什么是下一代防火墙

本文摘要本文作者Alfonso Barreiro将向读者展示下一代防火墙应该具备的功能，以及该如何选择下一代防火墙。

防火墙作为互联网和企业内部网络之间的隔离层，起到了防御互联网攻击的作用。

传统的防火墙一般都是通过指定过滤某种协议或某些端口，以及限制来自或发送到某个IP地址数据流的方式实现安全防护功能。

而如今，很多攻击都是基于Web页面的，它们采用常规的80端口（HTTP）和443端口（HTTPS）进行传播，这使得传统的防火墙很难发现和识别混在正常网页数据流中的恶意程序或攻击信息。

而一个可靠的防火墙，必须能够有效的识别和屏蔽此类攻击威胁。

走近下一代防火墙“下一代防火墙”（缩写NGFW）一般是指带有入侵检测等超出传统防火墙功能的防火墙产品。

这一概念和市场目前还相当新潮，最先推出相应产品的是Palo Alto Networks，它们目前推出了三款符合下一代防火墙概念的产品。

除了防火墙厂商，市场调研机构Gartner 对于这一概念也情有独钟，该机构通过以下标准来衡量防火墙市场的新产品是否可以被称作下一代防火墙：∙标准的防火墙功能，诸如包过滤，网址转换以及VPN。

∙“综合性”的网络入侵预防能力。

∙具有“程序识别”能力，可以识别程序并在应用程进行控制（比如允许Skype呼叫，但是阻止其传送文件）。

∙有能力感知并利用“其它防火墙”的信息来提高防御决策，比如使用信誉服务或活动目录中的身份服务获取额外信息。

需要留意的是，不要因为防火墙厂商使用了“下一代防火墙”这个词语，就认为该厂商推出的产品具备以上全部能力。

每个厂商都在不断的改进自己的产品，同时会在产品中加入厂商自己所特长的功能，从而区别于竞争对手。

另外还有一个容易混淆的概念需要解释一下，就是UTM（统一威胁管理），这是IDC 发明的词汇，用来指超越传统意义防火墙的一类具备多种安全功能的设备。

安全产品厂商可以用UTM或NGFW中的任何一个来描述它所生产的新型防火墙产品，也可以将其划分为不同的产品类型。

话说下一代防火墙（NGFW）的“三个”下一代防火墙"NGFW"一个从产生到日渐成熟仍旧拥有一定热度的词汇，相较于传统的防火墙，NGFW的安全性能有了很大的提升，体现了极强的可视性、融合性、智能化。

本文来和大家说说下一代防火墙的"三个"。

下一代防火墙"NGFW"，一个从产生到日渐成熟仍旧拥有一定热度的词汇，相较于传统的防火墙，NGFW的安全性能有了很大的提升，体现了极强的可视性、融合性、智能化。

本文来和大家说说下一代防火墙的"三个"。

下一代防火墙发展的三个拐点事物的更新迭代是必然的，就像是一个朝代的兴起与衰落，而防火墙性能的提升自然也不会例外，于是下一代防火墙应景而生。

同很多新生事物一样，它也需要慢慢的发展而后变得成熟。

下面我们一起看看它的经历。

拐点一：下一代防火墙的萌动发展随着国外用户对应用的增多、攻击复杂，传统的防火墙已经不能满足人们的需求。

于是美国的PaloAlto公司率先发布了下一代防火墙的产品，并凭借仅有的一条产品线在国外市场获得众多用户的青睐。

2009年，著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义了防火墙，它集成了深度包检测入侵测试、应用识别与精细控制。

这个定义一经发布便受到了国外一些安全厂商的热捧，认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。

拐点二：下一代防火墙热潮汹涌随着国外防火墙的升级发展，国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势，一股下一代防火墙的热潮被掀起。

