大中型企业的IT经理需要在网络性能和网络安全之间进行权衡。虽然安全性对于企业至关重要，但企业不应该因为安全性而降低产量和生产力。下一代防火墙(NGFW)应运而生，用于解决这一棘手问题。

　　前几代防火墙给当今企业带来了严重的安全隐患。它们的技术已经过时，无法应对当前互联网罪犯投放的网络封包的数据负载。许多供应商只能以状态封包检测(SPI)速度吸引客户，但安全和性能的真正衡量标准是深度包检测的吞吐量和有效性。为了解决这一缺陷，许多防火墙供应商采用传统桌面反病毒解决方案使用的恶意软件检查方式：缓冲下载的文件，然后检查恶意软件。该方法的负面影响是不仅显著增加了延迟，而且会造成严重的安全隐患，因为临时存储器会限制文件大小。

　　定义下一代防火墙

　　从本质上讲，下一代防火墙通过集成入侵防御系统(IPS)以及应用智能和控制，应用了深度包检测(DPI)防火墙技术，以实现正在访问和处理的数据内容的可视化。

　　Gartner公司将NGFW定义为“一种执行深度流量检测以及阻止攻击的线速(wire-speed)综合网络平台。”1Gartner认为NGFW至少应当提供：

.

　　@ 非破坏性线内嵌入式配置

　　@ 第一代防火墙的标准功能，例如，网络地址转换(NAT)、状态协议检测(SPI)和虚拟专用网络(VPN)

　　@ 集成式基于特征码的IPS引擎

　　@ 应用程序识别、全堆栈可见性和精细控制

　　@ 合并来自防火墙外部信息（例如，基于目录的策略、黑名单、白名单）的能力。

　　@ 升级路径以包括未来信息源和安全威胁

　　@ SSL解密以启用对不受欢迎的加密应用程序的识别

　　下一代防火墙的演变

　　使用状态检测技术的防火墙仅适用于恶意软件尚未大范围流行且网页只是供阅读文档的时代。当时，端口、IP地址和协议是需要管理的关键因素。但是随着互联网的发展，服务器和客户端浏览器能够提供动态内容，从而引入了大量丰富的应用，我们现在称之为Web2.0时代。

　　现在，从Salesforce.com、SharePoint到Farmville的应用都运行在TCP80端口以及加密SSL（TCP443端口）上。下一代防火墙检查大量的数据包，并即时匹配恶意活动的特征，例如已知漏洞、漏洞利用攻击、病毒和恶意软件。此外，深度包检测也意味着管理员可以创建非常精细的许可，，以及控制特定应用和网站的拒绝规则。由于数据包内容经过检查，因此可以导出所有类型的统计信息，这意味着管理员现在可以轻松地分析数据流，以执行容量规划、进行故障排除或监控每个员工的工作。当前的防火墙在网络应用模型的第2、3、4、5、6和7层运行。