天融信下一代防火墻本身可以提供完整的訪問控制功能，可以自由地采用路由、透明及混合等多種方式集成到客戶網絡環境中，并通過與天融信的其他安全產品相配合，為客戶網絡提供強大的安全保護功能。

同時，客戶還可以通過網絡管理平臺（如SNMP管理器或日志服務器）對天融信下一代防火墻的運行狀況進行查詢、監控和日志分析。另外，天融信下一代防火墻還提供了與其他廠家VPN產品建立IPSec VPN靜態隧道，極大加強了網絡安全性能。

天融信下一代防火墻具有如下基本功能：

l支持透明、路由和混合三種工作模式。

l支持基于對象的網絡訪問控制，包括網絡層、應用層等多層次的訪問控制；支持URL過濾、關鍵字過濾、郵件過濾，支持入侵防御和防病毒過濾。

l支持多種網絡地址轉換（NAT）方式。

l支持多種認證方式，如密碼認證、證書認證，并且支持本地認證，以及第三方Radius、TACACS和LDAP等認證服務器認證。

l支持標準IPSec VPN。

l能夠自防御Land、Smurf、TearOfDrop、SynFlood、Targa3和IPSweep等攻擊，具有抗DoS/DDoS攻擊功能。

l支持與天融信下一代防火墻雙機熱備。

l支持IPX、NETBEUI、VOD、H.323v1/v2、SSH等協議。

l支持DHCP，包括DHCP Server、DHCP Client以及DHCP Relay。

l支持接口聯動和聚合接口。

l支持智能DNS和服務器負載均衡。

天融信下一代防火墻具有如下特點：

l采用多接口設計，具有良好的網絡應用可擴展性。

l高效的訪問控制。天融信下一代防火墻采用核檢測技術，應用深度過濾策略在系統內核實現應用層深度過濾，可對網絡流量進行細粒度控制。

l靈活的管理。實現了TOPSEC防火墻管理協議，管理員可以使用SSH、TELNET登錄天融信下一代防火墻，實現類似交換機設備的中央管理。

l高性能的應用層威脅分析能力。系統核心層實現應用層內容的還原、安全檢測，深入洞察網絡流量，實現高性能的TOPSEC內容安全協議，保證網絡安全可靠。

l強大的可視化功能。采用多維度實時圖表展示產品運行狀態、網絡流量組成、應用構成、IPSec流量、安全威脅等統計信息，并提供分析報表，讓用戶全方位感知網絡運行狀況。

l系統升級與容錯。天融信下一代防火墻可以通過命令行和WebUI方式進行系統升級，同時天融信下一代防火墻采用雙系統設計，在主系統發生故障時，用戶可以在啟動時選擇BACKUP方式，用備份系統引導系統。

防火墻的作用是控制外部的非信任網絡（如Internet）對內部信任網絡的訪問、內部網絡中不同區域之間的相互訪問、以及內網網絡訪問外部非信任網絡，為網絡構建全面的安全保護屏障。天融信下一代防火墻所使用的NGTOS操作系統平臺是基于模塊設計的高穩定性操作系統，通過調用防火墻模塊、深度過濾模塊、乃至VPN模塊、DDoS防御模塊、入侵防御模塊、防病毒模塊等一系列功能模塊，防火墻可深度控制穿越安全設備的數據流。

調用各個功能模塊后，天融信下一代防火墻處理數據包的基本過程如下圖所示。

1）接收處理

防火墻接收到數據報文后進行解析，如果為分片數據報文，且防火墻的分片重組功能開啟，則重組數據報文，并區分出報文類型（本地報文、廣播報文、二層透明轉發報文、路由轉發報文）。如果接收的數據包為IPSec協議保護的報文，則還需進行IPSec解密。

2）會話查詢

對于一個新接收的報文，防火墻將根據五元組查詢會話表，判斷該報文是否屬于某個已經存在的會話。如果存在，直接轉至3）處理。如果不存在，則說明此報文屬于一個新的會話，防火墻將調用DDoS防御模塊檢測報文是否合法，如果報文合法，則在會話表中創建一條新的會話記錄。

3）DNAT規則匹配

如果數據報文滿足DNAT（目標地址轉換）規則條件，天融信下一代防火墻則將報文的目的IP地址（或端口），轉換為規則中預先設置的IP地址或端口（真實的IP地址或端口）；否則，不進行地址轉換。4）路由查詢

報文類型為路由轉發報文時才進行路由查詢。如果是新建連接，則查找路由表，并記錄查詢結果在會話表中；如果不是新建連接，則僅僅檢查路由年齡是否變化（即路由是否發生變化），有變化時才查路由，重新確定下一跳。數據包如果經過了地址轉換操作，防火墻將根據轉換后的地址查詢路由表。5）IPSec策略匹配

根據報文的源IP地址與目的IP地址匹配IPSec VPN策略中所保護隧道子網，如果匹配成功，則記錄信息，在防火墻發送數據報文之前，根據相應IPSec VPN策略加密數據報文。6）訪問控制策略匹配

訪問控制規則描述了防火墻能否允許符合相關條件的報文通過。防火墻接收到報文后，將按策略的編號順序逐條匹配訪問規則表中所設定規則，一旦尋找到完全匹配的規則，則按照該策略所規定的操作（允許或丟棄）處理該報文。7）SNAT規則匹配

如果數據報文滿足SNAT（源地址轉換）規則條件，將接收的報文的源IP地址（或端口）轉換為規則中預先設定的IP地址（或端口）；否則，不進行地址轉換。

8）發送前處理

對于發送IPSec VPN報文，系統將對其進行加密。IPSec VPN加密后的報文目的地址有可能改變，此時，重新查詢路由表，確定發送數據報文的下一跳，然后根據下一跳將數據報文轉發出去。對于非VPN報文，則直接根據路由查詢階段查詢到的下一跳轉發報文。

天融信下一代防火墻可以在三種模式下工作：透明模式、路由模式以及混合模式。

l路由模式

在這種模式下，天融信下一代防火墻具備路由器轉發數據包的功能，將接收到的數據包的源MAC地址替換為相應接口的MAC地址，然后轉發。該模式適用于每個區域都不在同一個網段的情況。和路由器一樣，天融信下一代防火墻的每個接口均要根據區域規劃配置IP地址。

l透明模式

在這種模式下，天融信下一代防火墻的所有接口均作為交換接口工作。也就是說，對于同一VLAN的數據包在轉發時不作任何改動，包括IP和MAC地址，直接把包轉發出去。同時，天融信下一代防火墻可以在設置了IP的VLAN之間進行路由轉發。

l混合模式

顧名思義，這種模式是前兩種模式的混合。也就是說某些區域（接口）工作在透明模式下，而其他的區域（接口）工作在路由模式下。該模式適用于較復雜的網絡環境。如下圖所示，feth1接口為路由接口，配置了IP 200.96.10.69，feth2和feth3為交換接口，feth1屬于Internet區域，feth2屬于Intranet區域；feth3屬于SSN區域。