在IT行業中，很多時候那些被進一步提升到網絡堆棧的防御被認為是最好的防御。至少，這是一些銷售商和分析專家們對下一代網絡防火墻的預測。

“防火墻是網絡安全基礎設施的一部分，負責監控進出網絡的每一個框架。它是對這些網絡應用提供可視性和可控性的完美的地方。”Dave Stevens――位于加利福尼亞卡里夫的Palo Alto Networks公司CEO說。

Gartner的分析師Greg Young說：“供應商越來越多地轉向整合IPS(入侵預防系統)和防火墻，但目前真正綜合的，功能完整的產品還是供應不求。”他以其所在公司的研究成果為例，表明威脅已經變得更加復雜，而且正逐漸轉向網絡堆棧的更高層。這迫使防火墻超越僅提供狀態協議分析的階段，進而具備日益豐富的管理和配置工具。

Forrester Research的分析員Robert Whiteley先生也認為，在未來，防火墻將更加緊密地集成所有的網絡安全功能。他說：“我們已經看到了融合防火墻、VPN、IPS、反惡意程序和內容過濾的UTM產品――我認為，思科（Cisco）公司的ASA和Juniper公司的SSG就是不錯的例子。不過，這些都不是真正的一體化”。

當網絡應用攻擊防火墻時，及時地掃描相關的網絡應用的能力將至關重要，Whiteley繼續說：“一旦認為傳統的防火墻可以將網絡保護周全，那么這個機構的安全體系就會出現漏洞。我們看到諸如Web 2.0、Web服務、SOA以及軟件與服務等這些趨勢正在極大地改變公司的應用架構。這也意味著，更具有關鍵使命的數據流正使用著標準的網絡端口。XML、Java、Flash及其他許多新的網絡協議將使用新的、創新性的應用類型，但這也帶來了數目不詳的弱點。公司將不得不將注意力轉移到應用層的保護，以阻止演變得日益復雜和具有針對性的程序開發帶來的對網絡安全的威脅。這對新一代的防火墻技術是至關重要地，因為它可以提供更好的可見性，以便更好地處理當今的威脅。”

但是，只有在不犧牲防火墻的反應時間和吞吐量的條件下，把所有這些技術集成到防火墻中才有可能獲得市場上的成功，分析專家說。為此，Check Point Software Technologies公司一直專注于防火墻性能的表現。“我們正在調整我們的開放性能表現架構，使得性能不單單反映防火墻的運行速度，而且要能夠衡量當防火墻開啟了網絡入侵防護功能以及其他安全保護措施并實時保護網絡時的運行速度。”該公司的產品營銷經理Bill Jensen說。

今天的企業用戶安裝一些為了逃避遺產網絡防火墻偵查而設計出的個人或商用的應用程序。于是就要有一種新的方案來滿足現代企業公司的需要，此方案要能夠利用網絡防火墻的應用程序控制，IP信譽(IP reputation)技術和網關反病毒過濾等特性，Palo Alto Networks公司官方人員說。

“現代應用程序，正開始采用一種通信模式，通過由一個端口到另一個端口的跳躍或隧道加密鏈接或僅偽裝成80端口等方式相當有效地繞過現有的安全基礎設施。結果，企業已大幅度的失去對這些連接的控制，而且在某些商業活動中產生了信息泄漏等問題。為了幫助企業解決這一局面，Palo Alto Networks公司已在其最近發布了防火墻裝置PA-4000 Series。因為加入了申請分類技術，所以可識別穿越端口的應用信息流。

如果有必要識別應用，我們還可以打開SSL鏈接。此外，PA-4000裝置進行深度包檢測，應用過濾器并執行基于應用的對策。例如，一個組織可能選擇允許基于Web的郵件，但又掃描傳送文件是否含有病毒”Stemvens說。

思科(Cisco)與Ironport的合并已經完成，思科官員表示，他們會考慮將Ironport的IP信譽技術植入防火墻。武裝上了Ironport的SenderBase網站的信譽數據，思科公司的防火墻將可以知道它所連接的服務器的信譽。“這樣的防火墻將在2008年上半年首次發布。它將允許你為這些連接提供可見性。這樣你可以看到你的網絡中有多少客戶在連接那些被稱為botnet控制節點的服務器。用戶將能夠阻止、扼殺或拒絕那些可疑的連接。”位于加利福尼亞州的San Jose的Cisco"s IronPort事業部的副營銷主管Tom Gillis如是說。

阻止連接是信譽技術最明顯一個用處，Gillis說。但他也說，他預見到此技術將被用于傳送攻擊防火墻的信息。舉例來說，如果內容是來自一個被認為是“流氓”的服務器，信息流則可以被阻隔；如果服務器看作是無可指摘的，那么信息流會被發送繞過垃圾郵件掃描引擎。來自服務器的不能確定好壞的信息量，可以被傳送經過幾個不同的基于簽名的掃描引擎。

“通過適當的基于連接服務器信譽的掃描檢測，未來的防火墻將會有能力傳輸信息流。”Gillis說，“防火墻是有效的信息警察”。