这其中比较知名的厂商有：梭子鱼、深信服、锐捷、天融信、东软等，各家产品有着各自不同的特点。

总的来说，下一代防火墙相比传统的防火墙功能更加的全面，性能更是强劲。

拐点三：下一代防火墙日渐成熟热潮过后，厂商不断的反思对下一代防火墙进行改进升级。

传统防火墙与下一代防火墙的对比与选择随着网络技术的不断发展，网络安全问题变得日益重要。

防火墙是保护企业网络免受恶意攻击的重要组成部分。

然而，传统防火墙在满足当前网络安全需求方面面临一些限制。

为了应对日益复杂的网络威胁，下一代防火墙应运而生。

本文将对传统防火墙和下一代防火墙进行对比，并讨论在选择防火墙解决方案时应考虑的因素。

一、传统防火墙传统防火墙是一种基于网络地址转换（NAT）和端口过滤的安全设备。

它通过检查数据包的源和目的地址、端口号等信息来控制网络流量。

传统防火墙通常采用规则集来决定允许或拒绝数据包的传输。

然而，传统防火墙存在一些局限性。

首先，传统防火墙缺乏应用层的深度检查能力。

这意味着它无法检测和阻止隐藏在通常端口上的恶意应用。

例如，传统防火墙可能无法识别通过HTTP（端口80）传输的危险文件。

其次，传统防火墙对加密流量的处理相对较弱。

由于无法检查加密数据的内容，传统防火墙无法有效阻止加密流量中的恶意行为。

此外，传统防火墙在处理大量数据流时性能可能会降低。

特别是在面对分布式拒绝服务（DDoS）攻击时，传统防火墙可能无法有效抵御攻击流量。

二、下一代防火墙下一代防火墙是传统防火墙的升级版本，它在保持传统防火墙基本功能的同时引入了一些创新特性。

首先，下一代防火墙具备应用层深度检测能力。

它可以分析通信协议和应用层数据，从而能够更好地识别和阻止隐藏在常见端口上的威胁。

其次，下一代防火墙支持对加密流量的深度检查和解密。

通过使用SSL代理，下一代防火墙可以解密和检查加密流量的内容，从而提高网络安全性。

此外，下一代防火墙还提供了更强大的网络流量分析和监控功能。

它可以对流量进行实时分析，识别并阻止潜在的威胁。

三、选择防火墙解决方案在选择防火墙解决方案时，需要考虑以下因素：1. 安全需求：根据组织的安全需求和威胁情况，评估两种防火墙的功能和性能是否能够满足需求。

2. 预算限制：下一代防火墙通常具有更高的功能和性能，但价格也更高。

下一代防火墙：更高速更智能作者：暂无来源：《计算机世界》 2011年第6期可识别应用的类型，并具有入侵防护和过滤功能，业界正逐渐向这种功能更强大、更智能的新一代防火墙迁移。

清水编译对于通过常用的80端口和443端口来访问的互联网应用来说，基于端口的传统企业防火墙与其说像警卫，还不如说是应用的中转地，传统防火墙此时所起的安全作用正在减弱，它也逐步让位于功能强大的新一代高速智能防火墙（Next-Generation FireWall, NGFW）。

何谓下一代防火墙所谓的下一代防火墙是指：它能够对数据流高效地完成入侵防护，同时还能识别出应用类型，以便根据使用者的身份执行相应的策略。

它还足够聪明，可使用基于互联网的声誉分析等信息帮助过滤恶意软件，或者与活动目录集成。

现在的问题是，我们多久后才能真正实现向下一代防火墙转型？新兴公司Palo Alto Networks被认为是最先打出下一代防火墙旗号的厂商，它早在2007年就推出了可识别应用的多用途安全设备系列，今天已有2200多家客户。

同时，Fortinet、思科、Check Point、McAfee等其他厂商同样一直在扩充或改造防火墙产品，以便其产品符合下一代防火墙的定义。

此外，入侵防护系统（IPS）厂商Sourcefire也表示会在今年推出带IPS 功能的可识别应用的防火墙。

不过，过去几年一直大力倡导新一代防火墙的Gartner认为，虽然厂商们在大力推广下一代防火墙，但目前这种防火墙的实际使用率还是非常低。

Gartner的分析师Greg Young说：“我们认为，如今用新一代防火墙来保护的网络连接还不到1%。

”但他预测，到2014年，这个比例会达到35%。

目前，关于如何定义下一代防火墙并没有定论，也还没有哪个独立的第三方实验室对所谓的下一代防火墙产品进行过测试，其困难就在于给下一代防火墙下一个明确、清晰的定义并不容易。

