下一代防火墙与传统防火墙的区别

下一代防火墙和传统防火墙相比，主要最大的区别在于：可视化、集成式IPS、AV、URL识别、以及高性能等方面。

此外，传统防火墙基于IP和端口来标识用户以及应用，这种管理粒度较粗，而下一代防火墙基于DIP/DFI技术可以细粒度识别具体的应用以及应用数据，可以更为精准的提供应用层可视化功能，也为精细化管理奠定了基础。

下一代防火墙包含的功能如下：

• 涵盖传统防火墙功能：数据包过滤、网络地址转换（NAT）、协议状态检查，以及VPN功能等。

• 采用集成式入侵防御系统（IPS）：支持基于漏洞的签名与基于威胁的签名，IPS与防火墙的互动效果应当大于这两部分效果的总和。

• 基于应用识别的可视化：下一代防火墙最重要的功能就是要能够正确地理解、解码以及分析应用流量来检测已知或未知威胁。下一代防火墙依托于DPI技术，能够有效地识别具体的应用，并根据应用之间细微的变化以做出恰当的策略决策。任何高效的下一代防火墙必须支持细颗粒度的应用策略部署及管控，相比传统防火墙大多数基于CLI的配置及管理，下一代防火墙大多数支持WEB管理界面，提供了基于应用和流量的可视化，可以直观地呈现网络中应用以及威胁的变化，便于运维及管理。

• 智能防火墙：可收集防火墙外的各类信息，用于改进阻止决策，或作为优化阻止规则的基础。比如利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。