为应对机构网络中越来越多的应用威胁，2009年Gartner定义了下一代防火墙（next generation firewall，NGFW），指出NGFW需具备涵盖传统防火墙、可与之联动的IPS功能、应用管控/可视化和智能化联动等要素。

NGFW是可以全面应对应用层威胁的高性能防火墙。NGFW通过深入观察网络流量中的用户和应用内容，并借助全新的高性能单路径异构并行处理引擎，可为用户提供有效的应用层一体化安全防护，使用户安全开展业务并简化用户的网络安全架构。

NGFW除具备传统防火墙的交换、路由、访问控制、VPN、NAT等功能外，还集成网关防病毒、上网行为管理、应用层攻击防护、安全关联、应用层控制策略等功能的整合。NGFW具有以下技术特点：

对用户的多个网络行为进行关联是提高检测精度的有效手段。针对大规模监测系统应用中可能出现一个网络异常行为在多个监测点作为事件报告而形成事件洪流的问题，数据关联性分析模块首次提出并采用了基于统计分析的二次事件分析技术，能够对不同时间、不同地点、不同事件的大量信息进行统一处理，简洁、准确地报告出正确的网络安全事件。

协议分析是深度检测必不可少的环节，可以减少特征匹配的计算量，提高匹配精度。协议分析一般通过攻击研究和特征知识库，以及采用高效协议自识别算法来完成。

协议分析不需要无限制的精细，否则入侵防御系统将变成一个低效的应用代理系统。协议分析应建立在对网络攻击研究的基础上，对特征知识库中需要的协议信息进行分析，其实现关键集中在攻击研究，软件实现可通过编译时的条件控制和运行时对特征库扫描设置相应的开关完成。

对于非周知端口的通信，需要通过内容识别其所属的协议类型。内容识别的过程类似于攻击检测的特征识别过程，可以通过多阶段分析和匹配算法的选择降低计算开销。

内容分析子系统充分发挥当前处理器多核能力的原则之一是数据交换过程中尽量避免核间和核内的临界锁，以及字符串拷贝，所以数据的生产者和消费者应使用一个较大的缓冲区来交换数据。传统的做法是将这个缓冲区变成一个环形队列，捕包程序和协议栈程序分别持有一个写指针和读指针，只要两个指针不互相超越即可。协议栈单线程时此方法可以使用，但在多核时为充分发挥硬件的计算能力，必须将内容分析过滤子系统多线程化。协议栈多线程时，必须使用专门的线程实现捕包程序捕获数据包的分发，这样可能出现环形缓冲区的读指针不正确的问题。

NGFW依然采用较大的缓冲区交换数据，但对缓冲区的形式作了变换。最初是直接在缓冲区定义读写指针将缓冲区作为环形队列使用，现在缓冲区不再是一个环形队列，而是被分成了空闲缓冲区队列和已使用缓冲区队列两个独立的部分。此时的两个缓冲区是保存数据缓冲区数据单元指针的指针列表。

捕包程序捕获一个数据包前，从空闲缓冲区队列的头部取下一个空的存储单元，将从网卡读入的数据拷贝到这个缓冲区后，捕包程序将该缓冲单元挂到已使用缓冲队列的尾部。分析线程从缓冲区读取数据时从已使用缓冲队列的头部取下一个数据单元进行消费，消费完成后直接将这个数据单元挂到待发送缓冲区队列即可。这样可避免锁定和内存拷贝，同时可充分利用缓冲区的空间。

NGFW拥有目前最完善的应用识别特征库，通过智能分析技术将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。当流量经过防火墙时，防火墙启动过滤引擎，对流量进行特征值的匹配。当过滤引擎搜索到与之匹配的特征码时，防火墙可应用智能识别技术进行细粒度控制或一键封锁。基于应用的识别控制包括智能匹配技术、多线程扫描技术、应用感控技术等方面。

对于特征库的设置，NGFW按照所有上网行为的特点进行分类，并对P2P、IM、炒股以及在线游戏等上网行为设置不同的特征库。当数据包到达防火墙时，防火墙首先根据用户定制策略将其分配到其对应的特征库管道，如P2P下载行为的流量被输送到P2P特征库管道，即时通信的流量则被输送到IM特征库管道。流量被分发到相应特征库管道后，再由相应的搜索引擎对流量进行扫描。这样既减少了搜索引擎检索的时间，又提高了过滤引擎的性能。

NGFW采用多线程扫描技术提高了引擎扫描的效率。如当BT数据流和MSN数据流同时进入防火墙时，防火墙内容搜索引擎可以同时启动BT搜索引擎和MSN搜索引擎进行数据流的检索，两个搜索引擎同时工作而互不影响。这种多线程处理机制同样适用于2种以上不同类型数据流同时经过防火墙的情况，可提升搜索引擎的工作效率。

NGFW采用与传统基于端口和IP协议不同的方式进行应用识别，并执行访问控制策略。如允许用户使用QQ的文本聊天和文件传输功能，但不允许语音视频聊天，允许使用Web-Mail收发邮件，但不允许附加文件等。应用识别带来的额外益处是可以合理优化带宽的使用情况，保证关键业务的畅通。

NGFW在内容过滤库处理方面力求收集齐全、分类准确、更新及时。通过网站全智能搜索引擎技术收集互联网站点，并进行智能分类和人工核验。目前NGFW支持50多种完善的URL类别，分别涉及色情、暴力、赌博、毒品、犯罪、病毒、体育、财经、娱乐等网站分类，这50多个URL类别库共包含1000万以上的特征网站，具有分类全，覆盖面广的特点。此外对于互联网每天都有大量新网站出现的问题，可通过在线升级方式使URL库中的网站处于持续更新状态。

关联安全标准（correlative security criterion，CSC）以面向业务的安全架构为技术理念，以统一安全、立体防御为设计目标，参照国际标准，系统地开发了安全管理协议、安全联动协议、安全审计协议等协议族，构成了完备的关联安全标准，如图2-4-1所示。

NGFW全面支持CSC标准，一方面可保证安全管理中心通过安全管理协议全面掌控防火墙的运行，另一方面通过统一的事件格式、事件等级和发送协议，使安全审计中心只需遵从安全审计协议即可对防火墙的安全事件进行集中、可视化审计。同时，NGFW遵从安全联动协议，可使主机安全软件和入侵检测等系统以防火墙为核心构建深度安全防御体系，使网络安全从独立、单一防护的产品保护发展为立体、全面、动态的防护。