什么是下一代防火墙(NGFW)？

下一代防火墙(NGFW)是一种结合传统防火墙功能与高级特性的网络安全设备，能够检测和阻断复杂的网络攻击。NGFW可以是硬件、软件或基于云的解决方案。

下一代防火墙功能

NGFW结合了传统防火墙的多种能力，包括：

• 数据包过滤
• 网络地址转换(NAT)和端口地址转换(PAT)
• URL阻止
• 虚拟专用网络(VPN)

同时增加了传统防火墙不具备的功能：

• 服务质量(QoS)功能
• 入侵防御
• SSL和SSH检查
• 深度包检测
• 基于信誉的恶意软件检测
• 应用感知

这些特定于应用程序的功能有助于阻止在OSI网络堆栈第4-7层发生的日益增多的应用程序攻击。

下一代防火墙的优势

NGFW的不同功能相结合为用户创造了独特优势：

• 能在恶意软件进入网络前进行阻止
• 更好地应对高级持续性威胁(APT)
• 可与威胁情报源集成
• 为企业提供低成本的基础设备安全改进方案

下一代防火墙的挑战

NGFW也存在一些困难：

• 设置和维护复杂，需要安全团队具备额外技能
• 可能产生过多警报（包括误报），增加安全管理员压力
• 需要与其他安全工具集成，可能增加复杂性并产生互操作性问题
• 需要持续更新（如威胁情报源）以应对新威胁
• 高级功能可能引入延迟和可扩展性问题
• 采购、实施和运营成本通常高于传统防火墙

下一代防火墙与传统防火墙对比

相似之处：

• 静态包过滤
• 状态包检查
• 网络和端口地址转换
• VPN连接设置

关键差异：

• NGFW提供深度包检测，超越简单的端口和协议检查
• NGFW增加应用级检查、入侵防御功能
• 能够根据威胁情报服务提供的数据采取行动
• NGFW扩展了传统防火墙的NAT、PAT和VPN支持功能
• 可在路由模式和透明模式下运行
• 集成新的威胁管理技术