下一代防火墙是什么？和传统防火墙什么区别？

下一代防火墙除去传统防火墙具有的包过滤、网络地址转换、状态检测和VPN技术等以外，还具有很多弥补传统防火墙缺陷的技术优势。

一是多模块功能的集成联动，如入侵防御系统（IPS）、病毒检测系统、VPN、网络应用防护系统（WAF）等，改变了传统防护设备叠加部署、串糖葫芦式的部署模式，节约成本、消除网络瓶颈和单点故障，数据包单次解析多核并行处理提高检测速度，多模块联动提高响应速度，日志整合提高检测效率。

二是网络二至七层的全栈检测能力，克服传统防火墙包过滤基于IP和端口检测的局限性，可以具体应用为粒度设置过滤及安全策略，辅助用户管理应用。

三是数据包深度检测，通过对数据包进行深层次的协议解码、内容解析、模式匹配等操作，实现对数据包内容的完全解析，查找相对应的内容安全策略进行匹配。下一代防火墙通过HTTPS的代理功能，实现对SSL加密的数据进行解密分析，可以检测邮件中的非法信息。

四是可视化配置界面，结合先进的技术和理念，设备配置可视简化，功能完善，使技术人员精力从复杂的配置命令中解放出来，更多关注配置规则的现实意义。通过可视化报表不仅能够全面呈现用户和业务的安全现状，还能帮助用户快速定位安全问题。

Next Generation Firewall（NGFW）是传统防火墙设备的下一代产品，它不仅包含传统防火墙的全部功能（基础包过滤、状态检测、NAT、VPN等）还集成了应用和用户的识别和控制、入侵防御（IPS）等更高级的安全能力。相对于传统防火墙，拥有更快处理效率和更强的外部拓展、联动能力
1. 传统的防火墙功能
NGFW是新环境下传统防火墙的替代产品，必须前向兼容传统防火墙的基本功能，包括包过滤、协议状态检测、NAT、VPN等
2. 应用识别与应用控制技术
具备应用感知能力，并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段，是NGFW引进的最重要的能力。传统的状态检测防火墙工作在二到四层，不会对报文的载荷进行检查。NGFW能对七层检测，可以清楚地呈现网络中的具体业务，并实行管控
3. IPS与防火墙深度集成
NGFW要支持IPS功能，且实现与防火墙功能的深度融合，实现1+1>2的效果。Gartner特别强调IPS与防火墙的“集成”而不仅仅是“联动”。例如，防火墙应根据IPS检测到的恶意流量自动更新下发安全策略，而不需要管理员的介入。换言之，集成IPS的防火墙将更加智能。Gartner发现，NGFW产品和独立IPS产品的市场正在融合，尤其是在企业边界的部署场景下，NGFW正在吸收独立IPS产品的市场
4. 利用防火墙以外的信息，增强管控能力
防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等，帮助改进和优化安全策略。例如，通过集成用户认证系统，实现基于用户的安全策略，以应对移动办公场景下，IP地址变化带来的管控难题。

包过滤防火墙、状态检测防火墙、UTM设备、NGFW发展史：

1. 早期的包过滤防火墙仅实现访问控制就可以满足初期网络隔离的诉求。

2. 随后的状态检测防火墙（也称为传统防火墙）集成了TCP/UDP和应用状态的检测能力，实现了L3-L4层的防护。它引入了策略的概念，把处理的目标从包转向了流，从而拥有更高的处理效率。

3. 2004年出现了将传统防火墙、内容安全（防病毒、IPS和URL过滤等）和VPN等功能集合到一起的UTM设备。每个模块独立运行，每次检测都需要重新拆包检查，检测效率并没有得到提升。但是UTM的出现在一定程度上简化了安全产品部署的难度，比较适合小中型企业。

4.由于WEB应用越来越多，应用和端口、协议之间的关系也越来越复杂。同样是使用HTTP协议，有人可能在查学习资料，有人可能在玩游戏。所以光靠“五元组”来标识流量的传统防火墙已经无法看清网络中的流量了。此时，拥有应用识别技术的NGFW应运而生，它可以区分流量对应的应用，即使这些应用出使了同一种协议、端口。而且NGFW将IPS、病毒防护等多种安全业务与防火墙业务深度集成，并行处理，解决了UTM设备需要逐个模块处理报文，性能低下的问题。不过，大部分情况下，UTM和NGFW不包含Web应用防火墙（WAF）的能力。

下一代防火墙并不是终结，网络发展日新月异，新技术、新需求不断涌现，比如：
1. 加密流量暴涨，一味提升处理性能并不能解决问题。
2. DGA恶意域名、C&C流量等等各种新型攻击手段层出不穷，呈现出立体化、快速变种的趋势。
3. 海量的攻击事件也使安全运维分析工作日益繁重。

从传统防火墙到NGFW经历的是网络攻击从网络层走向应用层的过程。在大数据和人工智能时代，NGFW必须向平台化和智能化不断演进。如2018年，华为提出了AI防火墙的概念，基于AI能力实现高级威胁防护。借助大数据安全平台的能力，持续提升自动化处置和知识协同的能力。