防火墻作為互聯網和企業內部網絡之間的隔離層，起到了防御互聯網攻擊的作用。傳統的防火墻一般都是通過指定過濾某種協議或某些端口，以及限制來自或發送到某個IP地址數據流的方式實現安全防護功能。而如今，很多攻擊都是基于Web頁面的，它們采用常規的80端口（HTTP）和443端口（HTTPS）進行傳播，這使得傳統的防火墻很難發現和識別混在正常網頁數據流中的惡意程序或攻擊信息。而一個可靠的防火墻，必須能夠有效的識別和屏蔽此類攻擊威脅。

走近下一代防火墻

“下一代防火墻”（縮寫NGFW）一般是指帶有入侵檢測等超出傳統防火墻功能的防火墻產品。這一概念和市場目前還相當新潮，最先推出相應產品的是Palo Alto Networks，它們目前推出了三款符合下一代防火墻概念的產品。除了防火墻廠商，市場調研機構Gartner對于這一概念也情有獨鐘，該機構通過以下標準來衡量防火墻市場的新產品是否可以被稱作下一代防火墻：

標準的防火墻功能，諸如包過濾，網址轉換以及VPN。

“綜合性”的網絡入侵預防能力。

具有“程序識別”能力，可以識別程序并在應用程進行控制（比如允許Skype呼叫，但是阻止其傳送文件）。

有能力感知并利用“其它防火墻”的信息來提高防御決策，比如使用信譽服務或活動目錄中的身份服務獲取額外信息。

需要留意的是，不要因為防火墻廠商使用了“下一代防火墻”這個詞語，就認為該廠商推出的產品具備以上全部能力。每個廠商都在不斷的改進自己的產品，同時會在產品中加入廠商自己所特長的功能，從而區別于競爭對手。

另外還有一個容易混淆的概念需要解釋一下，就是UTM（統一威脅管理），這是IDC發明的詞匯，用來指超越傳統意義防火墻的一類具備多種安全功能的設備。安全產品廠商可以用UTM或NGFW中的任何一個來描述它所生產的新型防火墻產品，也可以將其劃分為不同的產品類型。最常見的劃分方式是使用UTM 代指針對中小型企業的產品，使用NGFW描述針對大型企業的防火墻產品。由于市場和產品都在不斷升級變化中，因此未來很可能其中某個詞匯甚至這兩個詞匯都消失不見。因此我們在選擇產品的時候，應該關注于產品的功能和性能，而不是看被廠家冠以了UTM或NGFW這樣的頭銜。

評估NGFW時要考慮的要點

不論是UTM還是NGFW，它們都是復雜的產品，而且由于缺乏統一的行業標準，因此很難對不同廠家的此類產品進行橫向對比。要判斷某個產品的功能是否能夠幫助你，你必須深刻了解企業的需求，并進行大量的測試：

架構：下一代防火墻設備應該將各種安全功能融入一個獨立的架構中，以證明其是真正意義的集成，而不是簡單的將多個安全設備塞進一個防火墻外殼里。缺乏集成性能也許表示該產品的安全性能不夠令人滿意（比如由于數據在不同功能模塊間傳遞導致的數據包檢測速度降低）。

吞吐量性能：所有的附加安全功能、檢測功能無疑都會在一定程度上降低數據流的速度。因此，要確保當所有安全功能都開啟后，設備的數據吞吐量仍然能夠達到企業的要求。另外，在測試過程中，還要考慮到防火墻所采用的策略或規則數量，因為這些因素同樣會對防火墻處理速度有影響。

使用便利性：選擇下一代防火墻的一個重要原因是企業管理人員希望能夠簡化多種安全設備維護和管理所帶來的不便。因此，下一代防火墻應該具有直觀的管理界面，簡單的規則或策略制定流程。而一些集成度不夠好的產品，在不同的安全功能設置界面上，會出現很明顯的差異。

和其他安全產品一樣，下一代防火墻也不是網絡安全的萬靈藥。部署下一代防火墻也需要大量的工作，并需要不斷的維護。不過一旦成功部署NGFW，確實可以有效的減輕管理員的工作壓力，并提升應對新型網絡攻擊的防護效果。