下一代防火墙比UTM强在哪里？

简单点说。
下一代防火墙比UTM强在以下几点：
1. 应用识别能力更强大、应用识别粒度更细
2. 所有安全模块高度整合，实现一体化防护
3. 更先进的威胁识别能力，如基于行为识别威胁的主动防御
4. 更高的应用层性能
参考文章：《网络安全时代新解 下一代防火墙不是“筐”》http://soft.yesky.com/security/225/34539725.shtml。

传统的防火墙的类型和功能

　　传统防火墙可以分为四种类型：包过滤、应用级网关、代理服务器和状态检测。总体的功能是：过滤掉不安全服务、非法用户和控制对特殊站点的访问、提供监视Internet安全和预警的方便端点。

　　传统的安全防护正在失效

　　如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头，分析和监视网络层(L3)和协议层(L4)，基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。

　　传统防火墙的局限性凸显

　　网络防火墙在安全防护中，起到重要作用，但是我们，也应该看到它的不足之处。如今，知识渊博的黑客，均能利用网络防火墙开放的端口，巧妙躲过网络防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统网络防火墙。传统的网络防火墙，存在着以下不足之处：1、无法检测加密的Web流量;2、普通应用程序加密后，也能轻易躲过防火墙的检测;3、对于Web应用程序，防范能力不足;4、应用防护特性，只适用于简单情况;5、无法扩展带深度检测功能。

　　应用层受到攻击的概率加大

　　应用层受到攻击的概率越来越大，而传统网络防火墙在这方面有存在着不足之处。对此，少数防火墙供应商也开始意识到应用层的威胁，在防火墙产品上增加了一些弹性概念的特征，试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳。

　　下一代防火墙应需而生

　　随着时代的变迁，曾经如城墙般稳固的传统防火墙已黯然失色，失去了它原有的防御能力。面对网络的高速发展、应用不断增多的时代，逐渐被新的继任者重新定义了“防火墙”。 下一代防火墙应运而生。

　　下一代防火墙的最低特性

　　下一代防火墙需具备下列最低属性：支持在线BITW(线缆中的块)配置，同时不会干扰网络运行;可作为网络流量检测与网络安全策略执行的平台，并具有下列最低特性：

　　1)标准的第一代防火墙功能;

　　2)集成式而非托管式网络入侵防御;

　　3)业务识别与全栈可视性;

　　4)超级智能的防火墙。

　　下一代防火墙带来的变化

　　随着带宽需求的增加以及成功的攻击促使更新防火墙，大企业将用下一代防火墙替换已有的防火墙。Gartner认为不断变化的威胁环境以及不断变化的业务和IT流程，将促使网络安全经理在他们的下一个防火墙更新周期时寻找NGFW。目前仅有不到1%的Internet连接采用下一代防火墙来保护。我们认为到2014年底，这个数字将增加到占安装基础的35%，60%新购买的防火墙将是NGFW。

原文出自【比特网】：http://network.chinabyte.com/208/12274708.shtml