五、全方位可视化 六、安全技术融合
http://ke..com/view/4862214.htm
业界的主流观点认为，下一代防火墙应该实实在在实现以下六大功能：
基于用户防护
传统防火墙策略都是依赖IP或MAC地址来区分数据流，不利于管理也很难完成对网络状况的清晰掌握和精确控制。此外还集成了安全准入控制功能，支持多种认证协议与认证方式，实现了基于用户的安全防护策略部署与可视化管控。
面向应用安全
在应用安全方面，下一代防火墙应该包括“智能流检测”和“虚拟化远程接入”两点。一方面可以做到对各种应用的深层次的识别;另外在解决数据安全性问题方面，通过将虚拟化技术与远程接入技术相结合，为远程接入终端提供虚拟应用发布与虚拟桌面功能，使其本地无需执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互，就可以实现了终端到业务系统的“无痕访问”，进而达到终端与业务分离的目的。
高效转发平台
为了突破传统网关设备的性能瓶颈，下一代防火墙可以通过整机的并行多级硬件架构设计，将NSE(网络服务引擎)与SE(安全引擎)独立部署。网络服务引擎完成底层路由/交换转发，并对整机各模块进行管理与状态监控;而安全引擎负责将数据流进行网络层安全处理与应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。
多层级冗余架构
下一代防火墙设备自身要有一套完善的业务连续性保障方案。针对这一需求，必须采用多层级冗余化设计。在设计中，通过板卡冗余、模块冗余以及链路冗余来构建底层物理级冗余;使用双操作系统来提供系统级冗余;而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级、系统级与方案级共同构成了多层级的冗余化架构体系。
全方位可视化
下一代防火墙还要注意“眼球经济”，必须提供丰富的展示方式，从应用和用户视角多层面的将网络应用的状态展现出来，包括对历史的精确还原和对各种数据的智能统计分析，使管理者清晰的认知网络运行状态。实施可视化所要达到的效果是，对于管理范围内任意一台主机的网络应用情况及安全事件信息可以进行准确的定位与实时跟踪;对于全网产生的海量安全事件信息，通过深入的数据挖掘能够形成安全趋势分析，以及各类图形化的统计分析报告。
安全技术融合
动态云防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。一方面可以通过“云”来收集安全威胁信息并快速寻找解决方案，及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中，保证用户的安全防护策略得到及时、准确的动态更新;另一方面，通过 “云”，使得策略管理体系的安全策略漂移机制能够实现物理网络基于“人”、虚拟计算环境基于“VM”(虚拟机)的安全策略动态部署。

『拾』 公司最近想采购下一代防火墙，天融信的下一防火墙市场占有率在行业中是个怎么样的情况性能怎么样

天融信下一代防火墙主要有以下关键技术
NGTOS下一代安全系统平台
天融信NGFW系列产品基于天融信公司十余年高品质安全产品开发经验结晶的NGTOS系统平台。NGTOS以多核硬件架构为基础，分为系统内核层、硬件抽象层及安全引擎层。
TopTurbo数据层高速处理技术
天融信NGTOS系统平台通过在硬件抽象层引入TopTurbo技术使单块安全引擎卡的网络吞吐能力获得了重大突破，而在天融信的并行多级硬件架构下通过部署多安全引擎卡将使NGFW下一代防火墙系列的旗舰机型整机网络吞吐达到320Gbps。

一体化的智能过滤引擎
天融信NGFW下一代防火墙产品，采用高度集成的一体化智能过滤引擎技术。其能够在一次数据拆包过程中，对数据进行并行深度检测，从而保证了协议深度识别的高效性。