摘要：在设备迁移时，用户需要重新梳理访问控制策略的制定，NGFW摒弃了传统安全设备的“数字语言”，将以“谁能干嘛”一种自然语言的方式进行，更加直观可视。

第1页:NGFW摒弃传统安全设备的“数字语言” 第2页:NGFW摒弃传统安全设备的“数字语言”

　　深信服认为下一代防火墙是：面向应用层设计的，能够识别用户、应用和内容，具备完整的安全防护能力的高性能下一代防火墙。它可以做到：

　　智能识别与控制：能够基于应用、用户进行识别和安全策略的制定，确保企业的信息安全访问控制要求得到有效执行；

　　应用内容防护：能够针对网络流量的应用内容进行安全检查，确保企业网络流量的纯净，防止各种安全威胁针对终端、服务器的恶意破坏、数据窃取等非法行为。

　　应用层高性能：能够通过单次解析架构，提供万兆级应用层安全防护能力，在确保网络安全的同时，不让网络出现性能瓶颈。

　　下一代防火墙之所以要具备上述特点，主要是因为当前网络的三方面变化：

　　1、 基于端口的安全策略将会失效。越来越多的应用趋向于更加少数的端口上来运行，而且部分应用的端口也是动态变化的，通过端口的控制我们将无法区分应用和用户的操作权限。因此，传统基于IP和端口的访问控制已经无法满足内外网的安全策略制定。

　　我们需要通过NGFW在应用层执行网络安全策略，控制应用动作，而不是简单的放行或者阻断某种应用。

　　2、 威胁来自应用层。由于黑客攻击的目的在变化，转向了获取利益，因此黑客的攻击手段也在发生变化，更多的威胁依附在应用之中传播肆虐。根据Gartner报告：75%的攻击来自应用层。因此，我们需要NGFW深度到数据包的应用内容进行安全分析和过滤。

　　3、 应用层安全设备成为性能瓶颈。对面传统防火墙有这么多缺陷，那可不可以部署一台IPS,或者其他安全设备，甚至用UTM来替代？事实上，"打补丁"虽然可以暂时弥补一些缺陷，但所做的毕竟是"修修补补",补丁中间还会出现新的缝隙，是不可能从根本上解决问题的。比如，目前的IPS和UTM在开启DPI技术后，性能大多在千兆左右，与目前万兆级网络相差甚远。我们往往会看到，用户为了部署IPS和UTM,而不得不将数据中心骨干从万兆降级到千兆。