什么是下一代防火墙

下一代防火墙，即Next Generation Firewall，简称NG Firewall或NGFW。NGFW可以全面应对应用层威胁，通过深入分析网络流量中的使用者、应用和内容，借助全新的高效能单路径异构并行处理引擎，NGFW能够为使用者提供有效的应用层一体化安全防护，帮助使用者安全地开展业务并简化使用者的网络安全架构。

NGFW与传统FW的区别

应用程序感知NGFW与传统防火墙最大的不同是：下一代防火墙可以感知应用程序。传统防火墙依赖常见的应用程序埠，用以决定正在执行的应用程序以及攻击型别。而NGFW并不认为特定的程式必须执行在特定的埠上，防火墙必须能够在第二层到第七层上监视通讯，并且决定传送和接收哪类资讯。

最常见的例子是当前对HTTP和80号埠的使用。传统上，这个埠用于HTTP的通讯，但如今情况不同了，有大量不同的应用程序都使用这个埠在终端装置和中央服务器之间传送通讯。常见埠用于不同型别的通讯的方法有很多，最常见的方法之一就是隧道技术。借助于隧道技术，通讯在传统的HTTP资料字段内部建立隧道，并在目的节点解开封装。从传统防火墙的观点看，这看起来就是最简单的HTTP WEB通讯，但对于下一代防火墙来说，真正的目的在其到达目的节点之前，就在防火墙上被发现了。如果这种通讯是由下一代防火墙策略所允许的，就放行，否则防火墙将阻止通讯。

身份感知NGFW与传统防火墙之间的另一个很大不同点是，后者能够跟踪本地通讯装置和使用者的身份，它一般使用的是现有的企业认证系统，如活动目录、轻量目录访问协议等。资讯保安人员通过这种方法，不仅能够控制允许进出网络的通讯型别，还可以控制哪个特定使用者可以传送和接收资料。

状态检测虽然从状态检测的一般定义上来看，下一代防火墙并无不同，但它不是仅跟踪第二层到第四层的通讯状态，而是要能够跟踪第二层到第七层的通讯状态。这种不同可以使安全人员实施更多控制，而且可以使管理员能够制定更精细的策略。

整合IPS入侵防御系统（IPS）能够根据几种不同的技术来检测攻击，其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通讯行为的分析等。

在部署了传统防火墙的环境中，入侵检测系统或入侵防御系统是经常部署的装置。通常，这种装置的部署是通过独立的装置部署的，或者通过一个装置内部在逻辑上独立的装置来部署的。但是在NGFW中，入侵防御或入侵检测装置应当完全地整合。入侵防御系统本身的功能，与其在独立部署时并无不同，NGFW中此功能的主要不同在于效能，以及通讯的所有层如何实现对资讯的访问。

IPS应用安全防护体系不完善，对WEB攻击防护效果不佳。

NGFW解决IPS对应用层攻击防护不足，以及应用层攻击漏判、误判的问题。

桥接和路由模式桥接或路由模式虽不是全新的特征，但NGFW的这种功能仍然很重要。在当今的网络中，通常部署很多的防火墙，但其中多数并未NGFW。为了更容易地过渡到NGFW，NGFW必须能够以桥接模式（也称为透明模式）连线，装置本身并不显示为路由路径的一部分，对任何一家特定的企业来说，在合适的时间，NGFW应逐渐替换传统防火墙，从而使用路由模式。