由於傳統防火牆屬於狀態式防火牆，只能進行網路埠及網路協定的處理。不但無法辨識應用層流量，同時面對來自Port 80及Port 443的Web流量常陷於束手無策的風險困境中，更別提更精細應用安全政策的落實。為了因應這些問題，全新次世代防火牆(NGFW；Next-Generation Firewall)因而誕生。

簡單而言，NGFW的橫空出世，就是為了要解決傳統防火牆缺乏應用感知(Application Awareness)能力，並且無法處理應用層威脅等致命先天弱點，而進化發展出的最新防火牆產品。對此，Gartner並將NGFW之前的傳統防火牆稱之為第一代防火牆，兩者之間的分水嶺即為應用感知能力的有無。

過去只擁傳統防火牆的企業，在面對應用層的威脅時，多半需要另外搭配導入入侵防禦系統(IPS)，如此一來勢必會增加不必要的採購及維護成本。內建IPS功能及應用感知能力的NGFW，即為兼具成本及應用安全需求的最佳選擇之一。

不僅如此，由於NGFW具備傳統防火牆的所有功能，舉凡全狀態檢測(Full Statefull Inspect)、封包過濾及網址轉譯(NAT)等功能皆然。既然如此，傳統防火牆存在的意義因而大減，被NGFW完全取代也是遲早的事情。Gartner便預測指出，到了2014年底，市場上已安裝的防火牆中，其中35%的占比會來自NGFW。同時企業全新導入的防火牆中，有6成都是NGFW。

• Gartner7大定義

當前防火牆市場似乎非常熱閙，除了早先IDC定義的整合式威脅管理(UTM；Unified Threat Management )閘道器外，如今又有Gartner提出的NGFW。既然是Gartner最先提出的名詞，當然得看看其對NGFW的定義。基本上，為了讓企業用戶更清楚了解什麼是NGFW，Gartner破天荒提出了兩大類的定義，一為「白名單」定義，一為「黑名單」定義。前者告訴企業什麼叫做NGFW；後者則羅列出什麼不是NGFW。看樣子要為NGFW說清楚、講明白，可能不是件簡單容易的事情，否則何需大費周章地黑白定義全出籠。

Gartner針對NGFW提出了7大「白名單」定義：

1.支援不會造成網路既有操作干擾的在線嵌入式組態。

2.扮演網路封包檢測及網路安全政策執行平台的角色。

3.涵蓋第一代防火牆的功能：例如使用封包過濾、網址轉譯(NAT)、狀態式協定檢測(SPI；Statefull Protocol Inspection)及VPN等功能。

4.支援完全整合式IPS功能的內建：凡NGFW所內建的IPS，是與既有引擎完全整合的功能，而非個別功能湊合在同一個設備中的做法，例如NGFW可以做到一旦整合式IPS檢測到惡意網站，所內建的防火牆機制會隨即加以封鎖的程度。

5.具備應用感知及全堆疊可見度(full stack visibility)：能在應用層進行各類應用之辨識及安全政策之執行。例如針對Skype，可以做到只關閉檔案分享的功能，至於其他功能皆可正常使用。

6.額外防火牆智能：例如透過目錄服務的整合進行存取控制。

7.全新資訊提供與全新威脅防護技術之整合式更新管道的支援 

除此之外，Gartner針對NGFW定義，提出4項絕對不屬於NGFW的「黑名單」：

1.中小企業多功能防火牆或UTM裝置：雖然這些產品內建第一代防火牆及IPS功能，但卻不具備應用感知的能力，同時所謂多功能間的整合性不佳，皆屬各別單一的引擎。Gartner認為這類產品比較適合有成本考量的企業及小型企業使用，對於較大型的企業並不適合。

2.網路型DLP設備：對於資料安全政策之執行無法達到即時的要求，亦即不支援可以達到線速的網路安全政策。

3.安全Web閘道器(SWG；Secure Web Gateways)：其可實施使用者導向之Web安全政策，但並非網路安全政策。

4.訊息安全閘道器：主要鎖定連外內容政策及連內反垃圾郵件及反惡意程式之落實。但卻不具備線速網路安全政策實施的能力。

• SANS定義NGFW必備10大功能

除了Gartner之外，安全機構SANS也對NGFW提出自己的定義。在定義NGFW之前，SANS嘗試先釐清防火牆的作用，它認為不論是個人防火牆還是網路防火牆，其主要工作皆在「控管資料流」，亦即對特定資料流的通過與否進行允許，還是阻斷封鎖。

SANS並認為當前防火牆在型態歷經了四大演進，亦即從最初的封包過濾，進展到狀態封包檢測，然後再演進到應用代理，如今更進一步發展出深層封包檢測(DPI；Deep Packet Inspection)機制。該發展不但讓防火牆從L4傳輸層的ACL及狀態表控管，進展到L7應用層中，基於封包表頭及封包負載(payload)的精細存取控制。

SANS認為，支援DPI可說是NGFW的第一基本要件。再者，必須同時整合IPS、惡意程式過及其他安全機制，以達到更進階、更細膩精準的資料流控制能力。

SANS另外並列舉了當前NGFW所應該具備的基本功能，其大致包括防火牆、VPN、IDS/IPS、Web過濾、反惡意程式、反垃圾郵件及流量調控(Traffic Shaping)等七大功能。

