下一代防火墙 什么是下一代防火墙 (NGFW)?
下一代防火墙 (NGFW) 会允许或阻止网络之间的通信流量。下一代防火墙为传统数据包过滤网络防火墙功能添加了应用级数据包检查和入侵防御等高级功能。
目录
阅读时长:4 分 47 秒 | 发布日期:2026 年 3 月 27 日
下一代防火墙资源的释义
下一代防火墙有时也用 next gen firewall、nextgen firewall 或 nexgen firewall 这三个英文名称。网络防火墙会分析网络之间的通信流量,根据相对于通信流量特征而明确确定的防火墙策略来允许或拒绝通信流量通过。下一代防火墙会吸收来自其他系统的信息并检查通信流量的更多特征,从而在比传统防火墙更高阶的传输控制协议/互联网协议 (TCP/IP) 通信层强制实施防火墙策略。下一代防火墙利用的其他信息和更深层次的检查让其能够识别及预防攻击。
下一代防火墙有哪些功能?
与传统或旧式网络防火墙相比,下一代防火墙拥有更多精密功能。几个常见的下一代防火墙功能如下:
- 深度包检测 - 网络防火墙会检查四个 TCP/IP 通信层(从最高到最低)内的数据:应用、传输、IP/网络和硬件/数据链路。下一代防火墙会检查更高阶 TCIP/IP 通信层上的通信流量,包括应用层。这样可以为下一代防火墙提供应用感知功能,例如,与传输以及接收通信流量的具体应用相关的背景,以及可用于比较传输模式的预期用户和应用行为基准。
- 入侵侦测和入侵预防 - 检查更高阶 TCIP/IP 层上的通信流量可增强下一代防火墙检测和预防网络攻击的能力。下一代防火墙会根据特定行为特征或异常来监控是否存在潜在的恶意活动,然后阻止来自网络的可疑通信流量。这些功能被称为入侵侦测服务 (IDS) 和入侵预防服务 (IPS)。
- 分布式拒绝服务保护 - 拒绝服务 (DoS) 攻击是一种恶意行为,用非法请求来故意淹没服务以关闭服务,导致服务无法响应客户的合理请求。分布式 DoS (DDoS) 攻击会使用多部计算机来生成洪水般的非法请求。下一代防火墙是状态防火墙,因此较之传统防火墙,能够更好地检测和预防此类攻击。有状态可让防火墙参考已建立连接的特征来检查连接请求的更多特征,这样有助于检测非法请求,即便这些请求采用了不同形式或来自不同计算机。
下一代防火墙有哪些优势?
下一代防火墙具有诸多优势,具体如下:
- 对网络攻击的防范能力增强 - 与传统防火墙相比,下一代防火墙能够更全面地检查并分析通信流量,因此能够检测和预防的网络攻击类型比传统防火墙多得多。例如,下一代防火墙能够检测攻击网络的恶意通信流量,隔离或阻止通信流量以预防入侵。
- 支持满足合规监管要求 - 下一代防火墙可阻止未授权用户访问网络内的敏感资源,这对于数据隐私与保护法规而言是一项重要要求,例如美国的《健康保险流通与责任法案》(HIPAA)以及欧盟的《通用数据保护条例》(GDPR)。
- 简化网络架构 - 下一代防火墙除了提供基本防火墙功能,还提供高级威胁保护。将多个装置和设备的功能整合到单一平台,有助于降低网络基础设施的复杂性。
下一代防火墙与统一威胁管理有什么区别?
统一威胁管理 (UTM) 由多项安全服务构成,如恶意软件(防病毒、网络钓鱼、木马、间谍软件等)检测和缓解,以及 Web 内容过滤(限制用户访问特定类型的内容或网站)。下一代防火墙将 UTM 服务与防火墙功能相结合,通过单一平台提供全面的保护。
下一代防火墙如何发挥作用
下一代防火墙提供经过增强的防火墙数据检查和策略强制实施功能,此外,还提供 IDS/IPS、防病毒和内容过滤等其他安全服务。
最好的下一代防火墙是什么?
