什么是下一代防火墙（NGFW）？

下一代防火墙（NGFW）是一种网络安全设备，它将传统防火墙功能与高级特性相结合，以检测和阻断复杂的网络攻击。

NGFW可以是硬件、软件或基于云的解决方案。它们提供传统防火墙功能，如通过在执行应用、端口和协议级别的安全策略来检测和阻断复杂攻击，还包括以下高级功能：

大多数NGFW至少集成三个基本功能：企业防火墙能力、IPS功能和应用程序控制。

如同传统防火墙中引入状态检测一样，NGFW为防火墙的决策过程带来了额外的上下文。这种上下文使NGFW能够理解通过它们的Web应用流量的详细信息，并采取行动阻止可能利用漏洞的流量。

下一代防火墙特性

NGFW结合了许多传统防火墙的功能——包括数据包过滤、网络地址转换（NAT）和端口地址转换（PAT）、URL阻止和虚拟专用网络（VPN）——以及传统防火墙中没有的服务质量（QoS）功能和其他特性。这些包括入侵防御、SSL和SSH检查、深度包检测、基于信誉的恶意软件检测和应用感知。

这些特定于应用的能力有助于阻止在OSI网络堆栈第4-7层发生的日益增多的应用攻击。

NGFW的不同特性相结合，为用户创造了独特的优势。NGFW通常可以在恶意软件进入网络之前就将其阻止，这是传统防火墙无法做到的。

NGFW也更有能力应对高级持续性威胁（APT），因为它们可以与威胁情报源集成。NGFW为试图使用应用感知、检查服务、保护系统和感知工具来改进基本设备安全性的公司提供了一个低成本的选择。

NGFW并非没有困难。它们可能设置和维护复杂，这可能需要安全团队具备额外的技能和专业知识。它们还可能产生过多的警报，包括误报，这给安全管理员带来了更大的压力。

NGFW需要与其他安全工具集成，这可能会增加复杂性并产生互操作性问题。NGFW还需要集成和持续更新，例如与威胁情报源集成，以应对新的和不断演变的威胁。NGFW的高级特性也可能引入延迟和可扩展性问题。

此外，虽然NGFW提供比传统防火墙更多的保护，但它们通常具有更高的购置、实施和运营成本。

虽然下一代防火墙和传统防火墙都旨在保护组织的网络和数据资产，但它们有几个相似之处和不同之处。

主要相似之处包括静态数据包过滤，以在网络流量接口点阻止数据包。它们还都提供状态数据包检查、网络和端口地址转换，并且都可以建立VPN连接。

防火墙之间最重要的区别之一是，NGFW提供深度包检测，通过检查网络数据包中携带的数据，超越简单的端口和协议检查。其他关键区别是，NGFW增加了应用级检查、入侵防御以及根据威胁情报服务提供的数据采取行动的能力。

NGFW扩展了NAT、PAT和VPN支持的传统防火墙功能，既可以在路由模式（防火墙作为路由器运行）下运行，也可以在透明模式（防火墙在扫描数据包时像线路上的凸起一样运行）下运行，同时还集成了新的威胁管理技术。