现在的病毒很少会对系统造成可见的明显危害，能够给电脑带来严重破坏的病毒数量已经大幅度下降。绝大多数安全威胁以经济利益为目的，经济犯罪正逐步成为黑客行动的主要驱动力，病毒的危害性因此更加严重。用户在“中招”之后，不会感到有明显的异常现象，电脑上网等正常工作也不会受到影响，但用户的经济利益在无形中已经遭受巨大损失。另外，为了躲避杀毒软件的查杀，病毒和木马通常都会藏匿于用户的二进制文件中，甚至为了增加查杀难度，还会藏匿于压缩文件中。文件下载在当今的网络时代是司空见惯的，从正常升级到免费游戏。综上所述，随着攻防对抗的升级，黑客带来的安全威胁更加深藏不露，新的安全威胁正逐步成为黑客的常用手段。

    面对新的威胁，传统安全网关已无能为力。随着互联网的安全威胁正逐渐从简单的网络层向应用层和文件层转变，传统的防火墙功能已经不能满足当下应用安全的需求。传统防火墙关注的是网络层的安全威胁，对于报文载荷内的用户数据往往是“睁眼瞎”，更谈不上去作安全控制。而UTM（统一威胁管理）的发展，能够帮助安全网关将重点偏向应用安全，例如对藏匿于应用的病毒、木马进行检测，对破坏应用的攻击代码进行检测。但是，UTM的发展理念是在安全网关上堆砌各种各样的安全模块，这种堆砌行为将会为安全网关带来两个严重的副作用：

    第一，随着安全模块的逐一开启，安全网关将会丧失原来高效的转发能力，逐渐成为网络转发瓶颈。最后的结果就是，用户终于忍受不了蜗牛式的上网冲浪体验而关闭这些安全模块。第二，UTM诸多的安全模块堆砌在一起，对网络管理员来说是一种灾难——多余的配置、相斥的配置、陷阱重重。

    从安全控制能力来看，UTM真正深入文件内容进行安全控制的能力还远远不够。UTM的文件层安全视角目前仍然只有部分协议如HTTP、邮件等。对于其他HTTPS、P2P、IM、网络游戏、网络视频以及用户业务系统等大多数应用来说，UTM想要做到文件层的安全控制还鞭长莫及。

    当各种各样的应用充满网络的时候，网络管理员需要知道这些应用是什么，是否合法，是否过多占用带宽而影响其他应用。所以，应用迫切需要可视化。对于这个需求，传统安全网关同样表现出无能为力。众所周知，防火墙的核心安全控制原理是检测并屏蔽非法流量，对于合法流量往往“视而不见”。因此，传统防火墙很难满足应用可视化需求。加之Web 2.0 应用为恶意软件提供了广阔的“合法流量”通道：谁都可以做网上作家，随时可以发表文章，个个都可能成为恶意软件的始作俑者。

    随着用户接入方式的多样化，同一个员工既可能通过PC在办公室上网，也可能在会议室用手提电脑通过无线接入，还可能在家里或出差外地时通过远程接入。对于这样的用户来说，基于IP地址的安全管理方式明显不能胜任，必须通过用户角色管理，赋予每个用户一个不受物理位置限制的“特征”，然后基于该“特征”进行安全管理。

    传统安全网关通过对安全域的划分，把物理网络分割成几个部分，使每个部分有不同的安全属性，在各个安全域下就以IP或网段为管理对象。具体来说，就是采用策略或ACL（访问控制列表），根据数据流里下层属性来决定是否允许数据流通过。一般安全策略依据的属性包括源地址、源端口、目的地址、目的端口、协议号或应用类型。所以，对于基于角色的安全管理需求来说，传统安全网关远远不能满足。

    因此，我们需要下一代防火墙。著名咨询公司Gartner认为，下一代防火墙必须具备应用程序流量识别能力，可以提供比传统安全网关更好的可视化能力。如此一来，面对许多新形态的攻击如僵尸网络等，才能及时防御。同时，下一代防火墙必须整合更多的安全特性，这些安全模块不是简单的堆砌而是融合，需做到开启后对网络性能的影响最小。此外，下一代防火墙能够支持虚拟化和“云”，且具备定制化功能，以应对未来新的安全威胁。