為了保護某一區(qū)域，人們往往在區(qū)域的四周建起圍墻，以阻隔危險的靠近，現(xiàn)實世界如此，虛擬的網(wǎng)絡世界也不例外，無論是以公司為單位的企業(yè)用戶還是個人用戶，作為互聯(lián)網(wǎng)上的一分子，都有可能受到來自外部的安全威脅，于是，防火墻產(chǎn)品便應運而生了。

有了它，就相當于在計算機與網(wǎng)絡之間建起了一道屏障，它對流經(jīng)它的網(wǎng)絡通信數(shù)據(jù)進行掃描，從而過濾掉一些攻擊。當然，與現(xiàn)實世界的實體墻易攻難守相比，網(wǎng)絡世界里的防火墻功能更加多樣而豐富，除了網(wǎng)羅不安全因素之外，它還能夠做到關閉不使用的端口，以及禁止特定端口的流出通信，封鎖特洛伊木馬。而且通過禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

傳統(tǒng)防火墻已經(jīng)無法滿足新的安全需求

道高一尺，魔高一丈

但是隨著安全形勢的變化，傳統(tǒng)的安全防護正在失效，如今最流行的安全產(chǎn)品是狀態(tài)檢測防火墻、入侵檢測系統(tǒng)和基于主機的防病毒軟件。但是它們面對新一代安全威脅的作用越來越小。狀態(tài)檢測防火墻是通過跟蹤會話的發(fā)起和狀態(tài)來工作的。狀態(tài)檢測防火墻通過檢查數(shù)據(jù)包頭，分析和監(jiān)視網(wǎng)絡層(L3)和協(xié)議層(L4)，基于一套用戶自定義的防火墻策略來允許、拒絕或轉發(fā)網(wǎng)絡流量。傳統(tǒng)防火墻的問題在于黑客已經(jīng)研究出大量的方法來繞過防火墻策略。

網(wǎng)絡防火墻在安全防護中起到重要作用，但是也應該看到它的不足之處。如今，知識淵博的黑客，均能利用網(wǎng)絡防火墻開放的端口，巧妙躲過網(wǎng)絡防火墻的監(jiān)測，直接針對目標應用程序。他們想出復雜的攻擊方法，能夠繞過傳統(tǒng)網(wǎng)絡防火墻。傳統(tǒng)的網(wǎng)絡防火墻，存在著以下不足之處：1、無法檢測加密的Web流量;2、普通應用程序加密后，也能輕易躲過防火墻的檢測;3、對于Web應用程序，防范能力不足;4、應用防護特性，只適用于簡單情況;5、無法擴展帶深度檢測功能。

應用層受到攻擊的概率越來越大，而傳統(tǒng)網(wǎng)絡防火墻在這方面有存在著不足之處。對此，少數(shù)防火墻供應商也開始意識到應用層的威脅，在防火墻產(chǎn)品上增加了一些彈性概念的特征，試圖防范這些威脅。傳統(tǒng)的網(wǎng)絡防火墻對于應用安全的防范上效果不佳。

邪不壓正

黑客很囂張，但安全專家也不是用來做擺設的，面對網(wǎng)絡的高速發(fā)展、應用的不斷增多，防火墻的概念也被重新演義，下一代防火墻(Next-Generation Firewall，以下簡稱NGFW)應運而生。如同這個速食社會任何新出現(xiàn)的名詞一樣，雖然NGFW的概念已經(jīng)熱火朝天，但卻很難確定一個統(tǒng)一的標準，而業(yè)內(nèi)普遍認同的關于NGFW的定義，則來自Gartner于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文檔。

在文中，Gartner將網(wǎng)絡防火墻定義為在不同信任級別的網(wǎng)絡之間實時執(zhí)行網(wǎng)絡安全政策的聯(lián)機控制。Gartner使用“下一代防火墻”這個術語來說明防火墻在應對業(yè)務流程使用IT的方式和威脅試圖入侵業(yè)務系統(tǒng)的方式發(fā)生變化時應采取的必要的演進。

那么，如何界定是否屬于下一代防火墻呢?它應該具備下列最低屬性：支持在線BITW(線纜中的塊)配置，同時不會干擾網(wǎng)絡運行;可作為網(wǎng)絡流量檢測與網(wǎng)絡安全策略執(zhí)行的平臺，并具有下列最低特性：

1)標準的第一代防火墻功能;

2)集成式而非托管式網(wǎng)絡入侵防御;

3)業(yè)務識別與全?？梢曅?

4)超級智能的防火墻。

隨著帶寬需求的增加以及成功的攻擊使企業(yè)有了更新防火墻的需求，下一代防火墻的概念也從虛無飄渺落到了具體產(chǎn)品上面，雖然在剛開始的時候，存在著概念先行，產(chǎn)品滯后的問題，但經(jīng)過一段時間的發(fā)展，現(xiàn)在已經(jīng)有眾多廠商涉足這一領域，像SonicWALL、Check Point、Palo Alto、梭子魚與深信服科技等廠商都先后發(fā)布了各自的NGFW產(chǎn)品，據(jù)估計，到2014年底下一個防火墻更新周期，60%新購買的防火墻將是NGFW。