伴隨網(wǎng)絡(luò)攻擊的日漸猖獗，企業(yè)面臨著如何提升自身安全防護(hù)的重要問題，因此部署什么樣的防火墻產(chǎn)品就成為企業(yè)決策者們需要把控的關(guān)鍵。那么對(duì)于傳統(tǒng)防火墻、下一代防火墻來說，企業(yè)該選擇誰(shuí)呢？

　　下一代防火墻與傳統(tǒng)防火墻、UTM的差別

防火墻（Firewall），也稱防護(hù)墻，一般是指一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。設(shè)置防火墻目的是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一通道，簡(jiǎn)化網(wǎng)絡(luò)安全管理，防止不合法的訪問。

傳統(tǒng)防火墻具有數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、協(xié)議狀態(tài)檢查以及VPN功能等功能，但傳統(tǒng)防火墻采用端口和IP協(xié)議進(jìn)行控制的固有缺陷明顯已經(jīng)落伍，對(duì)于利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅，基本無法探測(cè)到。

UTM（統(tǒng)一威脅管理，Unified Threat Management的縮寫）是由傳統(tǒng)的防火墻觀念進(jìn)化而成，它將多種安全功能都整合在單一的產(chǎn)品之上，其中包括了網(wǎng)絡(luò)防火墻，防止網(wǎng)絡(luò)入侵（IDS），防毒網(wǎng)關(guān)（gateway antivirus，AV），反垃圾信件網(wǎng)關(guān)（gateway anti-spam），虛擬私人網(wǎng)絡(luò)（VPN），內(nèi)容過濾（content filtering），負(fù)載平衡，防止資料外泄，以及設(shè)備報(bào)告等。

不過，UTM只是將防火墻、IPS、AV進(jìn)行簡(jiǎn)單的功能堆砌，其致命缺陷就是采用串行掃描方式，包括吞吐量問題。特別是在較大的網(wǎng)絡(luò)中，在功能全部開放時(shí)的處理效率非常低下。

因此，傳統(tǒng)防火墻和UTM在應(yīng)對(duì)網(wǎng)絡(luò)新威脅面前，性能越發(fā)捉襟見肘，無法滿足企業(yè)用戶的安全需求。而在網(wǎng)絡(luò)攻擊多樣化、復(fù)合化趨勢(shì)明顯的今天，NGFW（Next generation firewall）即下一代防火墻應(yīng)運(yùn)而生。

下一代防火墻（Next-Generation Firewall，縮寫為NGFW）是一款可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻。它是一種融合式網(wǎng)絡(luò)設(shè)備平臺(tái)，可將多種安全功能整合其上。除了傳統(tǒng)的防火墻功能之外，還包括線上深度封包檢測(cè)（DPI），入侵預(yù)防系統(tǒng)（IPS），應(yīng)用層偵測(cè)與控制，SSL/SSH檢測(cè)，網(wǎng)站過濾，以及QoS/帶寬管理等功能，使得這個(gè)系統(tǒng)能夠應(yīng)對(duì)復(fù)雜而高級(jí)的網(wǎng)絡(luò)攻擊行為。

NGFW不僅具備傳統(tǒng)防火墻的功能，還具備應(yīng)對(duì)綜合威脅的發(fā)現(xiàn)能力、阻斷能力，而且并不是簡(jiǎn)單的功能堆砌和性能疊加，而是從全局視角，幫助用戶解決網(wǎng)絡(luò)面臨的實(shí)際問題。因此在今天備受重視網(wǎng)絡(luò)安全的企業(yè)關(guān)注。