通信世界网讯(CWW)下一代防火墙自问世以来，即以“边界安全专家-应用层深度防护”的身份示人，从其安全角色定位不难看出，在秉承传统防火墙基础控制的前提下，尤其强调对高层应用安全的深度探查和防护。

这就鲜明地涉及到下一代防火墙中一个非常关键的双层结构：基础访问控制层和高层一体化安全层，且每一层分别对应一个引擎实现，它们是：数通引擎和一体化安全引擎。双引擎高效协作，在保障性能及稳定性的同时提供专业级的应用层安全防护。他们是下一代防火墙中的双引擎，两颗真正强健的“芯”。

本文将就下一代防火墙中的双层结构及其双引擎实现给出一个详细的解释和介绍，从而使读者对如何选择、辨识出具有高性能、高稳定、高安全的下一代防火墙产品做到心中有数。

下一代防火墙的双层结构

任何网络安全设备的安全处理归根到底都是对一个个网络数据包的分析和处理，国际标准化组织将网络数据包划分为七层模型，根据用户安全防护粒度要求的不同，防火墙安全控制和扫描的层数也就不同。

用户熟悉的基于IP地址、安全区、服务类型/端口号的访问控制，就是通过对数据包进行四层以下的解码和过滤来实现的，这部分安全功能是最基础，也是最常用到的防火墙功能，在完全兼容传统防火墙功能特性的下一代防火墙中，这部分安全特性由数通引擎来独立完成。

除了访问控制，数通引擎处理网络基础通信相关的所有工作，包括路由、交换、VLAN、NAT、VPN以及冗余备份等。数通引擎作为安全服务的基础层，保障着用户网络环境的基础安全。

下一代防火墙诞生的背景和使命是识别和防护高层应用安全，也就是四层至七层的内容解码、威胁识别和威胁扫描，如入侵防护、防病毒、URL过滤和内容关键字过滤等。涉及到的攻击类型涵盖木马、蠕虫、SQL注入、DoS攻击、恶意站点访问、文件/邮件病毒、即时通信/论坛不良信息等等。由于高层解码本身的技术难度，再加上攻击类型的复杂多样，必须有别于数通引擎，从整体角度上优化设计出专供保障高层应用安全的安全引擎，即一体化安全引擎。

经过架构优化设计的一体化安全引擎对数据包只需一次解码即可完成四至七层全部安全扫描，从根本上改进了传统UTM设备将各安全模块串行过滤、重复解码的扫描模式，极大的提升了安全性能。专属优化的一体化安全引擎做为安全服务的高层，保障着用户网络环境的应用安全。

单引擎 VS双引擎

无论是作为基础层的数据通信处理，还是高层的安全扫描处理都是任何一款下一代防火墙产品都必须具备的基本功能要素。所不同的是，通过一个大而杂的引擎实现，还是通过两个各司其职，性能卓越的专属引擎经过紧密配合协作实现。按照Gartner定义的线速级实时安全防护设备，下一代防火墙无疑应该是后一种选择。

双引擎设计可以克服诸多单引擎与生俱来无法逾越的缺陷和障碍：

第一、性能问题。

顾名思义，单引擎就是既要完成基础层数通处理，又要完成高层安全处理，并且其先天结构决定了只能串行依次的完成以上任务，又由于安全处理本身的复杂性和耗时性，其会成为整个引擎的性能瓶颈，影响整体性能的提升。