防火墙必须演进么?

　　下一代的防火墙，这一概念必将为广大用户所接受并传播!

　　——摘自IT168

　　随着互联网的发展，网络安全威胁也在不断发生变化。传统基于网络层的安全威胁已经转变为以应用层攻击行为为主的安全威胁。

　　——摘自赛迪网

　　对于通过常用的80端口和443端口来访问的互联网应用来说，基于端口的传统企业防火墙与其说像警卫，还不如说是应用的中转地，传统防火墙此时所起的安全作用正在减弱，它也逐步让位于功能强大的新一代高速智能防火墙。

　　——摘自网络世界

　　目前，防火墙仍是很多企业最重要的安全设备之一。但随着新型威胁造成的危害日益严重，传统防火墙越来越力不从心，下一代防火墙顺势而来。

　　——摘自TechTarget中国

　　显然，和其他网络设备一样，防火墙必须随需而变，升级到下一代防火墙，才能在变革的大潮中焕发新的生命力。

　　——摘自IT专家网

　　什么是NGFW?

　　下一代防火墙不但要能够检测并拦截复杂攻击，还要在应用层(包括端口和协议)执行细化安全策略，具备出色的可视化性能和控制能力，可以及时查看网络中应用程序和用户的相关信息以及整个企业网络的流量内容，并进行相应的控制。

　　——摘自IT专家网

　　传统防火墙能够很好地防范网络层攻击。但是，随着富媒体应用的爆炸性增长，以及Web 2.0应用快速向业务环境渗透，隐藏在应用层中的恶意威胁越来越多，用户要求下一代防火墙必须能够检测出隐藏在应用层数据流中的攻击。

　　——摘自比特网

　　是否能在性能和效率之间找到完美的平衡点，也成为衡量下一代防火墙产品的重要标志。

　　——摘自计世网

　　NGAF VS UTM?

　　不可否认，UTM由于具备2-7层的检测和控制能力，能够起到比较全面的防御作用。然而目前UTM却面临两个问题：一个问题是，对应用层检测的精度。“对症下药”医学领域的一个原则，只有准确定位病情，才能适当下药以治疗。映射到网络安全上也是同样道理，应用层威胁的检测识别是进行控制防护的基础，是关键点和难点。与此同时，防御技术的发展，一些和UTM有类似功能的集成式的防火墙出现了。有一点已经引起了一些用户的注意：在现有防火墙基础上增加功能，肯定会影响到运行效率。若要解决这个问题，有硬件和软件两种解决方式：采用高性能的ASIC硬件平台或采用优化的软件体系架构和技术。

　　——摘自IT168

　　IDC分析师Charles Kolodgy创造了另一个术语UTM(统一威胁管理)，很快便有了NGFW和UTM术语之争，Kolodgy说UTM和NGFW的含义大致相同，但Gartner却不这么认为，它指出UTM安全设备只适合中小型企业使用，而NGFW才适合员工大于1000的大型企业使用。

　　——摘自网络世界

　　需要马上升级到NGFW么?

　　目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为，到2014年底，这个比例将增加到占安装量的35%，60%新购买的防火墙将是NGFW。

　　——GARTNER《Defining the Next-Generation Firewall》

　　安全威胁和IT 流程总在不断变化，没有任何一款安全产品可以永久发挥作用。在更新换代到NGFW 的步骤方面，我们比较认同Gartner 的建议：无论用户现在使用的是防火墙、防火墙+IPS 还是安全服务，都应在下一个更新周期来临时切换到NGFW。

　　——摘自计算机世界