Next Generation Firewall（NGFW）是传统状态防火墙和统一威胁管理（UTM）设备的下一代产品。它不仅包含传统防火墙的全部功能（基础包过滤、状态检测、NAT、VPN等）还集成了应用和用户的识别和控制、入侵防御（IPS）等更高级的安全能力。相对于UTM设备，NGFW则拥有更快处理效率和更强的外部拓展、联动能力。

　　Gartner把NGFW看做不同信任级别的网络之间的一个线速（wire-speed）实时防护设备，能够对流量执行深度检测，并阻断攻击。Gartner认为，NGFW必须具备以下能力：

　　NGFW是新环境下传统防火墙的替代产品，必须前向兼容传统防火墙的基本功能，包括包过滤、协议状态检测、NAT、VPN等。

　　具备应用感知能力，并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段，是NGFW引进的最重要的能力。传统的状态检测防火墙工作在二到四层，不会对报文的载荷进行检查。NGFW能对七层检测，可以清楚地呈现网络中的具体业务，并实行管控。

　　NGFW要支持IPS功能，且实现与防火墙功能的深度融合，实现1+12的效果。Gartner特别强调IPS与防火墙的“集成”而不仅仅是“联动”。例如，防火墙应根据IPS检测到的恶意流量自动更新下发安全策略，而不需要管理员的介入。换言之，集成IPS的防火墙将更加智能。Gartner发现，NGFW产品和独立IPS产品的市场正在融合，尤其是在企业边界的部署场景下，NGFW正在吸收独立IPS产品的市场。

　　防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等，帮助改进和优化安全策略。例如，通过集成用户认证系统，实现基于用户的安全策略，以应对移动办公场景下，IP地址变化带来的管控难题。

　　随后的状态检测防火墙（也称为传统防火墙）集成了TCP/UDP和应用状态的检测能力，实现了L3-L4层的防护。它引入了策略的概念，把处理的目标从包转向了流，从而拥有更高的处理效率。

　　2004年出现了将传统防火墙、内容安全（防病毒、IPS和URL过滤等）和VPN等功能集合到一起的UTM设备。每个模块独立运行，每次检测都需要重新拆包检查，检测效率并没有得到提升。但是UTM的出现在一定程度上简化了安全产品部署的难度，比较适合小中型企业。

　　由于WEB应用越来越多，应用和端口、协议之间的关系也越来越复杂。同样是使用HTTP协议，有人可能在查学习资料，有人可能在玩游戏。所以光靠“五元组”来标识流量的传统防火墙已经无法看清网络中的流量了。此时，拥有应用识别技术的NGFW应运而生，它可以区分流量对应的应用，即使这些应用出使了同一种协议、端口。而且NGFW将IPS、病毒防护等多种安全业务与防火墙业务深度集成，并行处理，解决了UTM设备需要逐个模块处理报文，性能低下的问题。不过，大部分情况下，UTM和NGFW不包含Web应用防火墙（WAF）的能力。

　　随着移动化、社交化、云和大数据的发展，ICT网络环境被再次重塑。NGFW必须满足以下条件，才能应对当前严苛的网络安全环境。

　　既然是实时防护设备，NGFW的性能始终是用户选购的第一考量要素。华为NGFW依赖于先进的一体化智能感知引擎对报文内容进行集成化处理，一次检测提取的数据满足所有内容安全特性的处理需求，检测性能高。

　　基于流的完整检测和实时监控，支持免缓存技术，仅用少量系统资源就可以实时检测分片报文和分组报文中的应用、入侵行为和病毒文件。

　　支持从路由转发、配置管理、安全业务三方面进行全面的虚拟化。可以将单台NGFW虚拟成多个独立的虚拟防火墙提供给云计算和数据中心的租户使用。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　俄军使用1.5吨温压弹轰炸，7000乌军遭难，2700°高温残酷焚烧？

　　中国经济报导：英国奢侈品牌博柏利（Burberry）股价跌至14年新低

　　与中坚力量共成长，2024建信信托艺术大奖评委会特别奖获奖艺术家凌海鹏

　　联想拯救者Y9000P《黑神线日发售：A面印有紧箍咒Logo、性能调优

　　99元30W快充！京东京造10000mAh自带线充电宝上市：支持华为、苹果

　　小米MIX Flip发布澎湃OS 1.0.11.0升级：优化外屏微信、抖音适配效果

　　小米 MIX Flip 小折叠手机获推澎湃 HyperOS 1.0.11.0 更新龙8头号玩家