随着信息技术的发展、企业信息化的普及、电子政务的优化,使得企事业单位都迈入了互联网技术的时代快车,充分利用信息技术、计算机技术、网络技术来提升单位的生产、工作效率。但也带来了网络性能下降、网络利用率低下、网络病毒流行等问题。对企事业单位而言,识别并控制网络应用无论是对提高单位的管理水平还是对保障单位信息系统的正常高效运行都至关重要。以传统防火墙为代表的应用识别控制系统基于数据包五元组进行安全检测,这种仅依靠判断IP地址和端口的方法早已无法识别具体的应用类型,更难以对同一应用软件进行细粒度的功能识别和控制,已经无法满足当前的网络管理和安全防护需求。本文重点研究下一代防火墙的关键技术,其中着重研究了DPI和网络应用识别控制这两类在下一代防火墙中起重要作用的核心技术。网络应用识别控制系统将作为DPI应用识别技术的实现平台,可以准确识别网络中各类应用协议,并对相应的网络协议实现精细控制,同时该系统可以进行模块扩展。本课题旨在为企业用户解决如何控制员工有效上网保证网络安全的问题提供了一种有效的技术手段,在寻求系统安全与使用便捷的契合点方面作出了积极的探索。本课题对防火墙技术和网络访问控制现状和发展趋势进行研究,通过对市场上常见的防火墙系统产品进行了对比与研究,提出“基于下一代防火墙技术的网络应用识别控制系统”的设计目标和功能需求,对系统的整体架构和工作流程进行设计,并简要介绍了系统开发的关键技术以及方案实施条件。具体地,本文完成的的主要工作如下：1、分析比较传统的防火墙的关键技术及其面临的挑战,指出下一代防火墙必须具备的新特性及关键技术。2、基于下一代防火墙的特性,提出利用DPI技术识别网络应用并对应用进行细粒度控制的方案。3、研究并设计应用识别和控制的系统架构。该系统能够精确识别网络应用,对不同的应用制定控制策略。