一. 前言 21世纪互联网高速发展，随着网络带宽不断提高，网络应用日益丰富，网络安全问题越发凸显。

基于IPV4的TCP/IP协议存在巨大的安全隐患，即缺乏数据源验证机制，缺乏完整性验证机制，缺乏机密性保障机制。

具体表现出来的安全风险，在数据链路层有MAC欺骗，ARP欺骗，STP重定向等；在网络层有IP欺骗，ICMP攻击等；在传输层有SYN FLOOD攻击等。

网络安全访问的保障需要依靠各种网络安全技术，防火墙就是其中重要一项。

传统防火墙常用技术包括包过滤技术，代理技术，NAT技术，VPN技术等，针对数据报的网络层和传输层进行了访问控制，基于包头五元组信息，对OSI的二到四层攻击提供了可靠的防范措施。

但是，现今大量的新应用建立在HTTP/HTTPS标准协议之上，许多威胁依附在应用中传播肆虐，据Gartner报告：75%的攻击来自应用层[1]，如今攻击多样化，黑客平民化。

传统硬件防火墙无法分辨应用及其内容，也不能区分用户，更无法分析记录用户行为。

行业内提出替代性方案即补丁式设备堆叠，将FW，IPS，WAF以串糖葫芦的方式部署，形成了近几年的主流安全设备UTM（统一威胁管理），但是UTM是简单的堆砌，将防病毒，入侵检测和防火墙等众多功能集中于一个设备上，必将导致CPU和内存处理能力的分散，造成性能瓶颈。

下一代防火墙被认为是网络安全行业的一次重大革新。

世界著名评测公司Gartner定义下一代防火墙应该有如下功能：基本防火墙功能，高性能，智能防火墙，可视化应用识别，集成式入侵防御。