除此之外，SANS並提出未來NGFW所應該內建的安全機制，除了前述七大功能外，還應該添加資料外洩防護(DLP)、網路存取控制(NAC)及SSL Proxy功能。其中，DLP是為了防護內含智財權、信用卡號等敏感資訊的資料流。至於SSLP Proxy，則可藉由終止SSL連線、解密、流量分析及通透重建加密連線等方式來控管加密威脅。

• NGFW vs. UTM

一講到次世代防火牆，想必不少人會立即聯想到有「多功能防火牆」(All-in-one Firewall)別稱的UTM設備。兩者名稱上都有防火牆，但兩者間到底有何不同。畢竟光就功能面來看，NGFW該有的功能，像是傳統防火牆功能、IPS、防毒、Web安全等機制，UTM也都有。既然如此，兩者之間的差別到底何在？當前市場上的NGFW廠商，甚至Gartner莫不將NGFW視為劃時代企業級的防火牆。但奇妙的是，UTM廠商則認為NGFW只不過是行銷上的噱頭罷了，壓根就與UTM沒什麼兩樣。

長久以來，UTM給人的印象，除了多功能之外，效能不彰可說已經成為眾人心中難以抹滅的既定成見，尤其效能會隨著功能同時開啟的多寡而成反比，亦即同時開啟的功能愈多，效能會呈現戲劇化急轉直下的情形。也因為如此，效能問題不但成為人們詬病的焦點，畢竟，一開始UTM的確以多功能且俗擱大碗之姿，而贏得許多中小企業及代管服務業者的青睞。也因為如此，UTM因而被認定是專門鎖定中小企業的新型態整合多功能的防火牆產品。對此，Gartner也明言UTM市場定位在於中小企業，至於NGFW才是真正的企業級產品。

但事實上，當前不乏許多UTM廠商，早已推出許多效能極佳且專門鎖定在中大型企業的UTM產品。如此一來，自然不能再拿市場定位做為UTM與NGFW的差別了。否則，總不能說UTM與NFGW之間的「最大」差別在於，前者小、中、大企業通吃，但後者只鎖定中大型企業。就因為這麼些微的差異，便值得Gartner花這麼大的力氣為NGFW這個新名詞與新產品釋義嗎？

再就UTM的多功能來說，事實上NGFW也一樣是各種安全功能無所不包。若認真檢視一下兩種產品上的多功能，不論傳統防火牆、狀態封包檢測、VPN、IPS、防毒、Web URL/內容過濾、應用偵測、郵件安全，甚至DLP等功能，幾乎都可以在兩個產品身上找到。甚至SANS認為NGFW在識別上的必要元件之一的DPI檢測機制，其實在一些UTM產品上已經內建，由此可見，就安全防護的面向及支援功能的多寡上，UTM與NGFW間實殊無軒輊、難分高下。

反觀NGFW則以線速多功能的極致效能表現自豪，而這也成為NGFW與UTM之間的最大差異。當前許多持NGFW與UTM截然不同主張的專家莫不認為，儘管當前UTM在效能上已有大幅精進與改善，但與NGFW的效能相比仍有很大的落差。這是因為UTM所整合的各種功能，多半是各個別獨立的安全子系統，亦即只是將各別不同的功能，同時硬擠到單一設備之中而已。換言之，其乃由個別不同的引擎分別提供不同的安全功能，所以非常缺乏整合性。

相對而言，NGFW則直接將各種安全元件直接整合至單一核心引擎上，因而能提供更佳的功能整合性與效能表現。換言之，同樣將VPN、防毒、IPS等多種安全功能同時開啟的NGFW及UTM，前者可以展現更佳的執行效能，後者隨著所開啟功能的增加，效能也隨之成反比的急速下降。

總而言之，效能問題似乎成為當前NGFW與UTM之間有所差別的主要論據，而且還是唯一的論據。換言之，除了效能外，兩者間實在沒什麼明顯不同的地方。既然UTM的效能比較差，且較適合中小企業，那麼為何不能被視為低階NGFW？或著將NGFW稱之為高階UTM呢？

事實上，兩者除了效能外，仍然有一些功能上的差異在。首先，UTM雖然支援深層封包檢測(Deep Packet Inspection, DPI)機制，但在掃描小尺寸檔案或較小數量的協定時，往往會有效能問題產生。反觀NGFW，由於採用單通道(Single-Pass)架構，所以能在包括原始TCP封包在內的各種協定上，掃描各種大小的檔案，以找出可能潛藏的安全威脅。

在存取控制上，UTM多半透過通訊埠、通訊協定與URL/內容過濾等機制進行。同時透過IPS或Web代理的整合，可以達到某種程式的應用控管要求。至於NGFW除了UTM採用的存取控制方式外，並能提供應用存取的原生控管，而且不需藉由通訊埠及協定，便可控制應用程式的細部功能。

再就頻寬管理來說，UTM已可做到特定應用的QoS及頻寬管理，NGFW則完全整合內建應用頻寬管理機制。再者，UTM只能達到部分的網路封包即時可見度，相對的，NGFW則提供極佳的即時網路封包可見度能力，管理人員可以透過單一主控台隨時檢視使用者存取的應用類型及頻寬耗用的狀況。值得一提的，UTM可透過Web代理而提供Web封包存取控制，至於NGFW不但能提供全網路封包的存取控制，還可深入到每位使用者所能使用的應用類型及功能，進行精細的控管。