‘Less than 10% of Internet connections today are secured using next-generation firewalls (NGFWs).By year-end 2014, this will rise to 35% of the installed base, with 60% of new purchases being NGFWs.’

　　– Gartner，「Magic Quadrant for Enterprise Network Firewalls 2013」

　　根据Gartner数据显示，目前有75%的威胁针对应用层，传统安全网关不具备有效的应用层防护能力，大量企业在新的安全网关采购中考虑购买下一代防火墙。回顾安全网关的发展历程，防火墙的发展史也是企业IT环境的变迁史。1989年，最初的防火墙是软件形态的，防火墙仅需完成简单的访问控制功能。随着网络发展的需要，1994年出现了基于状态检测的防火墙;出于性能上的考虑，增加了专用芯片来提升速度，专门处理网络流量，形成了基于ASIC专业硬件防火墙。Internet的兴起使企业面临的威胁越来越多，对安全功能的需求也越来越多，安全网关上的各个功能逐渐融合在一块，形成UTM(统一威胁管理)产品。2009年，随着移动互联网时代的到来，网络边界变得模糊，应用层威胁快速增加，传统的安全网关无法适配新的网络变化。因此Gartner定义了NGFW(下一代防火墙)，基于用户、应用、内容作为管控的基础。同年，业界推出第一款下一代防火墙产品。

　　在安全网关的演进中，有三个变化贯穿始终。第一，访问控制的变化。从最初的简单访问控制，到基于会话的管控，再到基于应用、用户和内容的管控，都是为了实现更有效更精准的访问控制;第二，威胁防护的变化。防火墙最初是仅用于访问隔离，后来逐渐增加了DDoS防护、入侵检测等等威胁防护功能;进化到NGFW，对威胁的防护手段也越来越多，防护的范围也越来越广;第三，性能的变化。随着越来越多的业务迁移到网络，防护范围不断扩大，服务质量的要求越来越高，这些都对安全网关的性能不断提出新的要求。

　　变化是永远不变的主题。距2009年Gartner定义下一代防火墙已经接近5年，企业的网络环境和IT环境的都发生了很多变化，面临着许多新的安全挑战。早期推出的下一代防火墙并不能完全解决这些新的问题，NGFW需要新的改变，需要更加完善。

　　改变一：管控需要更加精准

　　2009年推出下一代防火墙时，BYOD、云计算、社交网络等等还没有达到现在的这种水平。今天，Web应用爆炸性增长，利用应用的恶意行为层出不穷。BYOD的趋势使网络边界变的更加模糊，用户可以在任何时间、任何地点访问企业网络。云计算的趋势下，企业的信息资产更加集中，数据泄露风险大大提高。如何识别更多的应用、访问内容、用户身份、访问时间、访问地点，分辨应用运行存在何种安全风险，是重建网络边界有效管控的关键。因此，NGFW需具备更强的环境感知能力，进而从多个维度进行综合管控。

　　改变二：安全管理需要更加简单

　　Gartner的报告指出：“锁定目标攻击正不断渗透标准的安全控管，让安全控管一成不变的企业蒙受巨大的商业损失…”。高级锁定目标攻击(Advanced Targeted Attacks ，ATA) ，威胁着企业的数据安全。为防范这种攻击，企业需要遵循最小权限原则，不断调整安全策略，采取最严格的防护。如何优化安全策略，在传统防火墙时代已经让安全管理员头疼不已，使用NGFW后，这个问题更加突出。传统防火墙使用端口表示应用，需要管控的端口通常在100以下;而NGFW则以数以千计的应用作为管控对象，管理配置的复杂度数量级的提升。哪些应用应该放行，是对工作有用的?被放行的应用都有哪些运行风险，应该做怎样进一步的防护?一系列的问题让人无所适从。NGFW应该更加智能，能够帮助使用者简单地完成安全策略优化，保证网络持续安全。

　　改变三：需要快速识别新威胁

　　近五年，黑客攻击的目的由过去的自我证明转变为谋求利益，形成了产业化、国家化的趋势。新的威胁和新的攻击方法快速增加，特别是未知特征的攻击越来越多。很多的攻击行为非常隐蔽，静态的检测机制无法及时发现。NGFW需要能检测未知特征的新威胁，快速形成防护。

　　改变四：应用防护时保持高性能

　　UTM产品仅在4层网络防护时保持高性能，一旦开启应用层防护(如IPS、AV)性能下降严重。当前，威胁环境前所未有的恶劣，基于应用的防护逐渐成为边界防护的刚性需求。因此NGFW仅具备安全功能是远远不够的，必须保证这些功能在真实的网络环境下性能可用，而不是只是摆设。对应用的访问控制性能将作为衡量NGFW性能的基本指标。

　　市场呼唤更完善的下一代防火墙。基于企业面临的安全新挑战，华为推出了管控更精准、使用更简单、防护更全面、性能更高的下一代防火墙产品USG6000系列。USG6000能够识别6000种以上应用，从应用、用户、内容、威胁、时间、位置六个维度进行综合行管控;自动生成策略优化建议，TCO降低30%;基于云的沙箱检测技术，快速防御未知威胁;采用智能感知引擎(IAE，Intelligent Awareness Engine)技术和硬件加速，实现万兆级的应用层全威胁防御。USG6000系列下一代防火墙全面覆盖1G-40G应用层防护场景，为各种规模的企业网络保驾护航。