下一代防火墙(NGFW):从定义到功能
1. NGFW 概念解析
下一代防火墙(NGFW) 是传统防火墙升级的核心产品,融合了包过滤、状态检测、NAT、VPN 等功能,并在此基础上,加入了更智能的深度防护能力。Gartner 在 2007 年提出该概念,并在 2009 发布正式定义。
2. 与传统防火墙、UTM 的差异
传统防火墙 仅停留在网络层/传输层的报文过滤,主要针对 IP/端口;
UTM 集成了防病毒、IPS、URL 过滤等,但检测效率较低;
NGFW 则具备统一引擎,一次解包并行检测,性能更优。
3. 典型功能模块一览
| 功能 | 功能说明 |
|---|---|
| 深度包检测(DPI) | 检查 TCP/IP 包的内容,识别隐蔽威胁 |
| 应用识别与控制 | 精准识别业务应用,支持应用级策略 |
| IPS 集成 | 与防火墙融合,提高防御效率 |
| SSL/TLS 解密检查 | 解密加密流量,防止被加密的攻击绕过防护 |
| 威胁情报和用户识别 | 基于用户/威胁源增强访问控制策略 |
| 高性能并行处理 | 一次解包多模块并行检测,效率高 |
| 多场景支持(VPN、QoS、DLP) | 满足边界防护、分支隔离、数据中心、零信任等多场景 |
4. 小结与建议
为什么需要 NGFW? 应对现代复杂攻击(如应用层、加密流量、APT),传统防火墙已无法胜任。
部署建议:可部署在网络边界、数据中心、分支机构,亦可用于零信任架构之中。