导语：现如今，安全形势每天都在发生变化。例如，企业内部的变化就包括应用程序如何安全使用和通信。虽然从可用性的角度来看，这种变化在很多情况下是一个好处。但如果处理不当，它也有可能成为信息安全人员的灾难。

为应对这种变化，企业防火墙的厂商们已经生产出了新的一代的防火墙设备，即下一代防火墙。。

什么是下一代防火墙

很多安全厂商都将自己的新防火墙称为“下一代防火墙”，但每家厂商产品的特征可能与其它厂商有些不同。一般而言，下一代防火墙产品应当包含如下特性：应用程序感知、状态检测、集成入侵防御系统、身份感知(用户和组的控制)、桥接模式和路由模式、能够利用外部的情报源，等等。

比较下一代防火墙

如今的市场上有不少信息安全方案都宣称自己是下一代防火墙。如何发现其差异并?下面谈几个审查和比较下一代防火墙的标准：

1.下一代防火墙是否可以防御针对服务器应用和客户端应用的攻击?其防御程度如何?

2.是否能被规避或逃脱?

3.它是否稳定和可靠?

4.该方案是否能够强化入站和出站的应用策略?

5.该方案是否能够强化入站和出站的身份策略?

6.其性能如何?

进一步讲，企业选择部署哪种防火墙设备取决于几个有限的因素。这是因为多数设备都满足下一代防火墙的范畴，并能执行同样的任务。所以，为什么要选择这个而不选那个?安全管理者最初可能是凭个人的喜爱和直觉来选择，有时是根据一些事实或道听途说的证据，但这些毕竟已经成为选择标准的一部分。

在选择具体的方案时，我们应考虑设备的功效问题。其中一个主要方面在发生了针对服务器和客户端应用的攻击时，具体的方案可以阻止攻击的比例有多大。虽然不同的方案之间的差异可能很小，但正是这小小的不同就可能成为发生严重安全事件和挫败攻击的分水岭。

另一个需要考虑的因素是可通过设备的总吞吐量。由于这些设备在总吞吐量方面并不能直接比较，那如何更好地使用此标准呢?方法之一就是衡量每个受保护的比特所花费的成本。如果企业没有经过审查而优先选择了一家厂商，那么机会成本是什么呢?那就是还有一个更小巧或更强大的版本满足企业环境的要求。

企业需要考虑的最后一个因素是该方案利用的电能和空间。还是那个问题，不同的设备并不能直接比较，一个简单的比较和决定方法是，将设备的消耗量除以设备的规模(或除以设备的总吞吐量)，并比较不同设备的计算结果。

如今，各种新威胁层出不穷，对任何企业而言，时刻关注最新的攻击至关重要。下一代防火墙的实施应当成为企业安全部署计划的关键一步。

下一代防火墙日渐成熟，基本上都能够提供完整功能。因而，导致购买者选择此产品而不选另一产品的原因往往就是个别的规格和特性。由于将来企业对这类产品的需要将日渐增加，下一代防火墙的竞争也将更激烈，而产品的成本也会逐步降低。

D1Net评论：

其实，在众多的下一代防火墙产品中，既有适应中小企业的类型，也有满足大型企业的品牌。此领域的领导者在不远的将来必然出现，因为所有的防火墙厂商都将从传统的防火墙转移到下一代防火墙的产品阵线中。