傳統意義上的防火墻在下發安全策略時往往是根據設備的IP或MAC地址來進行的，能夠實現的設備數量較少且單一，隨著安全技術不斷發展和演變，用戶使用的設備及所在的位置都并非是一成不變的，因此也對安全策略的移動性有了更高的要求。與此同時，僵尸網絡、蠕蟲、木馬、APT攻擊等觸目驚心的安全問題無時無刻不給企業客戶造成潛在的威脅，傳統防火墻的防御功能目前看來已然捉襟見肘，于是越來越多的企業級網絡供應商紛紛提出下一代防火墻概念。

“下一代防火墻”這一概念雖然由來已久，但究竟應該是什么樣子卻眾說紛紜？日前，杭州華三通信技術有限公司（以下簡稱華三）憑借多年專注IP安全的豐富經驗及技術優勢，針對傳統防火墻產品使用過程中存在的用戶痛點，用近期推出的網絡安全新品給出了強有力的回答，做出了革命性的重新定義。

　　對人不對IP：策略根據用戶下發

經過華三重新定義的下一代防火墻產品無需基于IP或MAC地址來下發安全策略，而是可以針對時間、位置、身份ID、終端類型等方面進行多維度的用戶識別。既可以在防火墻上實現本地認證，也可以配合認證服務器進行遠程認證。用戶身份一經識別，就會下發用戶安全策略，實現用戶安全策略隨行，用戶到哪里，安全就到哪里！

海量應用識別 實時更新控制

華三定義的下一代防火墻能夠識別多達1200種應用流量，可以精確檢測Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網絡游戲/炒股/網絡視頻/網絡多媒體等應用，支持P2P流量控制功能，通過對流量采用深度檢測的方法，即通過將網絡報文與P2P協議報文特征進行匹配，可以精確的識別P2P流量，以達到對P2P流量進行管理的目的。

同時，針對企業自身情況有所不同，華三的下一代防火墻產品可以提供不同的應用控制策略，來實現靈活的P2P流量控制。并且，采用了Kaspersky公司流引擎查毒技術的防火墻產品能夠有效保護企業網絡免受流量當中的病毒攻擊。

在傳統防火墻的使用過程當中，往往由于應用特征庫內的應用具有一定的滯后性導致網絡受到直接的攻擊，華三所定義的下一代防火墻產品會緊跟網絡安全領域的最新動態，保證特征庫的及時更新。

深度安全 強大防御：4-7層深度安全防御引擎

華三下一代防火墻在開啟深度安全防御時，激活的功能包括殺毒、防漏洞攻擊、應用識別及控制和流量控制等，每一項功能都能夠精確及時地識別并阻斷蠕蟲、病毒、木馬等網絡攻擊，實現深度安全4-7層防御，確保企業的敏感數據不被竊取及業務能夠持續地運行。

雙機齊運行 實現高可靠性虛擬池化

相比傳統防火墻的雙機冗余備份，華三通過引入IRF2實現防火墻的虛擬化，讓運維管理更高效、更可靠， 創建了簡單的無環路拓撲結構，在保證冗余備份需求的同時也大大地節省了用戶投資，有的放矢地高效利用企業網絡設備。

鏈路負載均衡 高速訪問網絡

相比傳統鏈路負載均衡，華三下一代防火墻還支持智能DNS技術，再配合傳統的鏈路狀態檢測、鏈路繁忙保護等技術，可以有效地實現企業互聯網出口雙方向的多鏈路自動均衡和自動切換，使得雙向的流量均能通過最優的線路進行傳播，極大地加快了網絡訪問速度，通過負載均衡實現真路由功能

專業虛擬防火墻和IPv6完全防御

華三下一定防火墻將會繼續支持虛擬防火墻和IPv6。

在虛擬防火墻方面，一臺防火墻可劃分多個邏輯的虛擬防火墻，能夠基于虛擬系統進行吞吐、并發、新建、策略等性能分配。

在Ipv6網絡方面，華三重新定義的下一代防火墻產品支持IPv4/IPv6雙協議棧， IPv6數據報文轉發、靜態路由、動態路由及組播路由等功能，并且支持IPv6各種過渡技術。

面對目前網絡環境的疾速變化，基于傳統型防火墻的功能已經難以滿足用戶對安全隨行及流程簡化等一系列需求。華三針對用戶在實際應用過程當中產生的問題對下一代防火墻產品進行以解決方案為導向的重新定義，真正立足于滿足企業網絡的使用需求，達到保障企業網絡安全與穩定的目標，實現真正的“應需而安，化繁為簡”。