防火墙功能

路由功能:静态路由、动态路由、策略路由、ISP路由等。

NAT功能:将内部网络的私有IP地址转换为公有IP地址。

端口映射:将外网主机的IP地址的一个端口映射到内网中一台机器，提供相应的服务。当用户访问该IP的这个端口时，自动将请求映射到对应局域网内部的机器上。

安全策略:通过对源地址、目的地址、服务、时间、允许/阻止等内容进行配置做相关安全访问策略。

带宽管理:流控功能（简单的用用还行，要像管理效果好，还是要使用专门的流控设备）

会话管理:对通过防火墙设备会话经行统计、分析、控制等

***功能: IPSEC *** 、SSL ***、PPTP 、L2TP 、GRE等

其他功能: 病毒防护、防护、漏洞扫描、上网行为管理。

防火墙的清除病毒技术

计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒程序的一种逆过程。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应杀毒功能的软件。这类软件技术发展往往是被动的，带有滞后性。而且由于计算机软件所要求的准确性，杀毒软件有其局限性，对有些变种病毒的清除无能为力。目前市场流行的Intel公司的PC_CILLIN、CentralPoint公司的CP***，及我国的LANClear和Kill89等产品均采用上述三种防病毒技术。

NGFW 应该是一个网络安全处理平台，至少应当具备以下几个属性：

（1）标准的代防火墙能力：滤、网络地址转换(NAT)、状态性协议检测、***等等；

（2）集成的而非仅仅共处一个位置的网络检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。集成具有高质量的IPS引擎和特征码；

（3）应用意识和全栈可见性：识别应用和在应用层上执行的***端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策；

（4） 额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。