即使对这种设备有自己定义的Gartner也承认“定义很混乱，一些厂商推出的这种设备具有应用控制功能，而另一些厂商在IPS方面比较先进。

传统防火墙vs下一代防火墙选择哪种更适合你的网络随着互联网的快速发展，网络安全已经成为现代企业和个人必须面对的重要问题。

在网络安全中，防火墙是一种关键的安全设备，用于保护网络免受来自外部网络的威胁和攻击。

近些年来，传统防火墙逐渐被下一代防火墙所取代，因为后者能够提供更全面的网络安全保护。

本文将探讨传统防火墙和下一代防火墙的区别，并分析选择哪种更适合你的网络。

一、传统防火墙简介传统防火墙是早期用于网络安全的设备，其主要功能是通过检查网络流量并根据预设规则来允许或阻止特定类型的流量通过。

传统防火墙通常基于网络层（第三层）和传输层（第四层）的信息来识别和过滤流量。

它使用基于端口、IP地址和协议的规则来控制流量。

然而，传统防火墙在深度检查和应用层数据保护方面存在一些局限性。

二、下一代防火墙的特点与传统防火墙相比，下一代防火墙具有更多的功能和特点。

下一代防火墙不仅具备传统防火墙的功能，而且能够进行应用层的深度检查，以便更好地识别和防御网络威胁。

下一代防火墙能够检测和阻止恶意软件、漏洞利用、应用层攻击等高级威胁。

三、传统防火墙与下一代防火墙的区别1. 安全性能：传统防火墙主要关注网络层和传输层，而下一代防火墙能够提供更全面的应用层安全保护。

下一代防火墙利用深度包检查（DPI）和行为分析等技术，能够检测和阻止未知的威胁。

2. 可视化和报告功能：下一代防火墙具备更强大的可视化和报告功能，能够提供更详细和全面的网络流量分析和审计记录，帮助管理员更好地了解网络状态和威胁。

3. 应用控制：传统防火墙仅能根据端口和协议来识别和控制流量，而下一代防火墙能够进行应用层的识别和控制，实现对特定应用程序的细粒度控制和管理。

4. 云端保护：下一代防火墙能够与云端安全服务集成，实现对远程用户、分支机构以及云应用的安全保护，为企业网络提供更强大的安全防护能力。

四、选择适合你网络的防火墙在选择传统防火墙还是下一代防火墙时，需要考虑以下几个因素：1. 安全需求：如果你对网络安全的要求比较基础，主要关注防止传统威胁和攻击，那么传统防火墙可能可以满足你的需求。

下一代防火墙使用手册第一章：引言随着信息技术的迅猛发展，网络安全问题日益凸显，网络攻击事件层出不穷，为保护企业网络的安全，下一代防火墙成为不可或缺的一环。

本手册旨在帮助用户了解和使用下一代防火墙，提高网络安全防护能力。

第二章：下一代防火墙概述2.1 下一代防火墙的定义下一代防火墙是一种集成了传统防火墙、入侵检测系统、应用程序控制和其他安全功能于一体的网络安全设备。

它可以实现对网络流量、应用程序和用户行为的深度检测和防护。

2.2 下一代防火墙的特点（1）应用层识别：能够识别和控制各种应用程序的访问行为。

（2）多维度防护：结合网络安全、应用层安全、行为安全等多个维度进行综合防护。

（3）威胁情报整合：集成威胁情报，实时更新恶意软件和攻击信息。

2.3 下一代防火墙的优势（1）提供深度安全：能够深入识别和阻断各种网络威胁和攻击。

（2）有效管理应用程序：灵活控制和管理各类网络应用程序的访问和使用。

（3）提升网络性能：能够快速有效地过滤和处理大量网络流量。

第三章：下一代防火墙的部署与配置3.1 部署架构根据网络规模和需求确定下一代防火墙的部署位置，一般可以部署在边界网关、数据中心、分支机构等位置，构建多层次、多维度的网络安全防护体系。

