北京天融信科技有限公司（简称天融信）1995年成立，总部设在北京。作为中国信息安全行业领导企业，二十三年来天融信人凭藉着高度民族使命感和责任感，秉承“融天下英才、筑可信网路”的人才理念，成功打造出中国信息安全产业领先品牌TOPSEC。

从1996年率先推出填补国内空白的自主智慧财产权防火墙产品，到自主研发的可程式ASIC安全晶片，到全球首发新一代可信并行计算安全平台，再到云时代超百G机架式“擎天”安全网关；天融信公司坚持自主创新完成了国内安全产品跟随、跟近甚至超越国际知名产品的过渡。2001年天融信率先推出“TOPSEC”联动协定标準，2005年提出“可信网路架构（TNA）”，2008年提出构建“可信网路世界（TNW）”。无论安全技术还是安全理念，天融信始终引领和见证着中国信息安全产业发展的每一个里程碑。

历经十六年的市场考验与技术积累，天融信目前拥有包括政府、军队、金融、能源、电信、教育等众多行业的数万家客户，同时积极尝试拓展海外市场。公司建立了以北京为中心覆盖全国三十多个省市的支撑服务平台，拥有由近千名信息安全专业研发、技术与服务人员构成的强大服务团队。据权威机构统计，天融信品牌连续多年位居中国信息安全产品市场占有率领先地位。时至今日，公司已经发展成为中国知名的信息安全技术研究、产品开发和安全服务的高科技企业，正在努力向世界级信息安全企业的目标迈进。

天融信将“可信网路安全世界”作为品牌理念，以“可信安全管理(TSM)”为架构核心，携手客户和合作伙伴整合资源，共同创建一个可信的、安全的网路世界。

2012年伊始，NGFW(Next generation firewall)即下一代防火墙已经成为业界的热点声音。云计算、WEB2.0及移动网际网路等一系列新套用技术被广泛使用，Gartner2009年定义NGFW时的认知已经明显不足。NGFW商标持有者，也是中国国内最知名的信息安全品牌TOPSEC(天融信)给出了下一代防火墙必须具备六大特质：基于用户防护、面向套用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。这也补充了Gartner2009年定义NGFW时，对于云计算、web2.0、移动互联等新技术的认知不足。

传统防火墙可以缓解简单的网路攻击，而“新一代”防火墙可以应对企业数据中心的出站漏洞。但只有基于新型数据中心防火墙架构可以在确保基于标準的合规性的同时，通过消除防火墙设备和升级以及最大限度利用其它数据中心资源来显着降低资本支出。这种新型数据中心防火墙架构在网路边界拥有全代理、高连线能力的ADC。

天融信NGFW系列产品基于天融信公司十余年高品质安全产品开发经验结晶的NGTOS系统平台。NGTOS以多核硬体架构为基础，分为系统核心层、硬体抽象层及安全引擎层。在安全引擎层内，根据安全功能模组协定特性的不同，分为数据引擎组与套用引擎组。通过将引擎组与多核硬体架构的完美整合，使NGTOS在系统层面实现了全功能多核并行流处理。而在硬体抽象层则可利用多种加速技术，根据各个核心的实时负载情况，将流量以动态的方式均衡到CPU的各个核心，从而保证了整个CPU效率执行最大化。

TopTurbo数据层高速处理技术是一套用于将数据进行快速转发的综合解决方案。通过与Intel的深入合作，利用TopTurbo技术将数据包高速处理解决方案快速迁移到最新的Intel架构平台上，与Intel多核平台合而为一，以获得最大的网路处理性能。天融信NGTOS系统平台通过在硬体抽象层引入TopTurbo技术使单块安全引擎卡的网路吞吐能力获得了重大突破，而在天融信的并行多级硬体架构下通过部署多安全引擎卡将使NGFW下一代防火墙系列的旗舰机型整机网路吞吐达到320Gbps。

天融信NGFW下一代防火墙产品，採用高度集成的一体化智慧型过滤引擎技术。其能够在一次数据拆包过程中，对数据进行并行深度检测，从而保证了协定深度识别的高效性。另外，天融信NGFW下一代防火墙产品基于八元组高级访问控制设计，除传统的五元组控制以外，实现了用户身份信息、应用程式指纹及内容特徵的识别与控制，充分体现了下一代防火墙“基于用户防护”与“面向套用安全”的设计理念。

传统防火墙策略都是依赖IP或MAC地址来区分数据流，不利于管理也很难完成对网路状况的清晰掌握和精确控制。下一代防火墙则具备用户身份管理系统，实现了分级、分组、许可权、继承关係等功能，充分考虑到各种套用环境下不同的用户需求。此外还集成了安全準入控制功能，支持多种认证协定与认证方式，实现了基于用户的安全防护策略部署与可视化管控。

在套用安全方面，下一代防火墙应该包括“智慧型流检测”和“虚拟化远程接入”两点。一方面可以做到对各种套用的深层次的识别；另外在解决数据安全性问题方面，通过将虚拟化技术与远程接入技术相结合，为远程接入终端提供虚拟套用发布与虚拟桌面功能，使其本地无需执行任何套用系统客户端程式的情况下完成与区域网路伺服器端的数据互动，就可以实现了终端到业务系统的“无痕访问”，进而达到终端与业务分离的目的。

为了突破传统网关设备的性能瓶颈，下一代防火墙可以通过整机的并行多级硬体架构设计，将NSE（网路服务引擎）与SE（安全引擎）独立部署。网路服务引擎完成底层路由/交换转发，并对整机各模组进行管理与状态监控；而安全引擎负责将数据流进行网路层安全处理与套用层安全处理。通过部署多安全引擎与多网路服务引擎的方式来实现整机流量的分散式并行处理与故障切换功能。

下一代防火墙设备自身要有一套完善的业务连续性保障方案。针对这一需求，必须採用多层级冗余化设计。在设计中，通过板卡冗余、模组冗余以及链路冗余来构建底层物理级冗余；使用双作业系统来提供系统级冗余；而採用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级、系统级与方案级共同构成了多层级的冗余化架构体系。

下一代防火墙还要注意“眼球经济”，必须提供丰富的展示方式，从套用和用户视角多层面的将网路套用的状态展现出来，包括对历史的精确还原和对各种数据的智慧型统计分析，使管理者清晰的认知网路运行状态。实施可视化所要达到的效果是，对于管理範围内任意一台主机的网路套用情况及安全事件信息可以进行準确的定位与实时跟蹤；对于全网产生的海量安全事件信息，通过深入的数据挖掘能够形成安全趋势分析，以及各类图形化的统计分析报告。

动态云防护和全网威胁联防是技术融合的典範。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。一方面可以通过“云”来收集安全威胁信息并快速寻找解决方案，及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中，保证用户的安全防护策略得到及时、準确的动态更新；另一方面，通过“云”，使得策略管理体系的安全策略漂移机制能够实现物理网路基于“人”、虚拟计算环境基于“VM”（虚拟机）的安全策略动态部署。