下一代防火墙会保护组织,使其免受泄露和网络威胁的困扰。因此,有必要确认下一代防火墙能够实现其所宣传的功能。最出色的下一代防火墙已经过严格测试,通过了 ICSA Labs 等值得信赖的独立技术产品保障测试机构的认证。证实了负责测试的实验室在评估产品性能时遵循的是客观的测试标准。
评估解决方案时,需要考虑到最出色的下一代防火墙可能来自更广层面的解决方案。例如,HPE Aruba Networking EdgeConnect SD-WAN 平台将先进的 SD-WAN 功能与基于身份和角色的流量分段相结合,强制使用内置的下一代防火墙(包括 IDS/IPS 和其他安全功能)执行。HPE Aruba Networking 也是率先取得 ICSA Labs Secure SD-WAN 认证的 SD-WAN 供应商,其内置下一代防火墙和高级安全功能得到了认可。
下一代防火墙与传统防火墙的比较
混合云与多云对比。
| 功能 | 传统防火墙 | 下一代防火墙 | 下一代防火墙的优势 |
|---|---|---|---|
| 检查 | 无状态 | 有状态 | 参考已建立的连接阻止偏离预期标准的通信流量 |
| 可见性 | 初级,只有较低 TCP/IP 层 | 深入,包括所有 TCP/IP 层 | 对通信流量进行更加精细化和更为强大的分析 |
| 服务 | 基础 | 全面 | 包括防病毒、内容过滤、IDS/IPS、日志记录等 UTM 服务以及数据包过滤 |
| 保护 | 有限 | 增强 | 识别、预防及报告更多种类的攻击 |
下一代防火墙常见问题
下一代防火墙具有哪些功能?
下一代防火墙提供基于身份、上下文感知的安全策略,以保护现代混合网络免受高级威胁。这些防火墙借助应用感知、深度包检测、入侵防御系统 (IPS)、SSL/TLS 检测和威胁情报等功能,扩展了传统防火墙的功能。
下一代防火墙如何发挥作用?
下一代防火墙的工作原理是深入检查流量,而非像传统防火墙那样仅仅按端口或协议进行检查。这些下一代防火墙能够识别应用和用户、检查数据包内容、强制执行基于上下文的策略,并利用内置的入侵防御机制和实时威胁情报来阻止攻击。
下一代防火墙有哪些用例?
下一代防火墙的最常见用例包括:通过在入口点阻止威胁来保护网络边界;利用应用感知控制来保护边缘位置和远程用户;以及通过内部网络分段和东西向流量检查来保护数据中心。
什么是数据包过滤?下一代防火墙如何使用它?
数据包过滤是传统防火墙使用的一种基本安全方法,通过检查数据包头(例如 IP 地址、端口和协议)来允许或阻止网络流量。下一代防火墙首先采用数据包过滤技术,并在此基础上通过状态检测与深度包检测进行增强,从而分析数据包内容、识别应用程序并检测安全威胁。
下一代防火墙和混合网状防火墙有什么区别?
下一代防火墙 (NGFW) 是一种独立的安全执行点,部署在特定位置(例如网络边界、数据中心或分支机构),以保护该特定环境。相比之下,混合网状防火墙是一种架构平台,该平台跨本地站点、云环境和远程用户将多个 NGFW 统一到单个集中管理的安全网状架构中,实现跨多云和混合环境的一致性部署、可见性和控制。
我该如何选择下一代防火墙供应商?
在选择下一代防火墙 (NGFW) 供应商时,应优先考虑那些能够提供强大安全保障和高路由性能的平台,以确保保护措施不会导致延迟。要寻找具有简单的集中式管理系统、内置的大规模高可用性以及各种高级功能(如深度检测、入侵防御系统和加密流量可见性),并可在分支机构、数据中心和云环境中灵活部署的解决方案。