3.2 设备连接连接下一代防火墙的各个接口，包括内部网络、外部网络、DMZ等，配置接口地址及路由信息。

3.3 安全策略配置根据实际需求，配置安全策略，包括访问控制、应用程序控制、反病毒、反垃圾邮件等安全功能。

3.4 VPN 配置如需部署 VPN 服务，配置 VPN 策略、隧道和用户认证等参数。

第四章：下一代防火墙的管理与维护4.1 系统管理对下一代防火墙进行管理和维护，包括设备初始化、软件升级、日志备份、系统监控等功能。

4.2 安全管理监测和分析安全事件，对发现的攻击威胁进行处置和应对。

4.3 策略优化定期对安全策略进行调整和优化，提升防护能力，保障网络安全。

第五章：应急响应与排查5.1 安全事件响应在发生安全事件时，迅速进行安全事件的诊断、核实和处置，减少安全事件造成的损失。

什么是下一代防火墙？有人说，下一代防火墙是个噱头;有人说，下一代防火墙是加强版UTM;还有人说，下一代防火墙是传统防火墙整合入侵防御IPS的产物。

这些说法都暴露出一个共同的问题，那就是没有真的了解什么是下一代防火墙。

下一代防火墙应根据用户需求定义如果传统防火墙拥有了“支持联动的集成化IPS”、“应用管控与可视化”以及“智能化联动”相关特性就是下一代防火墙吗?显然不是。

在“云计算”、“WEB2.0”及“移动互联”等一系列新应用技术日新月异的今天，仅仅单纯从功能，或者是性能方面，改善传统防火墙技术缺陷，补充传统防火墙不足的角度去定义下一代防火墙产品显得过于片面。

下一代防火墙也并不是简单的功能堆砌和性能叠加，下一代防火墙应该站上更高的山峰，以全局的视角，从解决用户网络面临的实际问题出发来定义才更为妥当。

而且可以肯定的是，在未来，下一代防火墙还会有“下一代”，那将是性能更强，功能更加贴合网络环境与用户需求的产品，“下一代”也将会无穷尽也。

所以我们不该把目光放到一个名字上，而是真正去关心一下，下一代防火墙所能解决的问题。

那么什么防火墙才可以真正称为下一代防火墙呢?我们可以从用户网络环境变化和需求的角度出发，用实实在在的六大特质来诠释，即：基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。

这六大特质，显然靠噱头、靠加强UTM、靠整合IPS是得不来的。

可以说，只有具备这六大特质，才让下一代防火墙产品更加“有血有肉”，真实而生动了起来，才是从底层核心到架构平台再到操作系统全面塑造的全新产品，才可以让用户更加真实的了解下一代防火墙所要解决的是哪些问题。

所以，我们说下一代防火墙就好比是武林中身怀绝技的高手，表面看似平常，实则内力浑厚。

目前国内推出下一代防火墙的厂商寥寥无几。

毕竟，下一代防火墙产品是在全面了解用户需求的情况下，重新开发的满足当前网络应用环境的高性能防火墙产品，是与传统防火墙应用有所区别的，既要有强大的技术研发实力做后盾，又要足够了解用户应用环境的变迁，而且还要拥有强大的产品服务团队，在后期的服务上能为用户提供更细致的帮助。

下一代防火墙同传统防火墙、UTM的区别当前各种网络威胁层出不穷，企业的网络安全重要性日益凸显，抛开传统的IP、端口，并基于应用层进行重构安全的下一代防火墙，已成为企业网络安全防护的新选择。

下面是店铺跟大家分享的是下一代防火墙同传统防火墙、UTM的区别，欢迎大家来阅读学习。

下一代防火墙同传统防火墙、UTM的区别工具/原料下一代防火墙传统防火墙下一代防火墙是什么?1从最早的包过滤防火墙至今，防火墙已经历了5代的演进，每一个时代的进化都向防火墙注入新的技术和活力。

而随着网络活动的急剧增加并日趋复杂，网络攻击也呈现出多样化、复合化的趋势。

传统防火墙和UTM在应对网络新威胁面前，性能越发捉襟见肘，无法满足企业用户的安全需求。

同传统防火墙、UTM的区别同传统防火墙、UTM的区别从前面了解到，为顺应安全新形势，下一代防火墙必须能够针对应用、用户、终端及内容进行高精度管控，具备一体化引擎并实现多安全模块智能数据联动，可扩展外部的安全智能并提供高处理性能，帮助用户安全地开展业务并简化用户的网络安全架构。

那么下一代防火墙同传统的防火墙以及UTM又有哪些区别呢?2传统防火墙弱在哪儿?传统防火墙具有数据包过滤、网络地址转换(NAT)、协议状态检查以及功能等功能。

相对而言，下一代防火墙的检测则更加精细化。

不仅如此，传统防火墙采用端口和IP协议进行控制的固有缺陷明显已经落伍，对于利用僵尸网络作为传输方法的威胁，基本无法探测到。

3同时，由于采用的是基于服务的架构与Web2.0使用的普及，更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行，这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。

深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查，但却不能有效的识别与阻止应用程序的滥用，更不用说对于应用程序中的具体特性的保护了。