什么是下一代防火墙（NGFW）？

下一代防火墙（NGFW）是一种网络安全设备，它结合了传统防火墙的功能与高级特性，用于检测和阻止复杂的网络攻击。NGFW可以是硬件、软件或基于云的解决方案。它们提供传统防火墙的功能，例如在应用、端口和协议级别执行安全策略以检测和阻止复杂攻击，同时还具备以下高级功能：

• 应用感知
• 集成入侵防御系统（IPS）
• 身份感知——支持用户和组控制
• 桥接和路由模式
• 能够使用外部情报源
• 高级威胁修复

大多数NGFW至少集成三个基本功能：企业防火墙能力、IPS功能和应用控制。与传统防火墙引入状态检测类似，NGFW为防火墙的决策过程带来了额外的上下文。这种上下文使NGFW能够理解通过它们的Web应用流量的细节，并采取行动阻止可能利用漏洞的流量。

下一代防火墙的特性

NGFW结合了许多传统防火墙的功能——包括包过滤、网络地址转换（NAT）和端口地址转换（PAT）、URL阻止和虚拟专用网络（VPN）——以及服务质量（QoS）功能和其他传统防火墙不具备的特性。这些包括入侵防御、SSL和SSH检查、深度包检测、基于信誉的恶意软件检测和应用感知。这些特定于应用的能力有助于阻止在OSI网络堆栈第4-7层发生的日益增多的应用攻击。

下一代防火墙的优势

NGFW的不同特性结合起来为用户创造了独特的优势。NGFW通常可以在恶意软件进入网络之前阻止它，这是传统防火墙无法做到的。NGFW还更好地应对高级持续性威胁（APT），因为它们可以与威胁情报源集成。NGFW为试图通过应用感知、检查服务、保护系统和感知工具改进基本设备安全的公司提供了一个低成本的选择。

下一代防火墙的挑战

NGFW并非没有困难。它们可能设置和维护复杂，可能需要安全团队具备额外的技能和专业知识。它们还可能产生过多的警报，包括误报，这增加了安全管理员的工作压力。NGFW需要与其他安全工具集成，这可能会增加复杂性并产生互操作性问题。NGFW还需要集成和持续更新，例如与威胁情报源集成，以应对新的和不断演变的威胁。NGFW的高级特性还可能引入延迟和可扩展性问题。此外，虽然NGFW提供比传统防火墙更多的保护，但它们通常具有更高的采购、实施和运营成本。

下一代防火墙与传统防火墙的比较

虽然下一代防火墙和传统防火墙都旨在保护组织的网络和数据资产，但它们有一些相似之处和不同之处。主要相似之处包括静态包过滤以在网络流量接口点阻止数据包。它们还都提供状态包检查、网络和端口地址转换，并且都可以设置VPN连接。防火墙之间最重要的区别之一是NGFW提供深度包检查，通过检查网络数据包中携带的数据，超越了简单的端口和协议检查。其他关键区别是NGFW增加了应用级检查、入侵防御以及根据威胁情报服务提供的数据采取行动的能力。NGFW扩展了传统防火墙的NAT、PAT和VPN支持功能，以在路由模式（防火墙充当路由器）和透明模式（防火墙在扫描数据包时像线缆上的凸起一样工作）下运行，同时集成新的威胁管理技术。