下一代防火墙属于第三代防火墙技术，旨在通过智能的上下文感知安全功能解决应用程序级别的高级安全威胁。NGFW将包过滤和状态检查等传统防火墙功能与其他功能相结合，以更好地决定允许哪些流量。

下一代防火墙能够根据应用程序过滤数据包并检查数据包中包含的数据（而不仅仅是它们的IP标头）。换句话说，它在OSI模型中最高运行在第7层（应用层），而以前的防火墙技术只运行在第4层（传输层）。发生在OSI模型第4-7层的攻击正在增加，这使其成为一项重要的能力。

什么是下一代防火墙功能？

下一代防火墙规范因提供商而异，但它们通常包括以下功能的某种组合：

除了这些基本功能之外，下一代防火墙可能还包括其他功能，例如防病毒和恶意软件保护。它们还可以实现为防火墙即服务(FWaaS)，这是一种基于云的服务，可提供可扩展性和更易于维护。使用FWaaS，防火墙软件由服务提供商维护，资源自动扩展以满足处理需求。这将企业IT团队从处理补丁、升级和调整大小的负担中解放出来。

与传统防火墙相比，下一代防火墙提供了更好、更强大的安全性。传统防火墙的功能有限：它们可能能够阻止通过特定端口的流量，但不能应用特定于应用程序的规则、防止恶意软件或检测和阻止异常行为。因此，攻击者可以通过非标准端口进入来逃避检测，这是下一代防火墙会阻止的。由于其上下文感知特性和从外部威胁情报网络接收更新的能力，下一代防火墙能够防御范围广泛且不断变化的高级威胁，甚至可以使用智能自动化来保持安全策略迄今为止，无需繁忙的IT人员干预。

此外，下一代防火墙提供了简化的安全基础设施，更易于维护、更新和控制，成本更低。他们将多个安全功能组合到一个解决方案中，并通过单个报告系统报告事件。维护许多不同的安全产品的替代方案给IT员工带来了额外的负担，并增加了安全漏洞的可能性。

下一代防火墙与传统防火墙

传统防火墙依靠端口/协议检查和阻止来保护数据链路和传输层（OSI模型的第2层和第4层）的企业网络。这种静态方法在过去很有效，当时IT环境不像现在那么动态，并且可以通过端口识别应用程序。但随着虚拟化网络的日益复杂和更高级的安全威胁，这已经不够了。下一代防火墙更智能：它们可以基于应用程序（OSI模型的第7层）甚至基于行为过滤数据包，从而进行比传统防火墙使用的通用方法更有效的细粒度区分。他们还参考外部数据来识别威胁。这种动态，

为什么需要下一代防火墙？

有针对性和复杂的安全威胁对内部网络造成的破坏比以往任何时候都大。传统的防火墙技术严重依赖端口/协议检查，这在动态分配地址和端口的虚拟化环境中是无效的。相比之下，下一代防火墙使用深度包过滤来检查包的内容，提供第7层应用程序过滤，甚至可以监控和阻止可疑活动。这些功能是确保复杂、动态环境中的安全性所必需的。

防火墙有哪五种类型？