形态的变化

随着云计算、虚拟化的发展，下一代防火墙的形态将逐渐趋软件化，变得软硬不分，硬件只是软件形态的防火墙的宿主而已。下一代防火墙可以灵活的部署在任何地方，比如物理网络边界、虚拟机内部、云的内部/外部，或者作为传感器插放在任何需要流量检测的位置。

功能的变化

内外兼修是基本功---从传统防火墙的部署位置看，位于内外网的边界，一边是外，一边是内。因此，边界防御依然还是永恒的话题。对于外部，主要的需求来自于安全防御，因此ips，waf，抗DOS、DDOS等等依然会有很强的需求；对内，主要的需求是管控，特别是对于流量、言论内容的管控。因此，对外防御，对内管控，这是内外兼修的下一代防火墙，需要做到的基本功。

Web2.0---传统的ips、waf、审计、行为管理、vpn，以及新的功能，会继续不断地增加进来。当然，范围还是会围绕“流量处理”这一特点来叠加。随着功能的叠加，下一代防火墙会采用新的灵活的插件机制，通过授权的方式，灵活的增加功能模块，用户按照授权数付费；基本防火墙的功能，将会以一个很低的基础价格销售，大头还是付费模块，这样也很好的解决了和传统墙的价格纠缠不清的问题。

识别能力的持续加强---下一代防火墙最本质区别就是识别能力，即：对应用的识别，对安全问题的识别，对用户的识别，对业务的识别。要防护应用问题，必须要抛弃传统x元组的粗放式防护，必须要持续的强化识别能力，强化dpi/dfi，并尽可能的利用数学建模、大数据、机器智能等方式，来解决靠人手工去识别协议的原始方式。看不见贼就抓不到贼，这是应用爆炸带来的内在需求动力。

软件化、瘦化---除了强化的识别能力，下一代防火墙更多的向传感器、瘦盒子方向演化。比如，L3、L2功能，在云环境下，可以不需要，仅需要保留对流的识别和控制这个核心功能。不管是什么方式部署，流进来，处理，再决定下一跳的转发，这个基本的模式不会变。随着安全大数据化，不论硬件形式还是软件形式的墙，数量会越来越多，而核心功能收缩为数据识别和处理+日志上报。云端通过成熟的数据处理能力，对各种信息进行加工分析，进行态势感知、关联分析挖掘等功能运算，并将运算形成的结论，以ACL的方式下发给防火墙，形成闭环。在数据搜集方面，墙是最有利的一个位置，因为它量大。另外，随着移动办公的发展，防火墙的物理边界也有着虚拟延伸的需要。