传统意义上的防火墙在下发安全策略时往往是根据设备的IP或MAC地址来进行的，能够实现的设备数量较少且单一，随着安全技术不断发展和演变，用户使用的设备及所在的位置都并非是一成不变的，因此也对安全策略的移动性有了更高的要求。与此同时，僵尸网络、蠕虫、木马、APT攻击等触目惊心的安全问题无时无刻不给企业客户造成潜在的威胁，传统防火墙的防御功能目前看来已然捉襟见肘，于是越来越多的企业级网络供应商纷纷提出下一代防火墙概念。

“下一代防火墙”这一概念虽然由来已久，但究竟应该是什么样子却众说纷纭？日前，杭州华三通信技术有限公司（以下简称华三）凭借多年专注IP安全的丰富经验及技术优势，针对传统防火墙产品使用过程中存在的用户痛点，用近期推出的网络安全新品给出了强有力的回答，做出了革命性的重新定义。

　　对人不对IP：策略根据用户下发

经过华三重新定义的下一代防火墙产品无需基于IP或MAC地址来下发安全策略，而是可以针对时间、位置、身份ID、终端类型等方面进行多维度的用户识别。既可以在防火墙上实现本地认证，也可以配合认证服务器进行远程认证。用户身份一经识别，就会下发用户安全策略，实现用户安全策略随行，用户到哪里，安全就到哪里！

海量应用识别 实时更新控制

华三定义的下一代防火墙能够识别多达1200种应用流量，可以精确检测Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用，支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的。

同时，针对企业自身情况有所不同，华三的下一代防火墙产品可以提供不同的应用控制策略，来实现灵活的P2P流量控制。并且，采用了Kaspersky公司流引擎查毒技术的防火墙产品能够有效保护企业网络免受流量当中的病毒攻击。

在传统防火墙的使用过程当中，往往由于应用特征库内的应用具有一定的滞后性导致网络受到直接的攻击，华三所定义的下一代防火墙产品会紧跟网络安全领域的最新动态，保证特征库的及时更新。

深度安全 强大防御：4-7层深度安全防御引擎

华三下一代防火墙在开启深度安全防御时，激活的功能包括杀毒、防漏洞攻击、应用识别及控制和流量控制等，每一项功能都能够精确及时地识别并阻断蠕虫、病毒、木马等网络攻击，实现深度安全4-7层防御，确保企业的敏感数据不被窃取及业务能够持续地运行。

双机齐运行 实现高可靠性虚拟池化

相比传统防火墙的双机冗余备份，华三通过引入IRF2实现防火墙的虚拟化，让运维管理更高效、更可靠， 创建了简单的无环路拓扑结构，在保证冗余备份需求的同时也大大地节省了用户投资，有的放矢地高效利用企业网络设备。

链路负载均衡 高速访问网络

相比传统链路负载均衡，华三下一代防火墙还支持智能DNS技术，再配合传统的链路状态检测、链路繁忙保护等技术，可以有效地实现企业互联网出口双方向的多链路自动均衡和自动切换，使得双向的流量均能通过最优的线路进行传播，极大地加快了网络访问速度，通过负载均衡实现真路由功能

专业虚拟防火墙和IPv6完全防御

华三下一定防火墙将会继续支持虚拟防火墙和IPv6。

在虚拟防火墙方面，一台防火墙可划分多个逻辑的虚拟防火墙，能够基于虚拟系统进行吞吐、并发、新建、策略等性能分配。

在Ipv6网络方面，华三重新定义的下一代防火墙产品支持IPv4/IPv6双协议栈， IPv6数据报文转发、静态路由、动态路由及组播路由等功能，并且支持IPv6各种过渡技术。

面对目前网络环境的疾速变化，基于传统型防火墙的功能已经难以满足用户对安全随行及流程简化等一系列需求。华三针对用户在实际应用过程当中产生的问题对下一代防火墙产品进行以解决方案为导向的重新定义，真正立足于满足企业网络的使用需求，达到保障企业网络安全与稳定的目标，实现真正的“应需而安，化繁为简”。