下一代防火墙，即 Next Generation Firewall，简称 NG Firewall，是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW 能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

Gartner 将网络防火墙定义为在线安全控制措施，即：可实时在各受信级网络间执行网络安全策略。Gartner 使用“下一代防火墙”这一术语来说明升级防火墙的必要性，以应对业务程序使用 IT 的方法以及针对业务系统所发起的攻击方法所发生的改变。

下一代防火墙需具有下列最低属性：

支持在线 BITW（线缆中的块）配置，同时不会干扰网络运行。

可作为网络流量检测与网络安全策略执行的平台，并具有下列最低特性：

1）标准的第一代防火墙功能：具有数据包过滤、网络地址转换（NAT）、协议状态检查以及 VPN 功能等。

2）集成式而非托管式网络入侵防御：支持基于漏洞的签名与基于威胁的签名。IPS 与防火墙间的协作所获得的性能要远高于部件的叠加，如：提供推荐防火墙规则，以阻止持续某一载入 IPS 及有害流量的地址。这就证明，在下一代防火墙中，互相关联作用的是防火墙而非由操作人员在控制台制定与执行各种解决方案。高质量的集成式 IPS 引擎与签名也是下一代防火墙的主要特性。所谓集成可将诸多特性集合在一起，如：根据针对注入恶意软件网站的 IPS 检测向防火墙提供推荐阻止的地址。

3）业务识别与全栈可视性：采用非端口与协议 vs 仅端口、协议与服务的方式，识别应用程序并在应用层执行网络安全策略。范例中包括允许使用 Skype 但禁用 Skype 内部共享或一直阻止 GoToMyPC。

4）超级智能的防火墙: 可收集防火墙外的各类信息，用于改进阻止决策，或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

支持新信息流与新技术的集成路径升级，以应对未来出现的各种威胁。