下一代防火墙需具有下列低属性：

·支持在线BITW（线缆中的块）配置，同时不会干扰网络运行。

·可作为网络流量检测与网络安全策略执行的平台，并具有下列低特性：

    1）标准的防火墙功能：具有数据滤、网络地址转换（NAT）、协议状态检查以及***功能等。

    2）集成式而非托管式网络防御：支持基于漏洞的签名与基于威胁的签名。

    3）业务识别与全栈可视性：采用非端口与协议vs仅端口、协议与服务的方式，识别应用程序并在应用层执行网络安全策略。范例中包括允许使用Skype但禁用Skype内部共享或一直阻止GoToMyPC。

    4）超级智能的防火墙: 可收集防火墙外的各类信息，用于改进阻止决策，或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

·支持新信息流与新技术的集成路径升级，以应对未来出现的各种威胁。

下一代防火墙的革新

应用识别是防火墙未来发展的重要技术方向，基于应用的攻击不断变化，也要求防御技术必须有所提升。

下一代防火墙在性能、安全性、易用性、可管理性等方面有了质的飞跃，满足用户新的防御和管理需求。相比传统防火墙和UTM（统一威胁管理，Unified Threat Management），下一代防火墙与它们的主要区别在于：

1）传统防火墙局限于IP地址、接口层面的安全防护。从基于简单滤技术防火墙到基于状态检测技术的防火墙，***的防护还仅仅是停留在OSI模型的四层以内；

2）UTM是在“瘦防火墙”基础上发展而来的，集防火墙、IPS、***等安全功能于一体的集成安全网关，其不足之处在于处理机制烦琐，效率低下，内部安全模块间缺少智能关联；

3）下一代防火墙除了具备传统防火墙功能外，更关注针对应用层面的安全防护。实时性、准确性、性也成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果，自动识别到该流量在应用层执行的安全策略。流量控制需要更“精细化”的管理，不仅仅能够对异常攻击流量进行阻止或允许动作，更可用来进行基于应用层的QoS控制，控制粒度更为细致。

下一代防火墙：精细化多维管控

安全防护的基础是对用户网络业务环境的感知，下一代防火墙通过网络流量深度检测和解析技术，能够对应用、用户、内容、***地理等进行多维度的识别，为用户提供了的丰富而灵活的安全管控功能。

应用识别及灵活控制。下一代防火墙支持深度应用识别技术，能够准确识别数千种网络应用，其中包括600 余种移动应用、300 余种云应用。并为用户提供包括应用类别、应用风险等级、所用技术、应用特征分布等多维可视化信息，从而帮助用户及时发现应用安全隐患。同时，下一代防火墙支持灵活的应用安全控制功能，包括策略阻止、会话限制、流量管控、应用引流或时间限制等，使得应用管控十分得心应手。用户认证及管控。下一代防火墙支持丰富的用户认证方式，包括TACACS+、RADIUS、LDAP 等外部服务器用户认证，以及本地认证、Web认证等。并可针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。基于***地理位置的访问控制。能够识别攻击源/ 目的IP 所处的***地理位置，从而可以根据业务通信要求实施基于***地理位置的访问控制，快速阻断攻击流量。文件传输管控。结合文件深度检测技术，实现基于文件类型、文件大小、文件名称的文件传输控制，满足企业文件传输行为的合规性管理要求。

下一代防火墙：安全审计与集中管理

下一代防火墙支持系统日志、配置日志、流量日志、攻击日志及会话日志等类型日志的海量信息记录，可配合的安全审计平台，为用户提供上网访问行为的监管和审计，满足合规性监管要求。

下一代防火墙支持集中管理，借助H***安全管理平台，可对多设备进行统一策略管理、设备配置管理及实时安全监控，从而实现网络的快速部署以及发生安全事件的及时响应，提高管理效率，降低运维成本。

下一代防火墙支持通过web和手机APP 实时监控多设备的CPU、内存、流量趋势，以及应用、用户排名、威胁信息，还为用户提供7×24 小时告控，便于用户能够及时获知网络中的动态变化及安全风险。